Hardening WordPress: come mantenere sicuro il tuo sito WordPress
Pubblicato: 2022-06-30Se sei mai stato hackerato, sai che incubo può essere. Può essere difficile capire quali passaggi di sicurezza di WordPress aiuteranno a mantenere sicuro il tuo sito Web WordPress.
Continua a leggere per scoprire come proteggere il tuo sito WordPress. Scopri i passaggi corretti per rafforzare WordPress e ottieni un elenco di controllo per la sicurezza del sito Web WordPress.
Cos'è l'indurimento di WordPress?
WordPress costituisce circa il 40% di tutti i siti web. Per questo motivo, le persone che sanno sfruttare WordPress possono facilmente trovare molti obiettivi. Fortunatamente, ci sono molte cose che puoi fare per rendere il lavoro molto più difficile per loro. Questo è noto come indurimento di WordPress.
Perché la sicurezza di WordPress è importante
Non solo essere hackerato è imbarazzante, ma può portare a tempi di inattività, perdita di dati e informazioni trapelate. Questo può tradursi in vendite perse e scarsa reputazione del marchio. In aggiunta a questo, può essere necessario molto lavoro per rimettere tutto in funzione.
Rafforzamento di WordPress: 10 passaggi per la sicurezza di WordPress da intraprendere
Esistono quattro modi principali in cui gli hacker possono accedere per hackerare il tuo sito Wordpress:
- Ottenere la tua password o sessione e accedere.
- Attraverso l'accesso indiretto come FTP, SSH o il database.
- Scoprindo le informazioni nella tua radice web.
- Attraverso le vulnerabilità nel codice o nei plugin di WordPress.
Il modo più semplice per accedere al tuo sito è semplicemente effettuare il login. Ecco alcuni modi per rafforzare WordPress contro i ladri di password.
1. Proteggi la macchina da cui ti stai connettendo
Una cosa importante che è facile trascurare è il computer da cui ti stai connettendo. Se non è sicuro, anche questo può rendere vulnerabile il tuo server. Questo è il motivo per cui è molto importante disporre di uno scanner antivirus e di un firewall, per mantenere aggiornato il computer e praticare abitudini di navigazione sicure.
2. Proteggi la connessione al server
Anche se il tuo computer è sicuro, la tua password o le tue sessioni possono comunque essere rubate durante il tragitto verso il server. Per evitare ciò, è importante assicurarsi di utilizzare HTTPS quando si accede al backend di WordPress.
Lettura correlata: Guida per principianti all'ottimizzazione delle prestazioni di WordPress >>
È preferibile connettersi sempre al server utilizzando la connessione cablata domestica o aziendale o una connessione Wi-Fi che utilizza una password Wi-Fi lunga e casuale. Se devi connetterti utilizzando un hotspot pubblico, allora vorrai assolutamente investire in una VPN.
3. Impedisci alle persone di indovinare la tua password
Quando un utente malintenzionato utilizza uno script per provare rapidamente diverse combinazioni di nome utente e password finché non indovina quella giusta, questo viene chiamato attacco di forza bruta. Per prevenire attacchi di forza bruta, utilizzare una password lunga che contenga lettere maiuscole e minuscole numeri e caratteri speciali.
Per rendere questa tecnica ancora più difficile, puoi ottenere plugin che ti aiuteranno. Cerca plug-in di autenticazione a due fattori, plug-in che aggiungono un captcha al modulo di accesso e plug-in che limitano il numero di tentativi errati che puoi effettuare.
4. Non utilizzare l'amministratore
Un altro modo per prevenire attacchi di forza bruta e altri metodi per rubare le password è nominare il tuo account amministratore in qualcos'altro. Se non riescono a indovinare il tuo nome utente, non possono indovinare la tua password. Eventuali account amministratore aggiuntivi devono essere eliminati quando non sono più necessari. Tutti i nuovi account che crei dovrebbero avere solo l'accesso di cui hanno bisogno.
Se gli hacker non possono accedere direttamente al tuo account amministratore, potrebbero essere in grado di accedere al tuo sito indirettamente tramite SSH, FTP o il database. Tutto ciò che è stato menzionato sulla protezione del PC locale, sulla scelta di password sicure e sull'utilizzo di una VPN su Internet pubblico si applica anche a SSH, FTP e alle connessioni al database, ma ecco alcune considerazioni aggiuntive.
5. Utilizzare SFTP o FTPS
FTP trasmette i tuoi dati e password su Internet in testo normale, il che significa che chiunque possa intercettare i tuoi dati può vedere le tue password e i tuoi dati. SFTP e FTPS crittografano entrambi i tuoi dati.
6. Chiudere o limitare l'accesso alle porte
In genere, se il tuo database e il tuo sito Web si trovano sullo stesso server, non è necessario che la porta del database sia aperta al pubblico. Se puoi gestire il tuo database attraverso il portale o dall'interno del server, questa è generalmente un'opzione migliore perché offre agli aggressori un modo in meno per sfruttare il tuo sito web.
Lettura correlata: Quando WordPress ha bisogno di una spinta: suggerimenti, strumenti e strategia di ottimizzazione >>
Allo stesso modo con FTP, se è possibile utilizzare SFTP per connettersi al server, non è necessario che la porta FTP sia aperta. Se hai bisogno di usare una di queste porte per connetterti al tuo server, potrebbe essere una buona idea impostare le porte solo sul tuo indirizzo IP.
Se il tuo indirizzo IP cambia molto, può essere scomodo dover chiamare per accedere al tuo server ogni volta che il tuo indirizzo IP cambia. Un modo per aggirare questo è usare una VPN. Una VPN non solo crittografa le connessioni tra te e il server, ma ti consente di utilizzare un indirizzo IP statico che puoi aggiungere al firewall per impedire a chiunque altro di accedere alle porte.
Un errore che molte persone fanno è archiviare file e dump del database nella radice web. Ricorda che qualsiasi cosa nella tua radice web è accessibile a chiunque su Internet e non dovrebbe avere nulla che non vorresti che qualcuno avesse.
7. Rimuovi tutto ciò che non è necessario dalla tua radice web
Vale la pena esaminare la tua radice web e assicurarti che non ci sia nulla di non necessario per il funzionamento del tuo sito in esso memorizzato.
Ad esempio, può essere conveniente scaricare il database nella webroot in modo da poterlo scaricare in un secondo momento. Ma ricorda che il tuo database contiene gli hash della tua password e potrebbe contenere altre informazioni che non vuoi siano pubbliche.
Un'idea migliore sarebbe quella di scaricare il database da qualche altra parte e utilizzare SFTP per scaricarlo. Se vuoi tenerlo sul server come backup, puoi semplicemente spostarlo su un livello o metterlo ovunque tranne che nel webroot.
Allo stesso modo, le copie zippate del codice del sito Web possono essere utilizzate per conoscere il tuo codice e possono essere scaricate da chiunque su Internet. Un'altra pratica comune è fare un backup di un file come .htaccess o un file di codice prima di modificarlo.
È certamente una buona idea eseguire il backup dei file prima di modificarli, ma se si prevede di mantenerli nella radice Web, è necessario modificare le autorizzazioni in modo che non sia possibile accedervi.
Lettura correlata: Sfatare i miti sulla sicurezza dell'hosting WordPress >>
Ad esempio, puoi digitare chmod 000 .htaccess. Infine, anche i file README o qualsiasi altra cosa che potrebbe esporre i numeri di versione dovrebbe essere sicura da rimuovere e rimuoverli può migliorare la sicurezza.
L'ultima cosa da considerare è il codice stesso. La sicurezza del codice delle applicazioni Web è un argomento molto complesso con interi libri scritti sull'argomento. Dato che stai usando WordPress, l'immenso compito di mantenere il codice sicuro è fatto per te, tutto ciò che devi fare è installare le patch.
Se stai ospitando con Nexcess, ci occupiamo dell'aggiornamento di WordPress di base per te, ma anche i temi e i plug-in possono contenere vulnerabilità.
8. Rimuovere qualsiasi codice non utilizzato
Un modo semplice per proteggere il tuo sito WordPress è semplicemente rimuovere tutto ciò che non stai utilizzando. Guarda tutti i tuoi plugin e rimuovili se non aggiungono alcun valore al tuo sito.
Lettura correlata: La guida essenziale ai plugin di WordPress >>
Questo non solo migliora la sicurezza, ma può anche velocizzare WordPress e migliorare la stabilità del tuo sito. Tieni presente che in alcuni casi, anche i plug-in disabilitati possono introdurre bug o fornire una superficie di attacco agli hacker.
Se hai dei temi WordPress che non stai utilizzando, dovresti anche disinstallarli, anche se potresti prendere in considerazione la possibilità di lasciare il tema WordPress predefinito più aggiornato per la risoluzione dei problemi in seguito.
Infine, è molto importante rimuovere le vecchie installazioni che non stai utilizzando. Se hai un'intera sottodirectory con un vecchio blog o una vecchia versione del sito web che non stai più utilizzando, è molto importante rimuoverla dalla web root. Se vuoi salvarlo come backup, può essere archiviato in sicurezza sopra la radice web.
9. Assicurati che tutti i tuoi plugin e temi siano mantenuti attivamente
Ogni giorno vengono scoperte nuove vulnerabilità e una volta conosciute possono essere rapidamente sfruttate da script in massa su Internet. Ecco perché è importante essere sicuri di avere programmatori esperti che rispondono attivamente a qualsiasi difetto riscontrato nel loro codice e rilasciano regolarmente patch per chiudere le vulnerabilità.
10. Applicare le patch
Poiché le vulnerabilità vengono rilevate continuamente in WordPress e poiché le vulnerabilità di WordPress vengono sfruttate in modo così rapido e completo, è molto importante applicare le patch non appena sono disponibili. È molto importante farlo per evitare tempi di inattività.
Tuttavia, esiste il rischio che una delle patch non sia compatibile con il resto del codice, quindi il modo migliore per farlo è eseguire regolarmente un backup, quindi applicare manualmente le patch e quindi testare il sito.
Se trovi qualcosa che non funziona, puoi ripristinare il backup e ripristinare rapidamente il tuo sito. Se hai le risorse, un metodo ancora migliore è conservare una copia del tuo sito Web e applicare prima tutte le patch sulla copia. Ciò previene eventuali tempi di inattività e consente di risolvere eventuali problemi prima che le patch vengano applicate al sito live.
Elenco di controllo per la sicurezza del sito Web WordPress
- Mantieni il tuo PC al sicuro
- Usa protocolli sicuri
- Usa una password complessa
- Usa i plugin per rendere più difficile indovinare la tua password
- Rinomina l'account amministratore
- Chiudi o limita l'accesso alle porte nel firewall
- Pulisci i dump del database, i backup e soprattutto il vecchio codice dalla tua radice web
- Scegli con attenzione plugin e temi e rimuovi quelli che non usi
- Soprattutto, tenerli aggiornati
Nexcess mantiene sicuro il tuo sito WordPress
L'hacking del tuo sito può essere un disastro. Non solo ti fa sembrare cattivo, ma può portare a tempi di inattività prolungati o addirittura alla perdita di ordini.
L'hosting WordPress con Nexcess è un primo grande passo per mantenere sicuro il tuo sito WordPress.
Nexcess fornisce una piattaforma sicura da cui ospitare il tuo sito Web WordPress. Con Nexcess, ottieni un monitoraggio della sicurezza sempre attivo, backup giornalieri gratuiti, certificati SSL e IThemes Security Pro.
E con un team di esperti di WordPress e professionisti del supporto disponibili 24 ore su 24 per rispondere a qualsiasi tua domanda, avrai sempre le risorse di cui hai bisogno 24 ore su 24, 7 giorni su 7.
Esplora i nostri piani di hosting WordPress completamente gestiti per iniziare oggi.