Come proteggere il sito Web dagli hacker e proteggerlo facilmente

Il tuo sito web è prezioso: per te e per i visitatori del tuo sito. E anche, per gli hacker.

Per creare buone difese contro gli attacchi dannosi, è necessaria una guida concreta su come proteggere il sito Web dagli hacker .

Questa è la guida alla protezione dagli hacker!

Come siamo così fiduciosi? MalCare protegge oltre 25.000 siti Web e il nostro team di supporto scova ogni giorno il malware più sfuggente dai siti Web. Sappiamo una cosa o due su come proteggere il tuo sito Web da hacker e altri attacchi dannosi.

TL; DR: la migliore misura di sicurezza è installare un plug-in di sicurezza che funziona con il pilota automatico. Ti consigliamo inoltre di implementare tutte le misure di sicurezza che abbiamo descritto in questo articolo.

Prima di iniziare

Vedere un lungo elenco di misure di sicurezza per proteggere il sito Web dagli hacker può essere alquanto scoraggiante. Ce ne rendiamo conto. Quindi, al fine di semplificare l'implementazione di queste misure di sicurezza, abbiamo organizzato questo elenco di protezione dagli hacker in modo semplice. Ti suggeriamo di aggiungere un segnalibro a questo articolo e di tornarci sopra man mano che procedi.

Ci sono un mix di passaggi protettivi in ​​​​questo elenco: cose che dovresti fare, cose che non dovresti fare e anche alcuni miti sfatati.

L'obiettivo di questo articolo è demistificare la sicurezza, eliminando il disordine disponibile altrove. Tuttavia, il punto più importante dovrebbe essere che proteggere il tuo sito Web da hacker e virus non è un'attività una tantum; ma ne riparleremo man mano che avanziamo.

6 passaggi di base per proteggere immediatamente il tuo sito web dagli hacker

Le misure protettive in questa sezione sono le più facili da implementare e onestamente ti sistemeranno ragionevolmente bene. A prima vista possono sembrare tecnici o avanzati, ma prendilo da qualcuno che non è un ingegnere: hai capito!

1. Installa un buon firewall

Gli hacker non hackerano manualmente i siti web. Un buon hacker creerà un bot che fiuta i siti vulnerabili e automatizza la maggior parte del processo. Ora, i robot sono programmati per eseguire azioni molto specifiche. Non sono senzienti.

Fondamentalmente, un firewall è un codice che identifica le richieste dannose. Ogni richiesta di informazioni fatta al tuo sito web passa prima attraverso il firewall. Se il firewall rileva che la richiesta è dannosa o viene effettuata da un indirizzo IP noto per essere dannoso, la richiesta viene bloccata invece di essere elaborata.

Evitare di modificare la configurazione del firewall

Alcuni firewall ti permetteranno di configurare le impostazioni. Tuttavia, non lo consigliamo a meno che tu non sia un professionista della sicurezza dei siti Web in buona fede. Le regole del firewall vengono create dopo un'importante ricerca sulla sicurezza e molte rimozioni di malware di prima mano.

Ad esempio, la maggior parte dei plugin di sicurezza di WordPress dispone di regole che impediscono a chiunque non abbia accesso come amministratore di accedere al file wp-config.php. Il file wp-config.php è un file principale di WordPress che contiene molte informazioni sensibili. Quindi, il firewall controlla ogni richiesta fatta al sito web per vedere se contiene il testo "wp-config.php". Se tale regola viene attivata, la richiesta viene rifiutata dal firewall.

Inoltre, poiché gli hacker tentano di hackerare il maggior numero possibile di siti Web quando viene scoperta una vulnerabilità, ciò porta alla luce gli IP degli hacker. I firewall di WordPress tracciano e bloccano preventivamente gli IP dannosi, sulla base di questi attacchi.

Ovviamente nessun firewall è inattaccabile al 100%. Ma è molto meglio avere un firewall che blocchi la maggior parte dei software dannosi, piuttosto che non avere alcun firewall. Ma non tutti i firewall sono uguali e alcuni sono molto più efficaci di altri. Quindi, abbiamo creato un elenco dei migliori firewall WordPress tra cui scegliere.

2. Avere una politica di password sicura e utilizzare un gestore di password

Ci occupiamo della sicurezza di WordPress da oltre un decennio ormai. Saresti sorpreso di sapere quanti siti Web sono stati violati semplicemente perché la password era debole.

Le password facili da indovinare sono utilizzate da centinaia di migliaia di siti web. Il 5% dei siti compromessi che utilizzavano MalCare per rimuovere il malware utilizzava password deboli.

Gli hacker hanno un elenco di tali password chiamate tabelle arcobaleno e generano costantemente tabelle più grandi da utilizzare come una sorta di dizionario. Usando queste tabelle, un hacker può lanciare un attacco noto come "attacco di dizionario".

Gli attacchi del dizionario sono per lo più una variante degli attacchi di forza bruta. Ma non è l'unico modo per hackerare una password. Pertanto, si consigliano password complesse.

Le password complesse sono una combinazione di lettere, numeri e simboli. Le combinazioni non comuni sono difficili da decifrare e possono richiedere anni di algoritmi di forza bruta per decodificarle. Inoltre, più lunga è una password, più difficile sarà decifrarla.

Questo articolo ti aiuterà a creare la tua password epica.

Puoi anche utilizzare i plug-in per imporre password sicure a tutti i tuoi utenti WordPress con il plug-in Password Policies Manager per WordPress. Questo plug-in ti aiuterà a creare criteri che costringono tutti i tuoi utenti WordPress a creare password complesse durante la creazione dei loro account.

3. Installa SSL e usa HTTPS sul tuo sito web

Il certificato Secure Sockets Layer (SSL) è un protocollo di sicurezza che crittografa tutte le comunicazioni da e verso un sito web. Installarne uno assicurerà che anche se un hacker intercetta i dati dal tuo sito web, non sarà mai in grado di capire di cosa si tratta.

Abbiamo creato un'intera guida sull'installazione corretta di un certificato SSL. Seriamente, l'hype è giustificato. Ottieni subito un certificato SSL per il tuo sito web. Come bonus aggiuntivo, otterrai anche vantaggi SEO.

4. Esamina attentamente gli utenti amministratori

La maggior parte delle persone presume che gli hacker installeranno solo malware sul proprio sito Web e se ne andranno. Non è vero. Gli hacker davvero intelligenti creeranno un account fantasma con privilegi di amministratore in modo che possano rientrare quando vogliono.

Rivedere e rimuovere regolarmente gli utenti di WordPress può risolvere questo problema.

Sì, può essere un'attività che richiede tempo se hai un team numeroso che gestisce il tuo sito web. Ma ne vale la pena. L'eliminazione degli utenti che non contribuiscono più al tuo sito è il primo punto di partenza. Quindi, rendi obbligatorie password complesse in modo che i tuoi scrittori ed editori non compromettano accidentalmente il tuo sito.

Puoi seguire ottime pratiche di sicurezza per le tue password, ma se uno dei tuoi amministratori cade vittima di una truffa di phishing, ad esempio, anche il tuo sito web ne risentirà.

Sfrutta appieno i ruoli utente di WordPress per limitare l'accesso il più possibile. Ad esempio, se qualcuno sta solo scrivendo e caricando articoli, concedigli l'accesso "Autore" e non l'accesso "Amministratore". Leggi il nostro articolo sui ruoli di WordPress per capire come fare tutto senza problemi.

5. Utilizzare un registro delle attività

Vedere qualcosa di inaspettato sul tuo sito web può lanciare un allarme tempestivo in diverse situazioni. Considera se un account amministratore è stato creato a tua insaputa; oppure un plugin disattivato (di sicurezza, per esempio) senza consenso.

Questi sono tutti esempi di azioni di amministrazione del sito Web legittime, tuttavia possono anche essere sintomatici di un accesso non autorizzato. I registri delle attività ti diranno cosa sta succedendo sul tuo sito e potrai quindi valutare se queste azioni sono legittime o meno.

Questa pratica ha salvato la nostra pancetta molte volte.

La maggior parte degli hacker sono estremamente attenti a non essere scoperti, perché possono controllare il tuo sito web solo finché non vengono scoperti. I registri delle attività aiutano a segnalare le modifiche, in modo da poter eliminare le attività non autorizzate sul nascere.

MalCare viene fornito in bundle con un registro delle attività sulla dashboard e non è necessaria alcuna configurazione per configurarlo.

6. Eseguire backup regolari

Fare backup è molto probabilmente una delle tattiche più sottovalutate che puoi applicare. Esegui sempre backup giornalieri in modo da poter ripristinare rapidamente il tuo sito Web in caso di guasto catastrofico.

Scegli un buon plug-in di backup che sia affidabile, perché i backup manuali sono difficili da eseguire correttamente senza una notevole esperienza.

Infatti, prima di procedere con uno qualsiasi dei passaggi di questo articolo, esegui un backup completo del tuo sito Web e imposta immediatamente i backup giornalieri. Questa è sempre una buona pratica quando apporti modifiche al tuo sito.

5 passaggi intermedi per proteggere il tuo sito Web al livello successivo

I passaggi di base nell'articolo sono un buon inizio e non dovrebbero richiedere troppo tempo per la configurazione. In questa sezione, a parte l'autenticazione a due fattori e la limitazione dei tentativi di accesso, i passaggi sono misure di sicurezza continue.

Come abbiamo detto in precedenza in questo articolo, è importante pensare alla sicurezza del sito Web nel modo giusto. Non è una configurazione o un'attività una tantum e deve essere considerata una parte regolare dell'amministrazione del sito.

1. Aggiorna tutto

Oltre il 90% degli attacchi si verifica perché gli hacker hanno identificato una vulnerabilità in un tema o plug-in e l'hanno sfruttata su diversi siti web.

Quindi cos'è una vulnerabilità? Temi e plugin sono software. Come qualsiasi altro software, sono pezzi di codice che invariabilmente avranno dei bug. Alcuni bug sono relativamente innocui e possono solo causare un piccolo problema tecnico durante l'aggiornamento. Altri possono rendere il codice vulnerabile allo sfruttamento.

Quando vengono scoperte vulnerabilità, principalmente da ricercatori di sicurezza, vengono divulgate allo sviluppatore del plug-in per le patch. Gli sviluppatori responsabili rilasceranno una correzione e i siti Web con il plug-in installato vedranno che presto sarà disponibile una versione aggiornata del plug-in.

Una volta rilasciata la correzione, la vulnerabilità viene divulgata pubblicamente. Se tu fossi uno dei siti Web che ha aggiornato il plug-in o il tema con la correzione di sicurezza, è eccellente. In caso contrario, il tuo sito diventerà il bersaglio di hacker dilettanti (chiamati script kiddies) che cercano di guadagnare velocemente.

Pertanto, è sempre meglio mantenere tutto, da WordPress ai plugin, sempre aggiornato. Sappiamo che gli aggiornamenti a volte possono danneggiare i siti Web in modi imprevisti, quindi per evitare qualsiasi inconveniente, utilizza lo staging per aggiornare in modo sicuro. Ma per favore aggiorna tutto.

Abbiamo creato una guida sull'aggiornamento dei siti Web WordPress in modo sicuro e con interruzioni minime.

2. Scegli buoni temi e plugin

Se noti dalla sezione precedente, abbiamo indicato come responsabili gli sviluppatori che rilasciano aggiornamenti per correggere le vulnerabilità. In breve, i buoni sviluppatori mantengono attivamente il loro software.

Questo non è affatto uno stato di cose universale. Triste ma vero.

Pertanto, consigliamo vivamente l'uso di buoni plugin e temi per il tuo sito web. Comprensibilmente, "buono" è un termine relativo e alquanto vago. Quindi stiamo elencando i fattori che dovresti considerare quando opti per un plugin per il tuo sito web:

• Aggiornamenti regolari: un plug-in o un tema che rilascia costantemente aggiornamenti e continua a correggere qualsiasi vulnerabilità che scopre. Questo ti dirà che lo sviluppatore prende sul serio i rischi per la sicurezza del proprio prodotto.

• Installazioni attive: un plug-in popolare con milioni di installazioni avrà sempre un obiettivo sulla schiena. Contact Form 7 è un chiaro esempio di questa tendenza. Il rovescio della medaglia è che anche i plugin popolari tendono ad essere più sicuri perché di solito hanno un team più grande e migliore che lavora per migliorare il prodotto. Quindi scegli saggiamente, dopo aver fatto un'adeguata ricerca.

• Credibilità: evita di installare un plugin o un tema sviluppato da liberi professionisti di cui nessuno ha sentito parlare. Utilizza solo plug-in e temi sviluppati da sviluppatori e marchi rinomati. Se stai acquistando da un marketplace, assicurati di fidarti dello sviluppatore e non solo del marketplace.

• Versioni a pagamento: in genere, i fornitori di plug-in a pagamento spendono più tempo e denaro per trovare e correggere le vulnerabilità. Se hai un budget molto limitato, un plug-in gratuito avrà più senso. Ma se sei preoccupato per la sicurezza del tuo sito web, ti consigliamo vivamente di utilizzare temi e plug-in premium.

Come nota a margine, potresti essere tentato di utilizzare plugin e temi annullati. Non farlo. Il rischio non ne vale la pena.

Il software annullato diffonde malware. Ecco perché ricevi gratuitamente un prodotto premium. Ma anche se il file zip non contiene alcun codice chiaramente dannoso, qualsiasi plug-in annullato o utente del tema sa che non può aggiornare il software. Ciò rende il sito Web vulnerabile a un hack, come abbiamo detto nella sezione precedente.

3. Implementare 2FA

L'autenticazione a due fattori (2FA) è una misura di sicurezza che aggiunge un altro dispositivo o token a cui devi avere accesso per accedere, oltre alla tua password.

Esistono alcuni protocolli utilizzati per 2FA, come TOTP (password monouso basata sul tempo) o HOTP (password monouso basata su HMAC). Ognuno di essi ha i suoi pro e contro, ma ai fini della sicurezza dell'accesso, non abbiamo bisogno di approfondire questi dettagli.

Esistono diverse app a pagamento e gratuite che possono essere utilizzate per aggiungere 2FA alla tua pagina di accesso e supportano i protocolli più diffusi. Per ulteriore assistenza, consulta questo articolo per vedere come configurare WordPress 2FA. Se hai molti contributori al tuo sito web, è sicuramente una buona idea implementare questa funzione di sicurezza.

4. Seleziona un buon host web

La maggior parte delle persone ritiene gli host web responsabili anche della sicurezza del sito web. Ma raramente è colpa dell'host web se il tuo sito viene violato. Infatti, nei rari casi in cui un host web è responsabile di una violazione della sicurezza, le conseguenze sono enormi. Migliaia di siti sono interessati.

La scarpa è dall'altra parte per la maggior parte del tempo e un buon host web è fondamentale per proteggere il tuo sito web dagli hacker. Pertanto, dovresti mirare al servizio di hosting più sicuro. Ecco un elenco dei migliori provider di hosting WordPress che abbiamo compilato per aiutarti a selezionare un buon host web.

5. Limita i tentativi di accesso

Un modo semplice per bloccare i bot di forza bruta e gli aggressori è negare l'accesso a un indirizzo IP dopo 3 tentativi falliti. Il firewall MalCare è integrato con questa funzione. Limitare i tentativi di accesso è un modo molto efficace per proteggere il tuo sito Web senza molti svantaggi.

Puoi utilizzare il plug-in "Limit Loginizer" anche durante l'installazione di WordPress. Ma se sbagli la tua password 3 volte, dovrai chiedere al tuo host web di sbloccare il tuo indirizzo IP per riprovare.

2 passaggi esperti per aumentare davvero la protezione del tuo sito web

Anche se sei riuscito a completare i passaggi nelle sezioni precedenti, sei abbastanza tranquillo in termini di protezione del tuo sito dagli hacker. Le seguenti misure sono efficaci, tuttavia richiedono una certa quantità di frugando nel codice.

Vogliamo ribadire che la maggior parte degli hack si verificano a causa di vulnerabilità, quindi prendersene cura proteggerà abbastanza bene il tuo sito Web da hacker e virus. Se non ti senti a tuo agio nel provare tu stesso i seguenti passaggi, puoi ignorarli o inviarli al tuo sviluppatore per l'implementazione. In ogni caso, il tuo sito è ancora ben protetto dagli hacker.

1. Blocca l'esecuzione di PHP nella cartella dei caricamenti

Esiste un'intera classe di vulnerabilità chiamate vulnerabilità Remote Code Execution che consentono agli hacker di caricare codice PHP dannoso nella cartella Uploads. In genere, la cartella Uploads non è pensata per contenere alcun codice eseguibile. Ha lo scopo di contenere i tuoi file multimediali. Ma la natura della cartella Uploads è che consente di archiviare file e cartelle al suo interno.

Una volta che il codice è stato caricato sul tuo sito web, un hacker può eseguirlo e ottenere un controllo effettivo sul tuo sito. Tuttavia, se blocchi l'esecuzione di PHP nella cartella Uploads, l'attacco non potrà mai avvenire.

Se stai usando MalCare puoi bloccare l'esecuzione di PHP nella cartella Uploads con il clic di un pulsante come parte delle misure di rafforzamento di WordPress.

2. Cambia le chiavi di sicurezza di WordPress

Se sei stato violato di recente, puoi modificare le chiavi di sicurezza di WordPress. Questa è una stringa che viene sottoposta ad hashing insieme al nome utente e alla password per gestire le sessioni di accesso per gli utenti.

Puoi impostare questa stringa su qualsiasi cosa, tuttavia, come con le password, è meglio utilizzare una stringa alfanumerica generata casualmente. Ulteriori informazioni sui token di sicurezza e su come modificarli.

2 suggerimenti BONUS per la protezione del sito Web dagli hacker

1. Tieniti aggiornato sulle notizie di sicurezza

Rimanere informati, porre domande e consultarsi con la community sono tutti modi eccellenti per tenere traccia degli ultimi hack e cambiamenti nel panorama delle minacce. Ad esempio, se viene rilevata una vulnerabilità del plug-in, è possibile disattivarla dalla dashboard fino a quando l'aggiornamento non è disponibile e installato. Qualunque inconveniente tu debba affrontare impallidirà rispetto alle perdite subite da un sito Web violato.

2 . Condurre controlli di sicurezza regolari

Molti proprietari di siti Web credono erroneamente che i loro siti siano troppo piccoli per essere considerati degni di essere hackerati. Questo non è neanche lontanamente vicino alla verità. Gli attacchi si verificano per una serie di motivi e se il tuo sito Web, ad esempio, non è redditizio in termini di dati utente, ha ancora abbastanza autorità SEO per essere utilizzato come sito di phishing.

Controlli di sicurezza regolari ti aiuteranno a scoprire pratiche non sicure e potenziali vulnerabilità nel tuo sito web. Tenendo d'occhio gli avvenimenti del tuo sito Web, ad esempio tramite un registro delle attività o esaminando gli utenti, ti risparmierai un sacco di problemi a lungo termine.

Cose che NON aiuteranno a proteggere il tuo sito web

Sosteniamo di essere attenti alla sicurezza, ma non paranoici. Inoltre, abbiamo visto che ci sono molti cattivi consigli per i proprietari di siti web allo stato brado. Il consiglio può provenire da un buon posto, tuttavia può avere conseguenze indesiderate, come creare un'esperienza utente scadente o bloccarti fuori dal tuo sito web!

Quindi, per favore, non fare quanto segue.

1. Nascondi la tua pagina di accesso wp

Molti plugin di sicurezza credono ancora che questo vecchio trucco funzioni.

Se l'hacker non riesce a trovare la pagina di accesso, non può eseguire attacchi di forza bruta, giusto? No, non proprio. Invece:

• Rende il tuo sito web molto difficile da usare. Se dimentichi il nuovo URL di accesso, il recupero del tuo account può essere difficile.
• Se utilizzi gli URL predefiniti forniti con il plug-in di sicurezza, è facile per gli hacker indovinare il tuo nuovo URL.
• Anche se gli hacker non riescono a trovare la pagina wp-login, possono comunque hackerare il tuo sito Web utilizzando la vulnerabilità XML-RPC.

Questa opzione alla fine non ottiene nulla e può causare un bel po' di problemi.

2. Blocco geografico

Il blocco geografico essenzialmente blocca il traffico proveniente da paesi in cui il tuo prodotto o servizio non è disponibile o pertinente. Questo di solito è visto come una misura di sicurezza, ma in realtà è un modo per ridurre la fatturazione per le risorse del server consumate.

È del tutto possibile che tu pensi che il traffico dal Gabon non stia aiutando la tua attività. Ma bloccare tutto il traffico dal Gabon non risolve nulla. Con una buona VPN, chiunque può aggirare anche il blocco geografico di Netflix.

Inoltre, corri il rischio di bloccare Googlebot e anche te stesso!

3. Protezione con password della directory wp-admin

La cartella wp-admin è una delle directory più critiche in qualsiasi installazione di WordPress. Quindi, naturalmente, ogni hacker vuole entrarci. I professionisti della sicurezza inizialmente pensavano che proteggere con password la directory sarebbe stata una buona idea, ma da allora ci siamo resi conto che non è una buona pratica.

La protezione con password della tua directory wp-admin interrompe la funzionalità AJAX sul tuo sito Web WordPress e causa il malfunzionamento di molti plug-in. Se stai gestendo un sito Web WooCommerce, il codice AJAX danneggiato può distruggere la tua funzionalità di ricerca e altri elementi UX critici.

Perché dovresti proteggere il tuo sito web dagli hacker?

Questo articolo contiene già molte informazioni su come proteggere il tuo sito Web dagli hacker e forse ne abbiamo già parlato alcune volte, ma vale la pena ripeterlo. Il tuo sito è prezioso.

Quando diciamo che è prezioso, non stiamo parlando solo di te e dei tuoi visitatori. Forse hai un piccolo negozio online o un blog di hobby che un piccolo gruppo di persone visita regolarmente. L'accordo è che anche se il guadagno monetario diretto derivante dall'hacking del tuo sito Web non è elevato, i vantaggi di avere un sito Web pulito per vendere merci illegali o del mercato grigio fanno comunque valere la pena per l'hacker.

Quindi, un piccolo sito Web non è una protezione contro intenti nefasti.

In secondo luogo, spetta a tutti noi proteggere i dati e le identità dei nostri utenti. Stanno riponendo una certa fiducia in un sito visitandolo e dovremmo essere consapevoli e rispettosi di loro mentre consideriamo la sicurezza del sito web.

Conclusione

Puoi fermare un hacker rimanendo vigile e adottando un approccio proattivo alla sicurezza. È importante rendersi conto che proteggere il tuo sito Web da hacker e attacchi dannosi è un processo continuo. Ci sono passi che puoi fare una volta, ma soprattutto devi essere consapevole dei cambiamenti nel panorama delle minacce.

Inoltre, non esiste un articolo unico e definitivo che possa aiutarti a fermare tutti i possibili attacchi contro il tuo sito web. Qualsiasi articolo o sito Web o esperto che afferma di farlo non è veritiero.

Quindi, anche se non possiamo davvero promettere che questo articolo manterrà il tuo sito Web sicuro e protetto per sempre, ti abbiamo fornito alcuni suggerimenti generali sulla sicurezza che renderanno il tuo sito Web piuttosto difficile da hackerare. Utilizzando i suggerimenti in questo articolo, sarai in grado di correggere diversi difetti nella sicurezza del tuo sito web.

Domande frequenti