Come impedire che un sito WordPress venga violato

I siti Web WordPress rappresentano oltre il 43% di tutti i siti Web e questa popolarità rende la piattaforma un bersaglio per gli attacchi online. Ciò significa che, sebbene i vantaggi di WordPress siano apparentemente illimitati, esistono anche vulnerabilità note che gli hacker possono sfruttare.

Ecco perché è una buona idea adottare le adeguate misure di sicurezza web per evitare che il tuo sito WordPress venga violato. In questo modo, puoi proteggere tutti i tuoi dati sensibili, preservare la reputazione della tua azienda e mantenere la fiducia e la lealtà dei clienti.

In questo post, daremo uno sguardo più da vicino agli hack e alle vulnerabilità comuni di WordPress. Quindi, ti mostreremo come prevenire i tentativi di hacking di WordPress.

Quanto sono comuni gli hack di WordPress?

Il software principale di WordPress è molto sicuro e viene regolarmente controllato dagli sviluppatori. Detto questo, la popolarità del sistema di gestione dei contenuti (CMS) lo rende un bersaglio per gli hacker che desiderano creare un’ampia rete per rubare informazioni sensibili, distribuire malware ed eseguire altre azioni dannose.

WordPress può anche essere preso di mira perché, in quanto software open source, WordPress rende pubbliche tutte le vulnerabilità della sicurezza. Infatti, WPScan ha attualmente 49.000 vulnerabilità di WordPress elencate nel suo database.

Ciò può rendere più semplice per i malintenzionati compromettere il software. Inoltre, essendo una piattaforma adatta ai principianti, molti utenti WordPress non sanno come mantenere e proteggere adeguatamente i propri siti Web. Ad esempio, uno dei modi migliori per proteggere WordPress è mantenere aggiornato il software. Ma solo l’80% degli utenti di WordPress ha installato la versione sei del software.

E, di quell’80%, solo il 75% utilizza la versione di WordPress più recente in assoluto. Pertanto, questi siti Web potrebbero avere più difficoltà a prevenire gli attacchi hacker a WordPress.

Vulnerabilità comuni che causano attacchi al sito WordPress

Ora che sai qualcosa in più sul problema, diamo un'occhiata alle principali vulnerabilità che possono portare agli attacchi di WordPress.

1. Core e plugin di WordPress obsoleti

Il software principale di WordPress viene regolarmente aggiornato con nuove funzionalità, correzioni di bug e altri miglioramenti della sicurezza. In effetti, quest'anno ci sono già state dieci versioni di WordPress.

L'ultima versione è arrivata con due correzioni di bug in Core, 12 correzioni per l'editor a blocchi e un'ulteriore correzione di sicurezza. La maggior parte degli sviluppatori di plug-in rilascia anche versioni più recenti del proprio software dotate di correzioni di sicurezza.

Pertanto, una volta che un software esiste da un po’ di tempo, è più probabile che gli hacker capiscano come sfruttarne i punti deboli. Quindi, sono in grado di utilizzarlo come backdoor per ottenere l'accesso non autorizzato al tuo sito Web per svolgere attività dannose.

2. Password deboli

Un'altra causa comune degli hack di WordPress è la scelta debole delle password, ed è una delle cause più facili da risolvere. La cattiva notizia è che molti utenti danno priorità alla comodità rispetto alla sicurezza quando si tratta di impostare nuove password.

Infatti, “123456” è stata la password più comune lo scorso anno ed è stata utilizzata più di 4,5 milioni di volte. La seconda password più utilizzata è stata “admin”, utilizzata quattro milioni di volte.

Anche se i proprietari di siti web comprendono l’importanza di password complesse, non tutti gli utenti prenderanno la precauzione di impostarle. Ecco perché è una buona idea educare gli utenti e applicare password complesse su WordPress utilizzando strumenti come Password Policy Manager.

3. Temi insicuri e obsoleti

Come nel caso del core e dei plugin di WordPress, i temi non sicuri e obsoleti sono un altro ottimo candidato per gli hack di WordPress. Come con i plugin, ai temi obsoleti spesso mancano patch di sicurezza e correzioni di bug.

Inoltre, potrebbero diventare incompatibili con altri plugin e con il software principale, il che può portare a errori di WordPress come la schermata bianca della morte. Inoltre, poiché WordPress è open source, qualsiasi sviluppatore può vendere temi online.

Ecco perché è importante attenersi a fonti e sviluppatori attendibili per assicurarsi che i temi siano sicuri da usare. Un altro segno positivo sono gli aggiornamenti frequenti, che potete verificare nella pagina dedicata al tema. È anche utile controllare le valutazioni e leggere le recensioni. Molte installazioni attive possono anche indicare che un tema è sicuro da usare.

4. Mancanza di un plugin di sicurezza

I plugin di sicurezza forniscono un modo proattivo per rilevare minacce e proteggere il tuo sito dagli attacchi WordPress. Meglio ancora, la maggior parte dei plugin di sicurezza funziona automaticamente. Ciò significa che, una volta configurato, lo strumento di sicurezza funzionerà in background con una gestione manuale minima o nulla.

Senza plugin di sicurezza, è facile non riconoscere i segnali più comuni di un tentativo di hacking di WordPress. Ad esempio, soluzioni come Jetpack Security sono dotate di protezione dalla forza bruta e di un firewall per applicazioni Web (WAF) per filtrare il traffico sospetto sul tuo sito.

Inoltre, Jetpack fornisce la scansione del malware in tempo reale, nonché la protezione da commenti e spam. Puoi anche automatizzare il processo di backup e archiviare le copie del tuo sito web in una posizione remota sicura. Inoltre, è facile ripristinare il tuo sito web se qualcosa va storto.

Come gli hacker sfruttano queste vulnerabilità

Ora che conosci le principali vulnerabilità che portano agli attacchi di WordPress, diamo un'occhiata ai modi più comuni in cui gli hacker sfruttano queste vulnerabilità. Il metodo principale per gli hack di WordPress è prendere di mira file core, plugin, temi o pagine di accesso.

Molti hacker utilizzano bot che scansionano automaticamente i siti web per identificare i punti deboli che possono essere successivamente sfruttati. Inoltre, gli hacker possono ingannare i siti Web utilizzando diversi agenti utente, inviando informazioni diverse ai siti Web sul browser e sul sistema operativo.

La pagina di accesso di WordPress è anche un punto di accesso comune per gli hacker. Se non modifichi l'URL della pagina di accesso WordPress predefinita, chiunque può trovarlo aggiungendo un determinato suffisso come "/admin" alla fine del tuo nome di dominio.

Quindi, gli aggressori possono utilizzare attacchi di forza bruta che implicano il tentativo di centinaia di combinazioni di nome utente e password finché non riescono ad accedere al tuo sito. E, come abbiamo già detto, molti utenti si affidano a password deboli che possono essere violate molto rapidamente.

Le conseguenze finanziarie e reputazionali di un sito compromesso

Uno dei motivi principali per cui le persone vogliono sapere come prevenire i tentativi di hacking di WordPress è evitare le conseguenze finanziarie di un sito compromesso. Naturalmente, se una persona non autorizzata accede al tuo sito, può visualizzare, manomettere e rubare dati privati.

Se disponi di informazioni personali o dettagli di pagamento dei clienti in archivio, potresti violare le leggi sulla protezione dei dati che comportano pesanti sanzioni. Infatti, le violazioni gravi del GDPR possono arrivare fino a 20 milioni di euro. E lo scorso anno il costo medio di una violazione dei dati negli Stati Uniti ammontava a quasi 9,5 milioni di dollari.

Non solo, questo tipo di violazione è semplicemente una violazione della privacy, che può portare alla perdita di fiducia e lealtà dei clienti di lunga data. Di conseguenza, può causare danni permanenti alla reputazione della tua azienda. Può essere difficile riprendersi, soprattutto se il tuo marchio è meno affermato.

Devi anche pensare al costo per riparare o ripristinare un sito web, che dipenderà dal tipo di hacking di WordPress. Per far fronte agli attacchi ransomware, potresti dover pagare un sacco di soldi per riottenere l’accesso al tuo sito. Nel frattempo, può essere costoso pulire o sostituire file importanti del sito.

Infine, i siti Web compromessi ritenuti sospetti o pericolosi possono essere inseriti nelle blocklist di Google. Se ciò accade, può essere difficile rimuovere il tuo sito dalle blocklist. E, poiché il tuo sito web non apparirà nei risultati di ricerca finché non verrà rimosso da questo elenco, probabilmente subirai un duro colpo in termini di traffico e entrate.

Misure per impedire che un sito WordPress venga violato

Ora che conosci le principali cause e conseguenze degli hack, diamo un'occhiata a come prevenire i tentativi di hacking di WordPress.

1. Mantieni WordPress aggiornato

Uno dei modi principali con cui gli hacker possono ottenere un accesso non autorizzato al tuo sito è sfruttare le vulnerabilità note nelle vecchie versioni del software. Questo vale per il software principale di WordPress, i plugin e i temi.

Inoltre, la maggior parte degli aggiornamenti include correzioni di bug e altri miglioramenti della sicurezza che rendono più difficile per gli hacker sferrare attacchi. E per quanto riguarda plugin e temi, anche i software disattivati ​​possono essere presi di mira, quindi è meglio eliminare quelli che non si utilizzano più.

Per prevenire gli attacchi hacker a WordPress, è importante aggiornare il tuo sito web non appena sono disponibili nuove versioni. Di solito vedrai una notifica quando gli aggiornamenti sono pronti. Ma puoi anche andare su Dashboard → Aggiornamenti nella schermata di amministrazione di WordPress.

Qui puoi vedere se c'è una nuova versione di WordPress da installare oppure puoi fare clic sul collegamento Controlla di nuovo per esserne sicuro. Se è disponibile una nuova versione, è una buona idea eseguire il backup del sito prima di eseguire l'aggiornamento ed eseguire prima l'aggiornamento in un ambiente di staging.

Più in basso vedrai tutti i temi e i plugin elencati per cui sono disponibili aggiornamenti.

Per aggiornare plugin e temi, seleziona la casella accanto a ciascuno di essi, quindi fai clic su Aggiorna plugin o Aggiorna temi.

Per tranquillità, può essere meglio abilitare gli aggiornamenti automatici per i plugin che usi regolarmente. In questo modo, non devi preoccuparti che il software diventi obsoleto e non sicuro. Per fare ciò, è sufficiente accedere alla pagina Plugin installati .

Nella colonna Aggiornamenti automatici , dovresti vedere un collegamento Abilita aggiornamenti automatici accanto a ciascun plug-in installato. Tutto quello che devi fare è cliccare sul link. Quindi, se cambi idea in qualsiasi momento, disabilita semplicemente questa funzione.

2. Scegli un provider di hosting sicuro

Se ti stai chiedendo come prevenire i tentativi di hacking di WordPress, è importante scegliere un provider di hosting sicuro. Sebbene siano disponibili tantissimi host web, alcune soluzioni adottano misure aggiuntive per proteggere i server dalle minacce note.

Un servizio di hosting di qualità dovrebbe includere anche un metodo per monitorare il traffico sospetto (come un firewall). Inoltre, la maggior parte degli host web di buona qualità dispone di strumenti per prevenire attacchi DDoS (Distributed Denial of Service) e fornire backup regolari per ripristinare rapidamente il tuo sito web.

Bluehost è un popolare provider di hosting che offre una gamma di piani convenienti.

Bluehost offre anche una suite completa di funzionalità di sicurezza. Offre infatti crittografia dei dati, backup automatici, scansioni di malware e supporto 24 ore su 24, 7 giorni su 7. Meglio ancora, i pacchetti selezionati includono la mitigazione DDoS, un firewall per applicazioni Web (WAF) e altro ancora.

È anche importante considerare il tipo di hosting del sito Web che utilizzerai. Sebbene l’hosting condiviso sia l’opzione più conveniente, comporta un rischio maggiore di contaminazione tra siti. Questo perché con questo tipo di piano condividerai un server con altri siti Web che potrebbero non adottare le tue stesse precauzioni di sicurezza.

Con questo in mente, può essere meglio optare per un hosting dedicato o con server privato virtuale (VPS).

Oppure, le soluzioni di hosting gestito in genere forniscono un ambiente sicuro per il tuo sito web poiché molte attività di manutenzione sono curate per te. Ciò include spesso backup, aggiornamenti e altre configurazioni di sicurezza.

3. Installa un plug-in di sicurezza tutto in uno

Come accennato, uno dei modi più convenienti per prevenire gli attacchi hacker a WordPress è installare un plugin di sicurezza tutto in uno. In questo modo puoi automatizzare molti processi di sicurezza in modo da non dover controllare o aggiornare continuamente manualmente le configurazioni.

Anche in questo caso, sono disponibili numerosi plugin di sicurezza, ma Jetpack Security rappresenta un’opzione eccellente per i siti Web WordPress.

Con un dashboard elegante e un'interfaccia intuitiva, è adatto anche ai principianti assoluti. Avrai accesso a un WAF premium per filtrare tutto il traffico web in entrata. Inoltre, puoi anche bloccare indirizzi IP specifici che sai essere sospetti.

Grazie a un registro delle attività di 30 giorni, puoi tenere d'occhio ogni azione eseguita sul tuo sito web. Ciò semplifica l'identificazione della causa di problemi ed errori di sicurezza. Inoltre, Jetpack fornisce la scansione del malware in tempo reale con numerose soluzioni con un solo clic.

Inoltre, tutti i backup vengono archiviati nel Jetpack Cloud. Pertanto, se il tuo server viene compromesso, i tuoi backup rimangono protetti e al sicuro. Inoltre, puoi ripristinare il tuo sito a un punto esatto nel tempo, mantenendo comunque i dettagli attuali dell'ordine del cliente.

4. Applicare policy complesse per le password

Se vuoi sapere come prevenire i tentativi di hacking di WordPress, un’altra strategia è rafforzare la procedura di accesso a WordPress. Gran parte di ciò implica l’utilizzo e l’applicazione di politiche di password complesse.

Una password complessa contiene una combinazione di lettere maiuscole e minuscole, numeri e caratteri speciali. Ma, anche se la tua password soddisfa tutti questi parametri, può comunque essere craccata immediatamente se contiene meno di sette caratteri. Pertanto, è meglio optare per password lunghe.

Tuttavia, anche se segui queste migliori pratiche per le tue password, ciò è essenzialmente inutile se altri utenti sul tuo sito utilizzano password deboli. Pertanto, è una buona idea applicare password complesse su WordPress utilizzando un plug-in come Password Policy Manager.

In questo modo, puoi determinare la sicurezza della password, forzare la reimpostazione della password e definire un periodo di tempo in cui le password scadranno automaticamente. Inoltre, con la versione premium, puoi bloccare gli utenti inattivi e generare password casuali per prevenire attacchi di forza bruta.

5. Implementare l'autenticazione a due fattori (2FA)

Le password complesse svolgono un ruolo fondamentale nel rafforzare la procedura di accesso a WordPress, ma puoi aggiungere un ulteriore livello di sicurezza utilizzando l'autenticazione a due fattori. Con questa configurazione, gli utenti devono fornire una seconda chiave (oltre a una password) per poter accedere al tuo sito.

In genere, questa seconda chiave è un codice univoco che viene inviato a un indirizzo e-mail o a un dispositivo mobile associato all'account utente. La buona notizia è che puoi proteggere l’accesso, inclusa la richiesta di 2FA, forzando l’accesso al sito tramite un account WordPress.com. Questo può essere fatto con la funzione di autenticazione sicura su Jetpack.

In questo modo, anche se gli hacker riescono a recuperare password e nomi utente, non saranno in grado di inserire la seconda chiave (che di solito viene generata in tempo reale).

6. Proteggi le autorizzazioni per file e directory

I siti Web WordPress sono costituiti da diversi file e directory con controlli che determinano quali utenti possono accedervi e modificarli. Senza queste autorizzazioni, chiunque abbia accesso al tuo sito può visualizzare e modificare i file.

Questo può rappresentare un problema di sicurezza, soprattutto se gli account utente vengono rilevati da soggetti malintenzionati che potrebbero quindi causare danni. Se utilizzi cPanel o accedi al tuo sito tramite protocollo di trasferimento file (FTP), probabilmente hai visto i file e le directory di WordPress.

In generale, i valori corretti dei permessi dei file per WordPress sono 644 per i file e 755 per le cartelle. Ma ci sono casi in cui potresti preferire proteggere ulteriormente i tuoi file, come spesso accade con il file wp-config.php e il file .htaccess .

Se vuoi rendere questi file meno permissivi, puoi modificare i valori in 640 o 600. Infatti, per bloccare ulteriormente i file, potresti anche preferire un valore di 444, ma questo può limitare i plugin che necessitano di accesso ai file (come molti plugin di memorizzazione nella cache).

7. Installa un certificato SSL

Il protocollo Secure Sockets Layer (SSL) fornisce un ulteriore livello di sicurezza per i siti Web che si occupano del trasferimento di informazioni sensibili come i dati delle carte di credito. Con un certificato SSL, i dati vengono crittografati. Ciò significa che, anche se viene intercettato dagli hacker, rimane illeggibile.

Inoltre, la sicurezza SSL verifica la proprietà del tuo sito web, impedendo agli hacker di crearne versioni false. Pertanto, può anche aiutare a stabilire credibilità e ad aumentare la fiducia dei clienti.

La buona notizia è che molti provider di web hosting offrono certificati SSL gratuiti come parte dei loro servizi di hosting. In alternativa, puoi acquistare un certificato SSL da un'autorità di certificazione valida come Let's Encrypt.

Proteggiamo il tuo sito. Gestisci la tua attività.

Jetpack Security fornisce una sicurezza completa e facile da usare per il sito WordPress, inclusi backup in tempo reale, un firewall per applicazioni web, scansione anti-malware e protezione anti-spam.

Proteggi il tuo sito

8. Installa un firewall per applicazioni Web (WAF)

Un altro modo popolare per prevenire gli attacchi hacker a WordPress è installare un firewall per applicazioni web. Ciò ti consente di filtrare tutto il traffico in entrata e bloccare eventuali indirizzi IP sospetti.

È una misura preventiva che funziona come una barriera, quindi puoi essere certo che gli hacker non riusciranno nemmeno ad accedere al tuo sito web. Inoltre, se utilizzi Jetpack Security, puoi accedere a questo ulteriore livello di sicurezza e configurarne regole specifiche.

Per abilitare il firewall di Jetpack, avrai prima bisogno di un piano che includa Jetpack Scan. Quindi, vai su Jetpack → Impostazioni. Quindi, scorri verso il basso fino alla sezione Firewall e utilizza i pulsanti di attivazione/disattivazione per abilitare il firewall, bloccare IP specifici e consentire IP specifici.

Per bloccare o consentire gli IP, dovrai inserire gli indirizzi IP completi nelle caselle pertinenti. Quindi, fai clic su Salva elenco bloccati o Salva elenco consentiti.

9. Scansiona regolarmente il tuo sito alla ricerca di vulnerabilità

Se ti stai chiedendo come prevenire i tentativi di hacking di WordPress, è anche una buona idea impostare scansioni di vulnerabilità regolari. In questo modo puoi accedere alla protezione 24 ore su 24 e rilevare rapidamente eventuali minacce potenziali.

Jetpack Security fornisce protezione 24 ore su 24, 7 giorni su 7, grazie al WAF e alle scansioni malware in tempo reale che rilevano le minacce più aggiornate. Ma, se hai un budget limitato, potresti preferire iniziare con Jetpack Scan, che fornisce l'accesso solo a queste funzionalità (senza i vantaggi aggiuntivi di Jetpack Security come backup in tempo reale e protezione antispam).

Potrai comunque utilizzare il servizio WAF e malware di Jetpack. E, se c'è qualcosa che non va nel tuo sito, verrai avvisato immediatamente via e-mail. Una delle migliori caratteristiche è che tutte le scansioni avvengono sui server di Jetpack, quindi puoi comunque accedere al tuo sito anche se non funziona.

Questo plugin identificherà eventuali vulnerabilità nei plugin, nei temi e selezionerà file e directory. Per impostazione predefinita, riceverai una scansione giornaliera, ma puoi anche avviare le scansioni manualmente. Inoltre, puoi visualizzare i risultati della scansione direttamente dalla dashboard (e abilitare le correzioni con un clic per la maggior parte dei problemi).

10. Rimuovere gli account utente inattivi

Gli account utente inattivi possono intasare il tuo sito web e sollevare problemi di sicurezza. In genere, se un utente non ha effettuato l'accesso al proprio account negli ultimi 90 giorni, ciò è un chiaro segno di inattività dell'utente.

È importante rimuovere questi account per evitare problemi di sicurezza. Ad esempio, i vecchi account contengono password che non sono state modificate da molto tempo, quindi c'è una maggiore possibilità che siano trapelate nel dark web.

Quindi, accedi alla dashboard di WordPress e vai su Utenti → Tutti gli utenti. Se preferisci, sotto il profilo utente puoi inviare un collegamento per la reimpostazione della password. Oppure fai semplicemente clic su Elimina e conferma l'azione nella pagina successiva.

Spetta a te determinare i limiti specifici su come definire gli account inutilizzati. Potresti avere utenti che hanno creato un account ma non hanno mai versato un contributo o acquistato un prodotto. Oppure potrebbero esserci utenti che non hanno mai utilizzato in modo coerente i propri account.

Se hai a che fare con un gran numero di utenti e non sei sicuro di quanto siano attivi, puoi sempre installare un plug-in gratuito come WP Last Login per monitorarlo. Questo strumento ti consente di visualizzare la data dell'ultimo accesso degli utenti direttamente nella dashboard di WordPress.

11. Traccia e monitora l'attività dell'utente

Un altro ottimo modo per prevenire i tentativi di hacking di WordPress è tracciare e monitorare l’attività dell’utente. In questo modo, puoi tenere un registro completo di ogni azione eseguita sul tuo sito web.

Ad esempio, a seconda dello strumento che stai utilizzando, potresti essere in grado di vedere quando un utente esegue un aggiornamento, installa un plug-in, carica immagini, lascia commenti e altro ancora. Ciò rende la gestione del sito molto più trasparente e può accelerare le riparazioni e il debug.

La buona notizia è che se utilizzi Jetpack Security, avrai accesso a un registro delle attività che memorizza le azioni dell'utente. Inoltre, otterrai informazioni dettagliate sull'evento, incluso l'utente che ha eseguito l'azione e l'ora esatta in cui si è verificata.

Meglio ancora, anche con la versione gratuita di Jetpack puoi visualizzare gli ultimi 20 eventi svolti sul tuo sito. Questo può aiutarti a prevenire attacchi di forza bruta poiché riceverai anche una notifica dei tentativi di accesso da parte degli utenti.

12. Rinominare l'account utente "admin" predefinito

Come abbiamo discusso, può essere facile per gli hacker accedere al tuo sito se non modifichi l'URL della pagina di accesso predefinita (di cui parleremo più avanti). Ma molte persone continuano a mantenere “admin” come nome utente del proprio account WordPress.

Ciò significa che gli hacker dovranno solo indovinare correttamente la tua password e otterranno il controllo completo sul tuo sito web, poiché l'account amministratore non ha limitazioni. Pertanto, è meglio modificare il nome dell'account "amministratore" predefinito per prevenire gli attacchi hacker a WordPress.

Per fare ciò, vai su Utenti → Aggiungi nuovo utente nella dashboard di WordPress. Completa tutti i campi richiesti, incluso un nome utente univoco che non sia "admin". Quindi, utilizza il menu a discesa Ruolo per selezionare Amministratore .

Ora fai clic su Aggiungi nuovo utente nella parte inferiore della pagina. Ora, nella schermata Tutti gli utenti , dovresti vedere il nuovo account amministratore che hai appena creato.

A questo punto, dovrai disconnetterti dal tuo account corrente (il vecchio account amministratore) e accedere nuovamente a WordPress utilizzando le credenziali del nuovo account amministratore. Quindi, torna alla schermata Utenti → Tutti gli utenti e fai clic sul collegamento Elimina sotto il vecchio account amministratore.

Ma è importante attribuire tutti i post e le pagine al nuovo account amministratore. In caso contrario, qualsiasi contenuto creato utilizzando il vecchio account amministratore verrà eliminato.

Pertanto, dovrai selezionare la casella che dice Attribuisci tutti i post a e utilizzare la casella a discesa per selezionare il nuovo utente amministratore.

Quindi, fare clic su Conferma eliminazione.

13. Nascondi wp-admin/ e wp-login.php

Per prevenire i tentativi di hacking di WordPress, puoi anche nascondere le pagine wp-admin e wp-login.php. Per impostazione predefinita, WordPress utilizza un URL di accesso standard che combina il tuo nome di dominio con il suffisso wp-login.php.

Questa struttura di base sembra la stessa anche se usi sottodomini e sottodirectory. Pertanto, gli hacker possono inserirlo nella barra di ricerca e arrivare direttamente alla pagina di accesso di WordPress.

Inoltre, se combini il tuo dominio con il suffisso wp-admin, gli hacker possono essere indirizzati alla pagina di accesso dell'amministratore. Pertanto, se vuoi rendere più difficile l'accesso al tuo sito agli aggressori, è meglio modificare gli URL della pagina di accesso.

Il modo più semplice per farlo è utilizzare un plugin come WPS Hide Login, che rende inaccessibile la directory wp-admin e la pagina /wp-login.php .

Utilizzando questo strumento, puoi sostituirlo con un URL di accesso personalizzato che condividerai solo con gli utenti di cui ti fidi. Funziona anche su sottodomini e sottocartelle. Ma se non desideri utilizzare un plug-in, puoi anche nascondere manualmente gli URL della pagina di accesso.

14. Proteggi il tuo file /wp-config.php

Un altro modo comune per prevenire i tentativi di hacking di WordPress è proteggere il file wp-config.php . Questo è uno dei file WordPress più importanti poiché contiene informazioni sulla tua installazione di WordPress, come i dettagli della connessione al database e le chiavi di sicurezza di WordPress.

La cattiva notizia è che WordPress ha una posizione predefinita per il file, che ne facilita la ricerca da parte degli hacker. Pertanto, puoi spostare questa cartella all'esterno della directory principale del tuo sito (che di solito è etichettata / public_html ) e funzionerà ancora.

Inoltre, potresti anche voler limitare le autorizzazioni del file in modo che solo i veri proprietari possano modificare il file. Per fare ciò, dovrai scaricare il file .htaccess , che troverai anche nella cartella principale.

Quindi, in un editor di testo semplice, apri il file e aggiungi il seguente codice:

 <files wp-config.php> order allow,deny deny from all </files>

Ora puoi caricare nuovamente il file .htaccess aggiornato nella cartella principale per negare l'accesso al file wp-config.php .

15. Esegui regolarmente il backup del tuo sito

È facile farsi prendere dal panico quando il tuo sito web viene violato. Tuttavia, se disponi di una copia aggiornata del tuo sito Web, puoi risolvere rapidamente il problema.

Anche se puoi creare backup manuali del tuo database, il metodo più semplice è installare un plugin di sicurezza come Jetpack Security. In questo modo avrai accesso a Jetpack VaultPress Backup, che è una soluzione di backup WordPress dedicata.

Il plugin crea il primo backup del tuo sito non appena l'acquisto viene completato. È la scelta ideale per i negozi di e-commerce perché esegue il backup di tutti i dati dei clienti e degli ordini, nonché di immagini, contenuto della pagina e altro ancora.

La parte migliore è che, a differenza delle opzioni di web hosting integrate, i backup vengono archiviati nell'archivio cloud remoto di Jetpack. Ciò significa che puoi ripristinare una versione pulita del tuo sito anche quando non riesci ad accedere. Inoltre, puoi scegliere il momento esatto in cui desideri ripristinare il tuo sito.

In che modo Jetpack Security gestisce la sicurezza di WordPress per la massima tranquillità

Ora che sai come prevenire i tentativi di hacking di WordPress, ecco come Jetpack Security protegge il tuo sito web in modo che tu possa stare tranquillo.

Scansione di malware e vulnerabilità 24 ore su 24, 7 giorni su 7

Uno dei modi principali in cui Jetpack Security ti aiuta a prevenire gli attacchi hacker a WordPress è la scansione di malware e vulnerabilità in tempo reale. Per malware si intende un software dannoso che può essere utilizzato per rubare o eliminare dati, dirottare le funzioni principali e spiare l'attività del computer.

Ma Jetpack Scan non si limita al solo rilevamento di malware. Può anche identificare modifiche sospette ai file principali di WordPress, plug-in obsoleti o non sicuri e shell basate sul Web, che forniscono agli hacker pieno accesso al tuo server.

Una volta installato Jetpack Security, la prima scansione verrà avviata immediatamente. Quindi, vai su Jetpack → Proteggi → Scansione per visualizzare i risultati (anche se potresti dover prima autorizzare il tuo account WordPress.com).

Qui puoi anche avviare manualmente una nuova scansione e visualizzare i risultati della scansione. Inoltre, sarai in grado di vedere se ci sono minacce attive. Inoltre, se viene identificata più di una minaccia, a queste verrà assegnata la priorità in base alla gravità.

Se vengono rilevate minacce, riceverai anche una notifica e-mail istantanea e potrai visualizzare le minacce nella dashboard di WordPress. Inoltre, Jetpack fornisce spesso soluzioni con un clic per risolvere i problemi.

Backup in tempo reale e ripristini con un clic

I backup ti consentono di recuperare rapidamente da un hack di WordPress. Senza un backup, il tuo sito web potrebbe rimanere inattivo per un po', mentre cerchi di identificare le patch per risolvere il problema. Ciò avrà probabilmente un impatto sul traffico e sulle entrate del tuo sito web.

Con Jetpack Security, puoi semplicemente sostituire il sito Web interessato con una versione pulita e aggiornata. I backup in tempo reale di Jetpack sono archiviati nel cloud, quindi anche se l'intero server è interessato, puoi comunque accedere al sito Web replicato.

Inoltre, Jetpack esegue anche il backup degli ordini, dei prodotti e dei database di WooCommerce, il che ti aiuta a rimanere conforme alle leggi sulla protezione dei dati. E il processo di ripristino può essere eseguito con un solo clic.

Protezione dagli attacchi di forza bruta

Gli attacchi di forza bruta sono stati elencati come una delle principali cause di attacchi informatici incontrati dalle aziende negli Stati Uniti nel 2022. È stata anche classificata come la quinta principale causa di attacchi ransomware in tutto il mondo nel 2023.

Gli attacchi di forza bruta rallentano il tuo sito a causa delle ripetute richieste del server, ma il vero obiettivo è ottenere l'accesso a file importanti del sito in cui gli hacker possono inserire codice o script dannosi. Ma con Jetpack Security puoi bloccare attacchi di questo tipo attraverso la tua dashboard.

Tutto quello che devi fare è andare su Jetpack → Impostazioni e scorrere verso il basso fino alla sezione pertinente dove vedrai un interruttore per abilitare o disabilitare la funzione.

Infatti, in media, Jetpack blocca 5193 attacchi di forza bruta nel corso della vita di un sito web. Blocca automaticamente gli IP dannosi prima ancora che raggiungano il tuo sito. Inoltre, puoi consentire agli IP noti di ridurre i falsi positivi.

Un registro delle attività degli utenti di 30 giorni

Se vuoi sapere come prevenire i tentativi di hacking di WordPress, un registro delle attività è un'ottima soluzione. In questo modo, puoi tenere traccia di ogni azione eseguita sul tuo sito, come aggiornamenti di plugin e temi, modifiche delle impostazioni e accessi degli utenti.

Con Jetpack Security, puoi archiviare le azioni dell'utente per un massimo di 30 giorni, il che può semplificare le attività di gestione del sito e migliorare l'efficacia del debug e delle riparazioni. Inoltre, riceverai informazioni dettagliate su ciascun evento, inclusi timestamp, utente e descrizione.

Correzioni semplici con un clic

Un altro modo in cui Jetpack Security aiuta a prevenire gli hack di WordPress è attraverso le sue semplici soluzioni con un solo clic. Ciò distingue Jetpack dagli altri plugin di sicurezza che potrebbero essere utili nell'identificare i problemi, ma non forniscono un modo per risolverli.

Ciò significa che il tuo sito web potrebbe subire lunghi periodi di inattività in cui i tuoi contenuti sono inaccessibili ai visitatori e non sei in grado di generare entrate. La buona notizia è che se utilizzi Jetpack Security, avrai accesso alle scansioni delle vulnerabilità in tempo reale.

Come accennato, puoi eseguire una scansione andando su Jetpack → Proteggi → Scansione . Qui puoi anche visualizzare i risultati delle scansioni. Inoltre, puoi trovare ulteriori informazioni sulle minacce rilevate e persino fare clic sul pulsante Correggi tutto per risolvere i problemi in blocco.

Commenti e moduli di protezione dallo spam

Akismet è uno dei plugin anti-spam più popolari e offre alcune funzionalità impressionanti. Blocca una media di 7,5 milioni di invii di spam all'ora. E con JetPack Security (così come altri piani Jetpack Select), avrai accesso al plug -in per bloccare lo spam dei commenti e formare spam.

Naturalmente, lo spam può essere molto frustrante da affrontare e può rendere il tuo sito Web meno affidabile e affidabile dal punto di vista di un cliente. Tuttavia, può anche contenere malware pericoloso che può essere utilizzato per danneggiare i dispositivi e rubare dati sensibili.

Fondamentalmente, la sezione dei commenti e i campi del modulo consentono a chiunque di interagire con il tuo sito Web. Pertanto, queste aree tendono ad essere bersagli principali per gli attacchi di spam.

Fortunatamente, puoi risolvere questo problema andando su Jetpack → Akismet Anti-Spam dalla dashboard.

Qui, puoi vedere quanti tentativi di spam sono stati bloccati e visualizzare una valutazione di precisione che considera spam mancato e falsi positivi.

Inoltre, sei in grado di impostare il filtro dello spam automatico in modo da non dover mai vedere i casi e più pervasivi di spam. Oppure, è possibile configurare le impostazioni in modo che ogni pezzo di spam sia diretto a una cartella di spam dedicata in cui è possibile rivederlo.

5 milioni di siti+ siti Trust Jetpack per la sicurezza del loro sito Web

Mentre WordPress è in gran parte considerato una piattaforma sicura per i siti Web, è anche un obiettivo attraente per gli hacker perché è così popolare. Con questo in mente, è importante adottare misure per prevenire gli hack di WordPress. In questo modo, puoi proteggere meglio i dati dei clienti e preservare la tua buona reputazione.

Password forti, autenticazione a due fattori e un firewall dell'applicazione Web sono tutte difese ottime. Ma devi anche scegliere un host Web sicuro, mantenere aggiornato il software e scansionare regolarmente il tuo sito per le vulnerabilità.

Con Jetpack Security, avrai accesso a un plug-in di sicurezza all-in-one che impedisce una serie di attacchi online. Ti aiuta a automatizzare i backup, monitorare l'attività dell'utente, bloccare commenti e formare spam e accedere a correzioni con un clic. Inizia oggi!