Come proteggere il tuo sito Web WordPress

Pubblicato: 2020-09-25

I servizi di hosting WordPress gestiti (come Pressidium) normalmente pongono un'enfasi significativa sulla sicurezza della loro piattaforma di hosting. Viene implementata una serie di funzionalità per aiutare a mantenere sicuri i siti Web WordPress ospitati su questi sistemi.

Tuttavia, c'è solo così tanto che un host WordPress può fare per garantire la sicurezza di un sito Web WordPress. I proprietari di siti Web hanno il loro ruolo da svolgere nell'assicurare che i loro siti Web rimangano sicuri. In questo articolo daremo un'occhiata ai passaggi che puoi eseguire per proteggere il tuo sito Web WordPress.

Mantenere il tuo sito web sicuro: una panoramica

Molti hack del sito Web si verificano come risultato diretto di azioni (o inazioni) intraprese dai proprietari di siti Web. Cose come il mancato aggiornamento dei plug-in all'ultima versione o l'utilizzo di una password debole si traducono in punti deboli sfruttabili che attraversano il tuo sito e che gli hacker prenderanno di mira. La buona notizia è che ci sono una serie di semplici passaggi che puoi seguire per mantenere sicuro il tuo sito Web WordPress. Questi includono:

  • Assicurati che tu e tutti gli altri utenti del sito Web stiate utilizzando password complesse
  • Usa un meccanismo Captcha
  • Usa l'autenticazione a due fattori (2FA)
  • Elimina gli utenti inattivi
  • Utilizzare un sistema "limita i tentativi di accesso".
  • Mantieni sempre aggiornati i tuoi file principali, plugin e temi all'ultima versione
  • Modifica l'URL di accesso predefinito
  • Evita di utilizzare temi e plug-in annullati

Diamo un'occhiata più da vicino ad alcuni di questi passaggi e scopriamo come applicarli al tuo sito web.

Assicurati che i tuoi utenti utilizzino password complesse

Non esiste un firewall lato server o un altro sistema di sicurezza dell'hosting in grado di proteggere il tuo sito Web WordPress da una password debole. Nonostante i problemi noti con l'utilizzo di una password debole, le statistiche suggeriscono che uno stupefacente 35% degli utenti utilizza ancora password deboli per proteggere il proprio sito Web WordPress nonostante sia stato spinto da WordPress a scegliere una password più forte.

conferma password debole

Forse la conclusione che se ne può trarre è che alcuni utenti semplicemente non sono consapevoli di quanto vulnerabile diventi il ​​loro sito Web quando viene utilizzata una password debole. Sfortunatamente, gli hacker molto tempo fa hanno scoperto come trarre vantaggio dagli utenti che scelgono password prevedibili che seguono determinati schemi (come la data di nascita o il nome di un animale domestico).

Altri, pur essendo consapevoli della vulnerabilità delle password deboli, continuano comunque a usarle forse perché è la cosa più facile da fare. Dopotutto, ricordare una password semplice è molto più semplice di una più complessa, composta da lettere, numeri e simboli casuali.

Senza dubbio, la tua password offre una linea di difesa fondamentale contro gli hacker. Più è forte e meglio è. Idealmente una password dovrebbe essere univoca, generata casualmente e aggiornata regolarmente.

Usa un meccanismo Captcha nel modulo di accesso

Lo scopo di un captcha è distinguere gli esseri umani dai "bot" che sono applicazioni software che svolgono attività automatizzate. Gli hacker possono utilizzarli per provare ad accedere ai siti Web tramite la pagina di accesso, istruendo il bot a fare continui tentativi utilizzando dati casuali per accedere a un sito Web. Un captcha è progettato per aiutare a prevenire questo tipo di attacchi a un sito distinguendo tra umani e robot. I captcha sono stati utilizzati per tre decenni e sono ancora distribuiti su innumerevoli siti Web per proteggerli dalle attività dei bot.

Un captcha può essere aggiunto al tuo sito Web WordPress con l'obiettivo di bloccare i tentativi di accesso del bot. Un modo semplice per farlo è installare il plug-in Login no Captcha reCaptcha che sfrutta il sistema captcha di Google.

accedi a reCaptcha

Una volta installato, vedrai apparire la familiare casella di controllo reCaptcha sotto il pannello di accesso. Spunta questo e sei via (supponendo che tu conosca comunque il nome utente e la password corretti!).

Per far funzionare il plug-in dovrai registrarti per un account Google reCaptcha gratuito che ti consentirà quindi di generare una chiave del sito e una chiave segreta.

Come generare il sito e la chiave segreta:

  1. Accedi al tuo account Google (dovrai registrarne uno se non hai già un account). Vai alla pagina di Google reCaptcha e fai clic su "Admin Console" che appare in alto a destra.
  2. Clicca sull'icona 'Plus +' che è di nuovo in alto a destra per registrare un nuovo sito web. Compila le informazioni richieste.
  3. Premi il pulsante di invio e vedrai una pagina come questa:
Chiavi del sito di Google reCaptcha

Dovrai quindi incollare questi valori nelle caselle nelle impostazioni del plug-in come promosso.

Autenticazione a due fattori (2FA)

L'utilizzo di un processo di autenticazione a due fattori aggiungerà un ulteriore livello di sicurezza alle pagine di accesso dei tuoi siti Web prevenendo quello che è noto come un attacco di "forza bruta". Questi tipi di attacchi si verificano quando un bot tenta di accedere continuamente al tuo sito Web utilizzando password e nomi utente che sono stati indovinati (normalmente seguendo alcuni elenchi predefiniti che sfruttano password "deboli" note come 123password e così via. Il bot lo farà continua a provare ad accedere al tuo sito fino a quando non ha successo, il che è una cattiva notizia su due fronti In primo luogo, se ottiene la password corretta, il tuo sito Web è stato violato.In secondo luogo, questi continui tentativi di accesso possono aumentare il carico del server e quindi rallentare il tuo sito Web per motivi legittimi utenti.

Fortunatamente, sono disponibili plug-in di terze parti che possono aiutare a fermarlo.

Plugin a due fattori

Il plug-in Two-actor di Plugin Contributors è un plug-in utile e facile da usare che fornisce ai siti Web una protezione a due fattori costringendo gli utenti a fornire un codice di autenticazione insieme alle normali credenziali di accesso. Questo codice può essere inviato via e-mail o generato utilizzando un generatore di password monouso come Google Authenticator.

Plugin a due fattori

Plugin di Google Authenticator

Il plug-in Google Authenticator è un altro popolare plug-in 2FA che può essere distribuito per proteggere il tuo sito Web WordPress. Questo plug-in completamente gratuito offre una serie di opzioni di autenticazione 2FA inclusi SMS e, naturalmente, utilizzando l'app Google Authenticator. La configurazione è abbastanza semplice e veloce. Segui semplicemente le istruzioni quando attivi il plugin.

Plugin di Google Authenticator

Elimina utenti inattivi

Un altro facile bersaglio per gli aggressori sono gli account utente del sito Web che non vengono utilizzati da molto tempo. Il risultato è che la password è spesso più debole di quanto potrebbe essere se l'utente avesse creato l'account di recente o accedesse regolarmente al sito web. Per questo motivo vale la pena eliminare periodicamente tutti gli account inattivi.

Puoi utilizzare un plug-in per rilevare facilmente questi utenti inattivi come il plug-in When Last Login.

Una volta attivato, aggiunge semplicemente una colonna personalizzata alla tabella dell'elenco degli utenti amministratori che mostra il timestamp dell'ultima data e ora di accesso di quell'utente. Puoi ordinare questa colonna in modo da poter identificare a colpo d'occhio gli utenti inattivi, il che significa che puoi eliminarli se necessario.

Quando l'ultimo accesso

Quindi su Utente -> Tutti gli utenti ordinano in base alla colonna "Ultimo accesso" aggiunta:

Colonna dell'ultimo accesso all'ultimo accesso

Limita i tentativi di accesso

Un altro modo per aggiungere un ulteriore livello di sicurezza al tuo sito WordPress è limitare il numero di tentativi di accesso consentiti entro un determinato periodo di tempo. Questa tecnica contrasta i robot che effettuano continue ipotesi di accesso. Inoltre, alcuni plug-in che forniscono questa funzionalità possono anche bloccare l'indirizzo IP da cui hanno avuto origine i tentativi di accesso e così facendo impediscono a quel particolare bot che opera da quell'indirizzo IP di tentare ripetuti attacchi al tuo sito in futuro.

Un buon plugin che offre questa funzionalità è il plugin gratuito Limit Login Attempts Reloaded.

Limita i tentativi di accesso Plugin ricaricato

Con oltre 1 milione di installazioni al momento della scrittura, puoi essere certo che il plug-in funziona bene.

Dopo averlo installato e attivato, vai al menu Impostazioni e quindi fai clic su "Limita tentativi di accesso". Sarai in grado di modificare una serie di parametri, incluso il numero di tentativi consentiti prima che l'utente venga bloccato fuori dal sito web.

Limita le impostazioni dei tentativi di accesso

Limitare i tentativi di accesso è un modo estremamente efficace per proteggere il tuo sito Web, motivo per cui lo abilitiamo come impostazione predefinita su tutti i siti Web ospitati da Pressidium.

Nota: se si utilizza Jetpack, una versione recente di funzionalità denominata "Modulo di protezione" include un sistema di limiti di tentativi di accesso come predefinito. Questo sistema fornisce anche informazioni sui tentativi di accesso bloccati e l'opzione per inserire nella whitelist gli IP. Se si utilizza questo plug-in, non è necessario installare un plug-in "limite di accesso" separato.

Mantieni i tuoi file core, plugin e temi aggiornati all'ultima versione

Tra i molti altri vantaggi, l'aggiornamento del core, del tema e dei plugin di WordPress è fondamentale per la sicurezza del tuo sito web. Le statistiche mostrano che versioni, temi e plug-in obsoleti sono il modo più popolare con cui gli hacker ottengono l'accesso ai siti Web, il che rende l'aggiornamento una priorità assoluta.

In Pressidium aggiorniamo automaticamente il core di WordPress all'ultima versione dopo averlo testato per la prima volta per assicurarci che non ci siano problemi chiave che potrebbero causare problemi ai nostri clienti con i loro siti web. Poiché questi aggiornamenti vengono eseguiti automaticamente, puoi stare tranquillo sapendo che il tuo sito Web esegue sempre l'ultima versione di WordPress.

Ospita il tuo sito web con Pressidium

GARANZIA DI RIMBORSO DI 60 GIORNI

GUARDA I NOSTRI PIANI

Inoltre, rendiamo l'aggiornamento dei plug-in sui siti Web ospitati presso di noi il più semplice possibile fornendo una funzione di aggiornamento dei plug-in accessibile tramite la dashboard di Pressidium. Ciò consente ai nostri clienti di vedere a colpo d'occhio se i plug-in dei loro siti Web devono essere aggiornati. In tal caso, l'aggiornamento può essere eseguito con un paio di clic dalla dashboard di Pressidium. Eseguiamo inoltre regolarmente la scansione dei siti Web ospitati presso di noi alla ricerca di plug-in che presentano vulnerabilità note e informeremo il proprietario del sito Web di questa vulnerabilità tramite e-mail. Nei casi in cui un plug-in non aggiornato rappresenta un rischio estremo per un sito Web, lo aggiorneremo anche in modo proattivo per conto del proprietario del sito Web.

Modifica l'URL di accesso predefinito

Ora che abbiamo esaminato i modi per proteggere la pagina di accesso (in effetti proteggendo la "porta d'ingresso") diamo un'occhiata alle opzioni per nascondere la porta d'ingresso assicurando che un ladro (o un hacker!) Non possa nemmeno provare ad entrare .

Un ottimo modo per farlo è cambiare la posizione dell'URL di accesso predefinito di WordPress cambiandolo in uno personalizzato. In tal modo, blocchi istantaneamente il traffico da wp-login, il che a sua volta significa che non dovresti subire attacchi di forza bruta sul tuo sito web.

Uno di questi plugin che ti consente di cambiare rapidamente la posizione della pagina di accesso è WPS Hide Login.

WPS Nascondi accesso

Evita di utilizzare temi e plug-in annullati

I temi o i plug-in annullati sono quelli che in genere contengono malware o codice modificato progettato per causare danni. Sono spesso disponibili "a buon mercato", motivo per cui attraggono le persone. Dopotutto, a nessuno piace davvero spendere soldi per temi e plugin premium. Con alcuni temi e plugin annullati disponibili per una frazione del costo della versione "genuina", puoi capire perché sono tentati di usarli.

In realtà, i "risparmi" che ottieni utilizzando versioni annullate possono spesso essere oscurati dai costi sostenuti a causa dell'infezione del tuo sito Web con malware. Anche se non contengono codice dannoso, spesso avranno fastidiosi annunci e popup che possono rovinare l'esperienza del plugin o del tema. Inoltre, ovviamente non sono supportati dallo sviluppatore originale, il che significa che non c'è nessuno a cui rivolgersi se qualcosa va storto.

In breve, non utilizzare temi o plugin annullati... non ne vale davvero la pena!

Conclusione

Un sito Web violato non è nell'interesse di nessuno (a parte ovviamente l'hacker). Sebbene l'hosting WordPress gestito di alta qualità possa migliorare significativamente la sicurezza del tuo sito Web, è anche importante ricordare che anche tu, in quanto proprietario del sito Web, hai un ruolo da svolgere nella protezione del tuo sito Web.

Seguire anche solo alcuni dei semplici passaggi descritti sopra può davvero aiutare a migliorare la sicurezza del tuo sito Web e vale la pena implementarli.