I 10 migliori consigli per la sicurezza di WordPress
Pubblicato: 2023-02-15Quali sono i primi dieci passaggi che puoi adottare per proteggere il tuo sito WordPress? Quali misure di rafforzamento della sicurezza avranno il maggiore impatto sulla sicurezza del tuo sito web? La sicurezza è sempre un argomento caldo nella community di WordPress e domande come queste sono importanti per una buona ragione. WordPress alimenta quasi la metà di Internet e la sua posizione di leader lo rende un obiettivo prioritario per gli hacker.
Migliaia di siti Web WordPress sono vittime di attacchi informatici ogni giorno. È una goccia nel secchio del numero totale di siti WordPress, ma se succede a te? È enorme. Alcuni proprietari di siti subiscono conseguenze a lungo termine a causa di perdita di dati, furto di dati e frode dovuta. Politiche di sicurezza e gestione del rischio inadeguate creano disastri come questo. Cosa significa avere solide politiche di sicurezza come proprietario di un sito WordPress? Quali sono i principali rischi e come gestirli?
La chiave è creare fondamenta sicure e poi continuare a costruire su di esse con pratiche di sicurezza coerenti. Questa guida ti insegnerà come farlo e proteggere il tuo sito WordPress oggi stesso.
In questa guida, approfondiremo la sicurezza di WordPress. Imparerai a conoscere gli attacchi informatici più pericolosi che prendono di mira WordPress. Imparerai come ridurre al minimo il rischio di caderne vittima. Ti forniremo i nostri primi dieci consigli sulla sicurezza di WordPress e ti spiegheremo come implementarli. Allora sarai in grado di difenderti dagli attacchi più sofisticati e dannosi di oggi.
WordPress è sicuro? SÌ!
In breve, sì, la piattaforma principale di WordPress è sicura.
Essendo un progetto software open source maturo e ventennale, WordPress è uno dei framework per la creazione di siti Web più collaudati e sicuri.
Una comunità di sviluppatori ed esperti di sicurezza gestisce il core di WordPress. Inoltre, la base di codice è disponibile pubblicamente. Ciò significa che i ricercatori di sicurezza sono liberi di analizzarlo. Sotto il controllo pubblico, tutti i bug che hanno superato le fasi di test iniziali di una nuova versione tendono a essere scoperti rapidamente. WordPress riceve aggiornamenti regolari e corregge rapidamente eventuali vulnerabilità rilevate nel core di WordPress. Questo costante adattamento aumenta la sicurezza e la qualità complessiva della piattaforma.
Cosa rende insicuro un sito WordPress?
Quando le persone creano siti con WordPress, la sicurezza potrebbe non essere al primo posto nelle loro menti. La personalizzazione negligente combinata con cattive pratiche di sicurezza (o nessuna) introduce significativi rischi per la sicurezza dell'intero ecosistema WordPress.
Proprietari di siti che non eseguono aggiornamenti
Aggiornamenti regolari e supporto da parte degli sviluppatori di WordPress rendono WordPress estremamente sicuro. Tuttavia, la popolarità di WordPress ha molto a che fare con la facilità di personalizzazione con plugin e temi. Questi componenti aggiuntivi di terze parti possono o meno essere supportati e testati come il core di WordPress. Devono anche essere aggiornati quando vengono lanciate nuove versioni. Per un sito WordPress con 12-24 plugin, potrebbero essere disponibili diversi nuovi aggiornamenti ogni settimana. Lasciare le vulnerabilità note senza patch e non eseguire aggiornamenti regolari aumenta significativamente la probabilità che il tuo sito Web WordPress venga violato.
Anche il core di WordPress riceve aggiornamenti durante tutto l'anno. In genere ci saranno quattro versioni principali. Emergeranno anche rilasci di sicurezza e manutenzione quando saranno necessari. A partire dal 2023, circa il 60% dei siti WordPress utilizza l'ultima versione (6.1) del core di WordPress. Il 40% no, e questo non va bene per la loro sicurezza. A partire da dicembre 2022, le versioni 3.7 – 4.0 di WordPress non sono più supportate e potrebbero non ricevere patch di sicurezza.
Proprietari di siti e host che non aggiornano PHP
Una statistica più preoccupante è che molti siti WordPress utilizzano una versione di PHP inferiore alla 7.4. PHP fa parte dell'ambiente server del tuo host. È la lingua su cui gira WordPress. All'inizio del 2023, il 55% di tutti i siti WordPress era ospitato su PHP 7.4. Questa è l'ultima major release del ramo PHP 7. È la versione più alta di PHP supportata ufficialmente da WordPress in questo momento, sebbene molti host WordPress offrano PHP 8. Gli host WordPress ben gestiti manterranno la sicurezza di PHP 7, ma ha raggiunto la fine del suo ciclo di vita per il supporto ufficiale. I plugin di WordPress richiederanno PHP 8 sempre di più nel tempo. I siti che non tengono il passo con lo sviluppo di WordPress e PHP corrono un rischio maggiore di essere violati.
Perché la sicurezza di WordPress è importante
La sicurezza del sito WordPress è importante! Ora è sempre il momento migliore per iniziare a prenderlo sul serio se non si dispone di pratiche di sicurezza coerenti. La crescente sofisticazione e il volume degli attacchi informatici rendono la sicurezza dei siti Web estremamente importante, in particolare per i proprietari di siti Web WordPress. Gli aggressori non si limitano a scegliere in quali siti Web hackerare. I moderni attacchi informatici sono altamente automatizzati e migliaia di siti WordPress possono essere presi di mira contemporaneamente. La popolarità di WordPress e il numero di siti che non sono stati aggiornati ne fanno un bersaglio ampio e facile.
Che tu gestisca un blog, un sito Web aziendale o un negozio online, ti viene affidata la sicurezza dei tuoi clienti e dei loro dati. Una violazione dei dati può mettere a rischio la tua attività e danneggiare in modo significativo la tua reputazione. Pratiche di sicurezza inadeguate possono causare gravi perdite finanziarie.
Uno studio recente ha mostrato che la maggior parte delle piccole e medie imprese (PMI) pensa di non essere un bersaglio per l'hacking, ma si sbaglia. Gli attacchi sono in aumento e mirano specificamente a loro. In media, le piccole aziende che subiscono una violazione della sicurezza digitale finiscono per pagare costi superiori a $ 100.000.
I cinque problemi di sicurezza di WordPress più comuni
Le minacce più comuni affrontate da WordPress nel 2022 che sfruttano le vulnerabilità interne del sito sono state gli attacchi cross-site scripting (XSS) e cross-site request forgery (CSRF), nonché le SQL injection (SQLi). I payload comuni o i danni arrecati ai siti compromessi e infetti includono backdoor e reindirizzamenti dannosi. Infine, gli attacchi più comuni non comportano affatto una vulnerabilità del software. Si tratta di tentativi di accesso a forza bruta, password stuffing, card skimming, carding e attacchi DDoS (Distributed Denial-of-Service).
Diamo un'occhiata a queste minacce e analizziamo le soluzioni che impediranno loro di penetrare nel tuo sito WordPress.
Password Stuffing, Brute Force Login e Attacchi DDOS
Gli attacchi di forza bruta e DDoS sono attacchi informatici guidati da bot altamente distribuiti. Tentano di entrare in un sito Web o di portarlo offline sovraccaricando il server che lo ospita di richieste Web. Entrambi i tipi di attacchi spesso coinvolgono una rete di bot (nota anche come botnet) controllata dall'aggressore.
Gli attacchi di accesso a forza bruta, noti anche come attacchi di indovinazione della password, utilizzano una rete di computer (tipicamente compromessi) per testare migliaia di combinazioni casuali di lettere, numeri e simboli al fine di scoprire un nome di accesso e una password validi per un sito mirato.
Il password stuffing è un tipo di attacco di forza bruta che utilizza password effettive rubate altrove per ottenere l'accesso al tuo sito. Se tu o gli utenti del tuo sito avete utilizzato le stesse credenziali di accesso su un altro sito che è stato compromesso, il riempimento delle password potrebbe avere successo sul tuo sito.
Quando un utente malintenzionato tenta migliaia di accessi al minuto, potrebbe avere l'effetto di un attacco DDoS. I DDoS inviano così tante richieste al tuo server che è sovraccarico. A volte gli attacchi DDoS vengono eseguiti semplicemente per portare i siti offline in questo modo.
Quando si tratta di WordPress e WooCommerce, gli attacchi con carta di credito sono un buon esempio di un tentativo di forza bruta di inserire numeri di conto di carte di credito rubate in un sito di e-commerce per effettuare acquisti fraudolenti. Anche gli attacchi di carding possono avere un effetto DDoS.
Cross-Site Scripting e contraffazione delle richieste
Cross-site scripting e cross-site request forgery, noti anche come XSS e CSRF, sono attacchi informatici che tentano di eseguire script dannosi sul tuo sito Web che sfrutteranno i computer dei tuoi visitatori. Utilizzando il tuo sito, questi attacchi inviano richieste non autorizzate da esso per conto del tuo utente. L'obiettivo è frodare i visitatori del tuo sito e rubare loro informazioni sensibili o denaro. Il cross-site scripting e la contraffazione delle richieste sono considerati due degli attacchi informatici più pericolosi che prendono di mira i siti Web WordPress.
Uno degli esempi più importanti di attacchi di scripting cross-site che interessano WordPress riguarda skimmer di carte basati su JavaScript iniettati nei negozi WooCommerce. Il malware card-skimming caricato dal sito Web dell'attaccante viene iniettato nei browser dei tuoi visitatori. Questo codice dannoso tenterà di rubare informazioni di pagamento critiche dalla pagina di pagamento una volta effettuato un acquisto.
Backdoor e Web Shell
Backdoor e web shell sono due tipi correlati di software dannoso che vengono spesso caricati su siti Web compromessi come payload nella violazione iniziale. Entrambi consentono un livello di danno più profondo: l'infezione da malware. Entrambi sono strumenti che gli hacker malintenzionati utilizzano per scavare più a fondo nel tuo server e nelle app Web o per condurre frodi e ulteriori attacchi su altri siti.
Le backdoor sono software che vengono iniettati in un sito Web per consentire all'attaccante di ottenere l'accesso non autorizzato alle sue aree critiche aggirando i normali metodi di autenticazione. Le Web shell, a loro volta, sono utilità di gestione dei file dannose utilizzate dall'hacker per caricare più payload dannosi nel sito Web compromesso.
Le backdoor possono spesso intrufolarsi nei proprietari di siti Web e persino nel software antivirus. Una backdoor consentirà all'hacker di tornare e reinfettare o sfruttare ulteriormente un sito Web in un secondo momento, anche se sono state prese tutte le misure di sicurezza necessarie. Allo stesso modo, se una web shell non viene rimossa, l'attaccante manterrà il controllo del sito web.
Reindirizzamenti dannosi
Uno degli obiettivi più comuni di un utente malintenzionato è infettare i tuoi visitatori con malware. Uno dei modi più comuni per raggiungere questo obiettivo è reindirizzare utenti ignari da siti Web affidabili su cui gli aggressori hanno acquisito il controllo.
Gli hacker possono posizionare reindirizzamenti dannosi ovunque sui siti Web compromessi, il che può renderli difficili da individuare e rimuovere. Spesso, i proprietari di siti Web devono reinstallare WordPress (che è semplice) o ripristinare l'intero sito Web da un backup (che può essere più impegnativo) per ripulirlo dai reindirizzamenti dannosi dopo aver corretto la vulnerabilità che ha reso possibile questo exploit.
Come tipo di spam SEO, gli hack farmaceutici sono stati uno degli attacchi più noti che hanno colpito i siti Web WordPress. Gli aggressori riempiono un sito Web WordPress compromesso con parole chiave spam per farmaci popolari nel tentativo di posizionarlo in alto nei motori di ricerca e quindi reindirizzare i visitatori a portali fraudolenti che vendono prodotti farmaceutici regolamentati. La maggior parte delle volte, gli aggressori inseriscono reindirizzamenti dannosi in un .htaccess file
o creano un file .ico apparentemente innocuo per questo scopo.
Attacchi SQL Injection
Un attacco di iniezione SQL, noto anche come inserimento SQL (SQLi), è un tipo di attacco di iniezione di dati che sfrutta una convalida insufficiente dell'input dell'utente che consente a un utente malintenzionato di manipolare il database del sito Web in modo dannoso. Sia le iniezioni SQL che il cross-site scripting sfruttano le cosiddette vulnerabilità di input che possono interessare determinate aree del tuo sito Web WordPress. Le vulnerabilità di input sorgono quando un plug-in accetta dati o contenuti inviati dall'utente ma non li controlla per rilevare eventuali codici dannosi. Quel codice può eseguire query sul tuo database per rubare dati privati o danneggiarlo.
I 10 migliori consigli per la sicurezza di WordPress
Quando si tratta di sicurezza del sito Web di WordPress, è fondamentale un approccio consapevole per ridurre la superficie di attacco. Conoscere le vulnerabilità e i tipi di attacchi informatici più comuni di WordPress ti aiuterà a migliorare significativamente la sicurezza del tuo sito web. I seguenti 10 più importanti consigli sulla sicurezza di WordPress sono le conoscenze di base necessarie per proteggere qualsiasi sito WordPress. La maggior parte di queste raccomandazioni è relativamente facile da seguire e non richiede alcuna soluzione di sicurezza a pagamento.
Esegui aggiornamenti regolari e non installare alcun software da fonti non verificate
Uno dei consigli più importanti per la sicurezza di WordPress è eseguire aggiornamenti regolari di core, temi e plug-in. Assicurati che tutto il software che installi provenga da fonti verificate e affidabili. Poiché WordPress è scritto in PHP, assicurati di utilizzare una versione PHP supportata dall'ultima major release. Al momento, è PHP 7.4 con solo supporto beta per PHP 8.
Le funzionalità predefinite di WordPress raramente soddisfano tutte le esigenze degli imprenditori, quindi estendono le capacità della piattaforma installando più plugin e temi. Temi e plug-in di terze parti aumentano la superficie di attacco, rendendo i siti WordPress vulnerabili a maggiori minacce alla sicurezza.
I maggiori problemi possono derivare dall'utilizzo di versioni non ufficiali e piratate di plugin e temi a pagamento. Questi provengono sempre da fonti altamente discutibili. Anche l'utilizzo di versioni obsolete di WordPress e la mancata correzione delle vulnerabilità è estremamente rischioso.
Utilizza un plug-in di sicurezza come iThemes Security Pro
Il modo migliore per proteggere il tuo sito Web è attivare gli aggiornamenti automatici per core, temi e plug-in. iThemes Security Pro può facilmente tenere traccia di tutti gli aggiornamenti software disponibili e installare nuove versioni del core di WordPress, nonché temi e plug-in. Se gestisci più siti Web WordPress, iThemes Sync Pro ti consente di eseguire tutte le attività di amministrazione da un'unica interfaccia e sfruttare il monitoraggio del tempo di attività e il monitoraggio delle metriche SEO.
La maggior parte delle soluzioni di hosting WordPress, come i piani di hosting WordPress gestiti su cloud offerti da Nexcess, si occupano anche di tutti gli aggiornamenti software per te e sono persino dotati di strumenti integrati come Visual Comparison per aiutarti a tenere traccia di eventuali conflitti di plug-in e altri problemi prima di eseguire eventuali aggiornamenti. Nexcess ti fornisce anche un catalogo di soluzioni WordPress premium. Offre Kadence WP come tema di blocco integrato con blocchi personalizzati per aiutarti a progettare il sito Web dei tuoi sogni garantendone la sicurezza.
Crea una solida strategia di backup
Una forte strategia di backup è assolutamente essenziale per la sicurezza di WordPress. L'esecuzione di backup regolari del tuo sito WordPress ti prepara per un facile ripristino in caso di violazione, aggiornamento non riuscito o qualsiasi altro problema che potrebbe sorgere.
È meglio avere almeno dieci giorni o anche due settimane di backup completi di WordPress che includano il database di WordPress, i file del sito Web e qualsiasi altro contenuto correlato. Mantenere backup settimanali e mensili può essere molto vantaggioso oltre ai backup giornalieri e orari.
Assicurati di seguire il principio della ridondanza dei dati. Mantenere copie funzionanti del tuo sito Web WordPress in più di un posto. Questo ti aiuterà a recuperare le tue informazioni nel caso in cui succeda qualcosa a un archivio di backup
Puoi utilizzare le soluzioni di backup fornite dal tuo provider di hosting, inclusi i backup di cPanel e Acronis, per salvare copie del tuo sito Web su cicli giornalieri, settimanali e mensili. un plug-in di backup di WordPress può aiutarti a creare una pianificazione di backup più flessibile. BackupBuddy è un plug-in di protezione e ripristino dei dati di livello mondiale per WordPress. Può aiutarti a creare una solida strategia di backup e un facile accesso ai ripristini con un clic ogni volta che ne hai bisogno.
Esegui scansioni periodiche di vulnerabilità e malware
La scansione delle vulnerabilità e il monitoraggio dell'integrità dei file sono uno dei migliori strumenti che puoi utilizzare per proteggere tutte le aree critiche del tuo sito Web WordPress. L'interfaccia integrata di WordPress Site Health è un ottimo strumento con cui iniziare. Se hai bisogno di più consigli sulla sicurezza di WordPress su misura per il tuo sito web, iThemes Pro Site Scan ti fornirà un rapporto completo sulla sicurezza del tuo sito web WordPress.
La prevenzione è fondamentale, ma lo sono anche il rilevamento precoce e la mitigazione degli attacchi. Lo scopo principale della maggior parte dei malware è rimanere nascosti il più a lungo possibile. Non è raro che i siti Web WordPress vengano violati per settimane fino a quando i proprietari non se ne accorgono. iThemes Security Pro offre un monitoraggio avanzato delle modifiche ai file che ti avviserà ogni volta che si verifica un'attività sospetta all'interno dei file del tuo sito Web WordPress.
L'esecuzione di scansioni malware regolari aiuterà a identificare tempestivamente un'infezione da malware. Questa è la chiave per bloccare i malintenzionati e ripulire il tuo sito Web WordPress prima che si verifichi un danno irreversibile. Se stai cercando ottimi scanner di malware gratuiti, ImunifyAV di CloudLinux ha dimostrato di essere estremamente affidabile e facile da usare.
Mantieni i permessi dei file sicuri e proteggi wp-config.php
I permessi dei file di WordPress possono influire notevolmente sulla sicurezza generale del tuo sito Web WordPress. Impostazioni di autorizzazione errate possono mettere a grave rischio l'intero sistema, soprattutto se si gestisce il proprio server e si eseguono più siti su di esso. La configurazione sicura delle autorizzazioni dei file WordPress è assolutamente essenziale.
Una delle aree più vulnerabili del tuo sito Web WordPress è il suo file di configurazione principale: wp-config.php
. I dati critici memorizzati lì, incluse le informazioni di connessione al database di WordPress, rendono wp-config.php
un obiettivo ad alta priorità per gli attacchi che cercano di prendere il controllo del tuo sito web.
Uno dei principali consigli di sicurezza di WordPress che puoi implementare in questo momento è l'impostazione delle autorizzazioni per il file wp-config.php
del tuo sito Web almeno su 640. Se non sei sicuro di quali autorizzazioni file dovrebbero avere i file di altri siti Web, i controlli delle autorizzazioni file di iThemes Security Pro strumento ti aiuterà a scoprirlo.
Le compromissioni tra account sono facilitate da autorizzazioni di file non sicure e da uno scarso isolamento degli utenti
Gli hacker sfruttano attivamente uno scarso isolamento degli utenti, combinato con autorizzazioni di file non sicure, per eseguire pericolosi attacchi tra account. Questi sono noti come "symlink hack" o "Anonymous Fox" WordPress hack.
Utilizzando un sito Web compromesso come punto di ingresso, un utente malintenzionato può creare collegamenti simbolici tra account ai file di configurazione di altri siti Web, come wp-config.php
, per esporre informazioni sensibili e ottenere il controllo su tutti i siti Web su un determinato server. Questo hack è possibile solo se il tuo file wp-config.php
è leggibile da altri utenti sullo stesso server.
Alcuni consigli sulla sicurezza di WordPress suggeriscono di spostare wp-config.php
, che potrebbe essere d'aiuto, ma questo non risolverà realmente tutti i rischi. Proteggi le autorizzazioni dei file e assicurati che tutti i siti Web siano isolati l'uno dall'altro sullo stesso server. Uno dei modi migliori per raggiungere questo obiettivo è utilizzare CageFS, fornito dal sistema operativo CloudLinux.
Configurare un Web Application Firewall
Un'altra raccomandazione chiave per la sicurezza di WordPress è quella di utilizzare un firewall per applicazioni Web o, meglio ancora, più sistemi di difesa come un WAF basato su host e basato su cloud. Un firewall per applicazioni Web funge da prima linea di difesa contro tutti gli attacchi informatici noti, filtrando qualsiasi traffico dannoso sulla base di un set di regole costantemente aggiornato.
I WAF scansionano tutto il traffico web alla ricerca di eventuali richieste sospette in base a una serie di modelli impostati dalle regole che definiamo. Ciò garantisce un elevato livello di protezione contro DDoS e attacchi di forza bruta, nonché SQLi e XSS.
Un WAF basato su cloud come Cloudflare WAF può mitigare un'ampia gamma di attacchi riducendo al contempo il carico sul server di origine. Le richieste che arrivano al server che ospita il tuo sito Web WordPress vengono quindi sottoposte a un altro ciclo di controlli da parte di un WAF basato su host come ModSecurity. Entrambe le soluzioni sono completamente gratuite e sono considerate lo standard del settore per la sicurezza di WordPress.
Imposta le intestazioni di sicurezza HTTP
Le intestazioni di risposta di sicurezza HTTP sono uno degli strumenti più preziosi che hai per aumentare la sicurezza del tuo sito Web WordPress. Analogamente ai firewall per applicazioni Web, le intestazioni di risposta HTTP possono bloccare l'accesso alle aree critiche del tuo sito Web e prevenire qualsiasi attività che possa mettere in pericolo i tuoi clienti e i loro dati.
Le più importanti intestazioni di sicurezza HTTP per WordPress includono:
- Politica di sicurezza dei contenuti (CSP). Una soluzione robusta che può aiutare a mitigare lo scripting cross-site e il clickjacking e altri pericolosi attacchi informatici che prendono di mira i siti Web WordPress. L'utilizzo di CSP ti aiuta a definire l'elenco delle risorse che possono caricare contenuti dal tuo sito Web, nonché l'elenco delle risorse da cui il tuo sito Web può caricare contenuti.
- Set-cookie . L'intestazione della risposta Set-Cookie controlla come i cookie vengono inviati dal server al browser dell'utente. La configurazione dell'attributo SameSite può aiutarti a difendere il tuo sito Web WordPress dalla contraffazione delle richieste cross-site e dal clickjacking.
- Sicurezza rigorosa dei trasporti (HSTS). L'intestazione della risposta HSTS garantisce che sia possibile accedere al tuo sito Web WordPress solo tramite HTTPS, che consente la crittografia end-to-end tra il server e il browser.
La maggior parte delle volte, puoi configurare le intestazioni di sicurezza HTTP per il tuo sito Web WordPress nel tuo file .htaccess
locale. Tieni presente che la maggior parte dei provider di hosting WordPress imposta le intestazioni di risposta HTTP per te, quindi potresti dover consultare il team di supporto del tuo host per vedere se è necessario ridefinire le regole a livello locale.
Disabilita l'esecuzione di PHP nella cartella dei caricamenti e disattiva l'indicizzazione della directory
Quando si tratta di WordPress, gli hacker tendono a nascondere il malware in cartelle che normalmente non memorizzano alcun codice eseguibile. Una di queste cartelle è la directory dei caricamenti in wp-content
. Disabilitare l'esecuzione di PHP nella cartella dei caricamenti è una buona idea. Ciò può aiutare a limitare l'ambito di un'infezione da malware e ad accelerare la risoluzione del malware.
Se hai Apache HTTP disponibile per l'uso, crea un file .htaccess
in wp-content/uploads e aggiungi la regola qui sotto. Ciò bloccherà il caricamento di qualsiasi script PHP dalla cartella dei caricamenti. Questa è una posizione comune in cui un utente malintenzionato può inserire codice dannoso.
Oltre a bloccare l'esecuzione di PHP, disabilitare l'indicizzazione delle directory sul tuo sito Web è un altro elemento importante nell'elenco dei nostri consigli di sicurezza di WordPress. Se l'indicizzazione delle directory non è disabilitata, il browser caricherà l'elenco dei file presenti nella directory richiesta se manca un file index.php
o index.html
.
Gli aggressori sfruttano ampiamente questa capacità, soprattutto quando si tratta di attacchi simbolici cross-account delineati in precedenza nella guida. Puoi bloccare l'indicizzazione delle directory a livello globale o in base alla directory utilizzando la seguente regola in .htaccess
:
Cambia il prefisso del tuo database WordPress e il nome utente amministratore predefinito
A meno che non modifichi il processo di installazione predefinito, WordPress utilizzerà automaticamente il prefisso standard wp-
per il suo database e creerà un utente admin
predefinito. Poiché questo è di dominio pubblico, la forza bruta e gli attacchi di iniezione di dati lo presumono.
Rimuovi l'utente amministratore predefinito e modifica il prefisso del database di WordPress in qualcosa di simile a wp2789_
. Puoi farlo rinominando tutte le tabelle del database utilizzando phpMyAdmin o tramite l'interfaccia della riga di comando di MySQL. Assicurati di aggiornare il prefisso del database in wp-config.php
in seguito.
Limita l'accesso a XMLRPC e WordPress Login
Quando si tratta di attacchi di forza bruta e DDoS, xmlrpc.php
e la pagina di accesso di WordPress sono le due aree dei siti Web WordPress che gli aggressori prendono di mira maggiormente. Se l'accesso a queste due interfacce è illimitato, il tuo sito WordPress probabilmente soffrirà di scarse prestazioni e frequenti tempi di inattività. Inoltre, ci sono tutte le possibilità che, alla fine, un hacker riesca a violare il tuo account amministratore e devastare il tuo sito web.
XMLRPC è un'API (Application Programming Interface) che consente a WordPress di comunicare con altri sistemi e fa parte di WordPress sin dall'inizio della piattaforma. Tuttavia, poiché WordPress fa molto affidamento sull'API REST, XMLRPC viene utilizzato raramente e di solito può essere disabilitato completamente senza conseguenze negative. Puoi aggiungere la regola qui sotto al .htaccess file
del tuo sito web o semplicemente azzerare i permessi del file xmlrpc.php per questo scopo.
Limitare l'accesso al pannello di amministrazione di WordPress è un altro dei nostri principali consigli sulla sicurezza di WordPress. Mentre la modifica dell'indirizzo di accesso di WordPress rende molto più difficile la scoperta, la protezione della password della pagina di accesso o la definizione di un intervallo esclusivo di indirizzi IP che possono accedervi eliminerà efficacemente il rischio che un utente malintenzionato ottenga l'accesso non autorizzato al back-end di WordPress.
Utilizza password complesse e configura l'autenticazione a più fattori
L'importanza di utilizzare password complesse non può essere sopravvalutata. Tuttavia, alcuni proprietari di siti Web WordPress tendono a dimenticare che il pannello di amministrazione di WordPress non è l'unico vettore di attacco. Un gran numero di siti WordPress viene violato a seguito di un utente malintenzionato che ottiene l'accesso ai propri account del pannello di controllo dell'hosting web.
Con molti host, il nome dell'account del tuo sito Web WordPress corrisponde a un utente effettivo creato sul server host. È facile da indovinare o pubblicamente visibile. In combinazione con la sua password, la coppia di credenziali potrebbe consentirti di connetterti al tuo sito tramite SSH e SFTP. È così che accedi al pannello di controllo del tuo hosting. Se questo account viene compromesso, un utente malintenzionato può ottenere l'accesso completo non solo al tuo sito, ma anche all'intero account di hosting, alla posta elettronica e persino ai tuoi nomi di dominio o record DNS.
Adotta politiche di password complesse e autenticazione a più fattori sia per gli utenti amministratori di WordPress che per l'account del pannello di controllo dell'hosting del tuo sito web. Se possibile, disabilita completamente l'autenticazione della password per SSH a favore dei metodi di autenticazione basati su chiave.
iThemes Security Pro ti consente di configurare l'autenticazione senza password per il tuo pannello di amministrazione di WordPress utilizzando passkey con accessi biometrici. Questo, combinato con l'autenticazione a più fattori configurata per il tuo account di hosting, garantisce una protezione completa contro gli attacchi di forza bruta e protegge il tuo sito Web anche se le tue credenziali di accesso sono state compromesse.
Implementa i migliori consigli per la sicurezza di WordPress con iThemes Security Pro
Essendo il sistema di gestione dei contenuti più popolare al mondo, WordPress è un obiettivo ad alta priorità per gli hacker di tutto il mondo. Per sfruttare le violazioni dei dati e distribuire malware, gli aggressori impiegano un'ampia gamma di tecniche sofisticate come iniezioni di database, cross-site scripting e contraffazione di richieste tra siti. A meno che il tuo sito WordPress non sia protetto da queste comuni minacce alla sicurezza, potrebbe diventare un facile bersaglio.
Con la miriade di consigli sulla sicurezza di WordPress che circolano, può essere complicato capire come proteggere il tuo sito web, soprattutto quando ci sono più strategie per mitigare ogni attacco informatico. Rendere la sicurezza di WordPress più accessibile è ciò per cui iThemes si impegna. Lascia che iThemes Security Pro e BackupBuddy siano i tuoi assistenti personali per la sicurezza! Offrono più di 50 modi per proteggere il tuo sito WordPress dagli attacchi informatici più pericolosi oggi disponibili.
Il miglior plugin di sicurezza per WordPress per proteggere e proteggere WordPress
WordPress attualmente alimenta oltre il 40% di tutti i siti Web, quindi è diventato un facile bersaglio per gli hacker con intenti dannosi. Il plug-in iThemes Security Pro elimina le congetture dalla sicurezza di WordPress per semplificare la sicurezza e la protezione del tuo sito Web WordPress. È come avere un esperto di sicurezza a tempo pieno nello staff che monitora e protegge costantemente il tuo sito WordPress per te.
Kiki ha una laurea in gestione dei sistemi informativi e più di due anni di esperienza in Linux e WordPress. Attualmente lavora come specialista della sicurezza per Liquid Web e Nexcess. Prima di allora, Kiki faceva parte del team di supporto di Liquid Web Managed Hosting, dove ha aiutato centinaia di proprietari di siti Web WordPress e ha appreso quali problemi tecnici incontrano spesso. La sua passione per la scrittura le permette di condividere le sue conoscenze ed esperienze per aiutare le persone. Oltre alla tecnologia, a Kiki piace conoscere lo spazio e ascoltare podcast sul vero crimine.