Sicurezza di WordPress: 8 passaggi per proteggere il tuo sito Web dagli hacker
Pubblicato: 2019-02-26La sicurezza del sito Web è un problema serio, ma molti potrebbero non sapere quanto possa essere grave un problema. Quando scoprirai che non meno di 50.000 siti Web unici vengono violati ogni giorno, tuttavia, inizierai ad avere un sentore di questo problema.
Il problema è che la maggior parte dei siti Web oggi viene eseguita sulla piattaforma WordPress. Ciò significa che una grande percentuale dei siti Web che cadono in mano agli hacker sono basati su WordPress.
Sebbene lo stesso WordPress abbia fatto del suo meglio per garantire che i siti in esecuzione sul proprio CMS siano sicuri, si verificano errori. In questo pezzo parleremo di come fare in modo che ciò non accada.
Prima di allora, però...
Perché hai bisogno della sicurezza di WordPress in primo luogo?
A seconda dell'argomento del tuo sito Web, ci sono molte cose che potrebbero andare storte quando qualcuno viola la tua sicurezza. Alcuni di questi sono:
- Caricamento di un malware : un hacker potrebbe caricare un malware sui server del tuo sito Web per diversi motivi.
Potrebbero usarlo per raccogliere dati e informazioni sul tuo sito Web e su come lo esegui per un motivo o per l'altro. Potrebbero persino fare in modo che un tale malware venga scaricato automaticamente sui computer dei tuoi visitatori.
Ciò non solo distrugge la tua buona volontà con i visitatori del sito Web, ma rende il tuo sito Web nella lista nera. Sarebbe quasi impossibile riguadagnare la tua reputazione quando ciò accade.
- Rubare informazioni sull'utente : se il tuo sito Web è tale da memorizzare le informazioni sull'utente (profili contenenti nomi, data di nascita, età, sesso e così via), questo sarà importante per gli hacker.
Possono raccogliere tali dati e venderli sul web nero, a società di data mining o altro personale interessato. Ciò ha costituito una violazione dei dati che gli utenti ti hanno inviato in modo fidato e infrange la tua promessa di mantenere i loro dati al sicuro.
- Rubare informazioni finanziarie – Questo è molto comune sui siti Web WordPress utilizzati per gestire un negozio online. A volte, potrebbe non essere un sito Web strettamente basato sull'e-commerce, ma uno che vende un'offerta o l'altro.
Quando ciò accade, gli hacker hanno tutto ciò di cui hanno bisogno per derubare tutti coloro che hanno inviato la loro carta di credito/i dettagli di pagamento al tuo sito web. Oltre al fatto che questo metterà a disagio molti dei tuoi clienti, non saranno lieti di acquistare di nuovo da te se sapranno che la violazione è arrivata da te.
- Manipolazione delle entrate : il tuo sito Web potrebbe guadagnare entrate da fonti di affiliazione, flussi di annunci e molto altro ancora. Se un hacker ottiene l'accesso, può modificare i dettagli della tua affiliazione/annuncio/fonte di entrate con i suoi e deviare le tue vendite dalla sua parte.
Potrebbero persino modificare i tuoi account di ricezione e ottenere le tue entrate nei propri account.
Naturalmente, queste sono solo alcune delle cose che potrebbero andare storte quando il tuo sito Web WordPress non è sicuro come potrebbe essere. Ci sono una serie di altri motivi per cui gli hacker potrebbero voler accedere al tuo sito web. L'onere, quindi, spetta a te assicurarti che abbiano difficoltà a farlo.
Mantenere il tuo sito Web WordPress sicuro
Vuoi togliere il tuo sito web dall'elenco dei bersagli facili per gli hacker? Ecco alcune cose che puoi fare:
1. Proteggi la tua pagina di accesso
Prima che il tuo sito Web possa essere violato, l'hacker deve accedere alla pagina di amministrazione. Se vai con le impostazioni predefinite di WordPress, tutto ciò che devono fare è aggiungere a / wp-admin o /wp-login.php alla fine del tuo nome di dominio e sono nella pagina di amministrazione.
Senza nemmeno saperlo, hai reso loro un passo facile.
Per aggirare questo problema, personalizza la tua pagina di accesso in modo che venga visualizzata solo con un indirizzo appositamente designato. In questo modo, puoi rimanere fuori dalla griglia per la maggior parte degli hacker.
2. Implementare i blocchi dei siti Web
Gli attacchi di forza bruta prosperano grazie alla possibilità di provare più password finché non ottengono quella giusta. Ciò offre agli hacker la libertà di provare molte possibili combinazioni prima di entrare nella tua dashboard.
Un modo semplice per contrastare questo problema è specificare il numero di tentativi falliti che un utente può avere prima che venga bloccato dall'area di amministrazione.
La parte migliore di questa mossa è che ricevi anche una notifica quando viene registrata una tale attività, aiutandoti a mantenere una nave più stretta. Molti firewall WordPress e plugin di sicurezza che ti consentono di farlo.
Potrebbe valere la pena dare un'occhiata.
3. Scegli una buona compagnia di hosting
Non far parte di coloro che credono che le società di hosting relativamente costose ti stiano facendo pagare per il marchio. Il più delle volte, questi sono quelli che ti forniscono più livelli di sicurezza rispetto alle opzioni più economiche.

Oltre ai vantaggi aggiuntivi che derivano dal pagamento di quei soldi extra, ottieni anche una maggiore sicurezza per tutti i tuoi sforzi. Se non hai idea di come scegliere l'hosting giusto, puoi seguire la nostra guida definitiva su come scegliere un hosting WordPress.
4. Stai lontano dai temi annullati
WordPress racchiude una serie di temi a pagamento e gratuiti da utilizzare sul tuo sito web. Questi temi sono stati progettati e codificati da sviluppatori altamente qualificati che sanno cosa stanno facendo. I temi sono stati anche testati da WordPress per garantire che siano in linea con gli standard di configurazione.
Tuttavia, alcuni siti Web offrono gratuitamente la versione crackata/annullata dei temi a pagamento. Potrebbe sembrare un buon affare finché non scoprirai che il tema crackato contiene codice dannoso che potrebbe danneggiare gravemente il tuo sito web. Consulta la nostra guida su come scegliere un tema perfetto per il tuo sito.
5. Disabilita la modifica dei file
Per impostazione predefinita, il tuo sito Web WordPress ha una funzione di editor di codice che ti consente di apportare modifiche al tema e ai plug-in. Puoi trovarlo andando alla dashboard dell'Editor sotto Aspetti o Plugin .
Quando gli hacker ottengono l'accesso al tuo sito, possono andare qui per inserire codici dannosi e non lo saprai nemmeno finché non sarà troppo tardi.
Il modo migliore per respingere tali attacchi finché non trovi che qualcosa non va è disabilitare la possibilità di modificare i plugin e il tema.
6. Aggiorna il tuo sito web
Una delle cose più semplici che puoi fare per proteggere il tuo sito Web WordPress è assicurarti che rimanga aggiornato di volta in volta.
Quando arriva un nuovo aggiornamento, significa che gli sviluppatori hanno trovato un difetto che ritenevano abbastanza importante da poter essere corretto. Non colmare questo divario ti lascerà vulnerabile al difetto che hanno visto, rendendo facile per qualcuno che sa come aggirare un tale difetto sfruttarti.
Lo stesso vale per i plugin così come per il PHP: possono anche essere aggiornati e dovrebbero essere aggiornati non appena ricevi la notifica. Ecco la nostra guida sull'aggiornamento di un sito WordPress all'ultima versione di PHP.
Nota, prima di eseguire qualsiasi aggiornamento sul tuo sito WordPress, ti consigliamo vivamente di creare un backup dell'intero sito.
7. Disabilitare la funzione XML-RPC
Con il lancio di WordPress arriva l'inclusione automatica della funzione XML-RPC.
Non sarebbe gentile con questa aggiunta se non considerassimo i suoi lati positivi. Dopotutto, questo è ciò che rende facile connettere senza problemi il tuo account WordPress con le tue app mobili e desktop.
Tuttavia, rende anche facile che gli attacchi di forza bruta avvengano a una velocità molto più veloce.
Ad esempio, un hacker non avrebbe bisogno di indovinare 500 password quando quella funzione è abilitata. Tutto quello che devono fare è fare circa 50 richieste con la funzione system.multicall e sarebbero in grado di provare migliaia di password nello stesso lasso di tempo.
La semplice soluzione a questo sarebbe disabilitare la funzione, soprattutto se non la si utilizza.
8. Disconnettere gli utenti inattivi
Non capita tutte le volte che un hacker ha bisogno di accedere al tuo sito Web da una posizione remota. Se hai più utenti sul tuo sito Web, un tale hacker può semplicemente bighellonare fino a quando l'utente non lascia il proprio computer.
Ecco perché non dovresti mai lasciare che nessuno rimanga inattivo per troppo tempo nell'area del cruscotto. Se hai osservato molti siti Web bancari e finanziari, questo è lo stesso modello che usano per proteggere i dati degli utenti.
Uno dei modi per farlo è installare il plug-in di disconnessione dell'utente inattivo. Configuralo per indicare la quantità di tempo che desideri che ciascun utente trascorra inattivo prima che sia necessario eseguire nuovamente l'accesso e sei a posto.
Dopo tutto ciò che è stato detto, è buona norma prepararsi al peggio. Anche se devi aver implementato quanto sopra, assicurati di eseguire il backup del tuo sito Web di tanto in tanto, puoi farlo facilmente utilizzando un plug-in di backup gratuito come il nostro plug-in di backup WPvivid. In questo modo, puoi sempre ripristinare dall'ultimo punto di backup se succede qualcosa.
Non lo speriamo per te, però.
Hai altri suggerimenti che usi per proteggere il tuo sito Web WordPress che non abbiamo menzionato qui? Facci sapere di loro nei commenti.
Questo articolo ha coperto i passaggi più essenziali per la protezione di WordPress, abbiamo anche creato una guida definitiva su come proteggere un sito WordPress da tutti gli aspetti di cui potresti aver bisogno.