Come rafforzare WordPress: una guida in 18 passaggi con strumenti essenziali

Pubblicato: 2024-08-01

I siti Web WordPress possono diventare vulnerabili se non sono ben mantenuti. Alcuni aggiornamenti saltati o un plugin difettoso e il tuo sito è a rischio. Gli aggressori possono anche accedere attraverso la pagina di accesso se non è adeguatamente protetta o bloccare il tuo sito con attacchi DDoS (Distributed Denial of Service).

Troppa oscurità e rovina?

Bene, per fortuna, questi attacchi possono essere facilmente prevenuti se si adottano le misure necessarie per rafforzare WordPress. Il sistema di gestione dei contenuti (CMS) ti dà il pieno controllo sulle impostazioni del tuo sito, il che significa che puoi implementare strategie per proteggerlo da diversi tipi di attacchi.

In questo articolo ti forniremo un corso completo sulla sicurezza di WordPress. Discuteremo quali strumenti dovresti utilizzare, esamineremo 18 passaggi per rafforzare WordPress e ti mostreremo come Jetpack Security può aiutarti a mantenere il tuo sito sicuro con un singolo plug-in. Procediamo!

L'importanza di rafforzare il tuo sito WordPress

Gli aggressori informatici tendono a setacciare il Web alla ricerca di siti con vulnerabilità che possono sfruttare. Anche se il tuo sito è relativamente nuovo, gli aggressori possono comunque prenderlo di mira per distribuire malware o rubare dati.

Ciò rende la sicurezza di WordPress cruciale per tutti i siti web. Al momento in cui scriviamo, esistono oltre 50.000 vulnerabilità documentate di WordPress. Ciò include oltre 7.800 plugin vulnerabili conosciuti e circa 670 temi.

Le vulnerabilità continuano ad aumentare anno dopo anno, a causa della crescente popolarità di WordPress e del gran numero di nuovi plugin e temi sul mercato.

Se il tuo sito viene preso di mira, potresti perdere l'accesso e i tuoi dati potrebbero essere compromessi. A seconda della gravità della violazione, può essere necessario del tempo per riparare il tuo sito Web e ciò può portare a molte conversioni perse. Inoltre, se gestisci un’attività online più grande, essere vittima di un crimine informatico può portare a gravi perdite finanziarie.

La buona notizia è che puoi fare molto per proteggere il tuo sito Web WordPress. Ma per mantenerlo sicuro, dovrai essere proattivo.

Strumenti essenziali per rafforzare il tuo sito WordPress

In questa guida faremo riferimento a diversi strumenti di sicurezza che puoi utilizzare. Questi ti aiuteranno a implementare misure per rafforzare il tuo sito WordPress. Diamo un'occhiata a cosa sono.

1. Uno scanner di vulnerabilità

Uno scanner di vulnerabilità è un software che esamina il tuo sito Web alla ricerca di problemi di sicurezza. Nel caso di WordPress, uno scanner esaminerà i file, i plugin e i temi del tuo sito per cercare potenziali lacune nella protezione che gli aggressori possono sfruttare.

Lo scanner confronta i dati rilevati con un database di vulnerabilità, come WPScan. Questo è il più grande database di vulnerabilità note della sicurezza di WordPress, che viene aggiornato continuamente.

Jetpack Protect è la scelta migliore quando si tratta di scansionare il tuo sito web alla ricerca di vulnerabilità.

Jetpack Protect è la scelta migliore quando si tratta di scansionare il tuo sito web alla ricerca di vulnerabilità. Il plug-in ti consente di sfruttare il database WPScan eseguendo scansioni automatiche sul tuo sito web.

Se Jetpack rileva una vulnerabilità, ti avviserà e ti mostrerà come risolvere il problema. Nella maggior parte dei casi, ciò comporterà l'eliminazione o l'aggiornamento dei plugin o dei temi vulnerabili.

2. Uno scanner di malware

Uno scanner di malware funziona in modo simile a uno scanner di vulnerabilità. In questo caso, il software si concentra sulla ricerca di file infetti e ti aiuta a metterli in quarantena o a eliminarli in modo da poter liberare il tuo sito web dal malware.

Nella maggior parte dei casi, gli scanner di vulnerabilità e malware lavorano mano nella mano. WPScan, ad esempio, può aiutarti a identificare sia le vulnerabilità che il malware sul tuo sito Web WordPress.

Se utilizzi Jetpack e hai accesso al piano Sicurezza (o esegui l'upgrade di Protect a premium), il plug-in scansionerà il tuo sito Web alla ricerca di malware e vulnerabilità. Se trova qualcosa di sbagliato nel tuo sito web, il plugin ti offrirà le opzioni per risolvere questi problemi, spesso con solo un clic o due.

3. Un firewall per applicazioni Web (WAF)

Probabilmente hai familiarità con il concetto di firewall. Questo è un programma che blocca il traffico in entrata o in uscita da un server o computer.

Un firewall per applicazioni Web (WAF) funziona in modo simile. È progettato per aiutarti a bloccare il traffico dannoso in entrata o impedire al malware sul tuo sito di inviare informazioni.

La maggior parte dei WAF sono preconfigurati con regole sul tipo di connessioni da bloccare. Possono persino identificare indirizzi IP dannosi noti a seconda delle loro impostazioni.

Jetpack Protect include un WAF con impostazioni di configurazione semplici. Puoi impostare il WAF per utilizzare regole automatiche, che vengono fornite e aggiornate regolarmente dagli esperti di sicurezza di Jetpack. Queste regole automatiche sono create per bloccare exploit ad alta gravità in modo che, anche se hai una vulnerabilità in un'estensione, la regola WAF potrebbe essere in grado di proteggere il tuo sito.

Il plugin ti consente anche di inserire indirizzi IP specifici in una lista consentita o in una lista bloccata. Questo può essere utile se desideri limitare chi può accedere alla dashboard.

Il plugin ti consente anche di inserire indirizzi IP specifici in una lista consentita o in una lista bloccata. Questo può essere utile se desideri limitare chi può accedere alla dashboard.

4. Una soluzione di backup fuori sede

Gli strumenti di backup creano copie del tuo sito Web e le ripristinano se necessario. L'idea alla base dei backup è che avrai sempre una copia recente del tuo sito nel caso in cui non funzioni correttamente o ti trovi di fronte a un problema di sicurezza che non puoi risolvere facilmente.

Per maggiore sicurezza, si consiglia di archiviare i backup sia all'interno che all'esterno del sito, nel caso in cui uno di essi fallisca. In questo modo, i dati del tuo sito web non andranno mai veramente persi.

Anche se puoi eseguire il backup del tuo sito manualmente, l'utilizzo di un plug-in dedicato come Jetpack VaultPress Backup può darti tranquillità e automatizzare l'intero processo.

Questo plugin crea backup in tempo reale del tuo sito web e li archivia fuori dal sito per un massimo di 30 giorni.

Questo plugin crea backup in tempo reale del tuo sito web e li archivia fuori dal sito per un massimo di 30 giorni. Tutto ciò avviene automaticamente, anche se puoi anche creare i tuoi backup manuali, se lo desideri.

Jetpack salva tutte le modifiche apportate al tuo sito man mano che si verificano. Ciò elimina il rischio di perdita parziale dei dati quando è necessario ripristinare un backup recente. Basta andare al registro delle attività e scegliere la data e l'ora in cui desideri ripristinare e Jetpack inizierà subito a ripristinare il tuo sito (anche se è totalmente offline).

A proposito del registro delle attività…

5. Un registro delle attività per monitorare le modifiche del sito

Un registro delle attività è uno strumento che ti fornisce una ripartizione delle cose che accadono sul tuo sito web. Puoi utilizzare questi log per monitorare diversi tipi di attività, inclusi accessi, installazioni di plug-in, caricamenti di post e persino modifiche alla configurazione del tuo sito.

L'importanza di un registro delle attività non può essere sopravvalutata. Se collabori con altri per gestire un sito Web, questo strumento ti fornirà informazioni su ciò che fanno tutti gli altri.

Puoi anche utilizzare un registro delle attività per risolvere i problemi. Ad esempio, se il tuo scanner di vulnerabilità rileva improvvisamente un problema con un plug-in, puoi controllare i registri per vedere quando il plug-in è stato installato e da chi.

Jetpack include un registro delle attività con un account WordPress.com gratuito, dove puoi vedere gli ultimi 20 eventi sul tuo sito. Con una licenza premium, avrai accesso agli eventi almeno degli ultimi 30 giorni

Come rafforzare il tuo sito WordPress in 18 passaggi

Oltre agli strumenti di cui abbiamo parlato nella sezione precedente, dovrai anche adottare misure per rafforzare WordPress. Ecco le misure di sicurezza più importanti per il tuo sito.

1. Esegui il backup del tuo sito

I backup sono forse la parte più importante di una strategia di sicurezza completa. Avere sempre backup recenti significa che se il tuo sito web è sotto attacco o infetto da malware, puoi sempre ripristinare i tuoi contenuti.

Idealmente, utilizzerai un plug-in che automatizza i backup. Ciò elimina il rischio di dimenticare di eseguire un backup dopo aver apportato modifiche significative al tuo sito web.

Come abbiamo accennato, Jetpack VaultPress Backup è una potente soluzione di backup inclusa da sola o con un piano qualificante come Jetpack Security. Utilizza un sistema di backup in tempo reale. Ciò significa che salva ogni volta che apporti una modifica al tuo sito, quindi ogni nuova modifica è protetta immediatamente.

Questo sistema è preferibile ai backup pianificati. Con quest'ultimo si corre il rischio di perdita di dati se l'ultimo punto di ripristino è troppo indietro. Questo non è un problema se usi VaultPress Backup.

2. Installa un plug-in di sicurezza tutto in uno

Ci sono molti plugin di sicurezza WordPress tra cui scegliere. Alcuni strumenti sono progettati per scopi specifici, come abilitare un WAF o l'autenticazione a due fattori (2FA). Altri adottano un approccio più olistico e combinano più funzionalità per proteggere il tuo sito.

L'idea alla base dei plug-in di sicurezza all-in-one è ridurre al minimo il numero di strumenti di terze parti che è necessario configurare sul tuo sito Web, ottenendo al contempo l'accesso a quante più funzionalità possibili.

Jetpack offre un'ampia gamma di funzionalità di sicurezza. Se opti per il plug-in gratuito, avrai accesso a un registro delle attività, funzionalità WAF, un'opzione di autenticazione sicura e altro ancora.

Puoi espandere la gamma di funzionalità di sicurezza offerte dal plug-in iscrivendoti al piano Jetpack Security.

Puoi espandere la gamma di funzionalità di sicurezza offerte dal plug-in iscrivendoti al piano Jetpack Security. Questo piano ti dà accesso a una soluzione di backup, scansione automatizzata del malware con soluzioni disponibili con un clic, protezione antispam e altro ancora.

In termini di valore, Jetpack Security offre una delle soluzioni di sicurezza più complete per gli utenti di WordPress. E se lo desideri, puoi sempre iniziare a utilizzare il plug-in gratuito e aggiornare alla versione premium quando ti senti a tuo agio.

3. Aggiorna il core di WordPress

Aggiornare WordPress alla versione più recente è una delle cose più importanti che puoi fare per migliorare la sicurezza del tuo sito web. Questo perché le versioni più recenti tendono a includere correzioni e miglioramenti della sicurezza. Inoltre, gli sviluppatori del software spesso rilasciano patch per correggere vulnerabilità urgenti.

L'utilizzo di versioni obsolete di WordPress può anche portare a problemi di compatibilità con plugin e temi. Questi possono far sì che gli elementi chiave del tuo sito web smettano di funzionare.

Mantenere WordPress aggiornato è semplice. Quando accedi alla dashboard, WordPress ti dirà se sono disponibili aggiornamenti. Puoi aggiornare WordPress facendo clic su Dashboard → Aggiornamenti .

Tieni presente che l'aggiornamento di WordPress potrebbe portare a problemi di compatibilità se i tuoi plugin o temi non supportano la versione più recente.

Tieni presente che l'aggiornamento di WordPress potrebbe portare a problemi di compatibilità se i tuoi plugin o temi non supportano la versione più recente. Per risolvere questo problema, ti consigliamo di creare un backup del tuo sito prima degli aggiornamenti importanti.

Se utilizzi VaultPress Backup, questo non sarà necessario. Il plugin eseguirà il backup del tuo sito in tempo reale in modo da avere un punto di ripristino disponibile prima dell'aggiornamento, nel caso in cui sia necessario ripristinare il tuo sito.

4. Rimuovi plugin e temi non utilizzati

Man mano che il tuo sito cresce, potresti aver bisogno di nuovi plugin e potresti persino passare a un tema diverso. Ciò potrebbe introdurre più vulnerabilità nel tuo sito. Come regola generale, è intelligente rimuovere eventuali plugin o temi che non ti servono più.

Il processo è semplice.

Vai alla pagina dei plugin o dei temi nella dashboard. Quindi, disattiva ed elimina quelli che non utilizzi più.

Vai alla pagina dei plugin o dei temi nella dashboard. Quindi, disattiva ed elimina quelli che non utilizzi più.

Se decidi di reinstallare alcuni di questi plugin in un secondo momento, va bene. Ci vorranno solo pochi minuti per installarli e attivarli, anche se potrebbe essere necessario configurarne nuovamente le impostazioni.

5. Aggiorna tutti i plugin e i temi rimanenti

Dopo aver ripulito l'elenco di plugin e temi, ti consigliamo di verificare se qualcuno degli elementi rimanenti del tuo sito richiede aggiornamenti. Gli aggiornamenti di plugin e temi possono essere importanti quanto gli aggiornamenti core di WordPress in termini di sicurezza, poiché sono alcuni dei vettori di attacchi più comuni.

WordPress ti avviserà di eventuali aggiornamenti di plug-in e temi disponibili quando accedi alla dashboard. Idealmente, aggiornerai i componenti del tuo sito non appena saranno disponibili nuove versioni.

Puoi farlo dalle pagine del plugin e del tema nella dashboard.

Se sei troppo occupato per controllare il tuo sito ogni giorno, puoi abilitare gli aggiornamenti automatici per ciascun plugin. Questa è una misura semplice.

Se sei troppo occupato per controllare il tuo sito ogni giorno, puoi abilitare gli aggiornamenti automatici per ciascun plug-in. Questa è una misura semplice, ma può ridurre drasticamente il rischio di vulnerabilità sul tuo sito web.

6. Applicare una politica di password complessa

Molto spesso, le violazioni dei siti Web non sono causate dalle vulnerabilità di WordPress ma da un errore umano. Molte persone utilizzano credenziali deboli per accedere ai propri siti Web, rendendo più semplice per gli hacker accedere alla dashboard.

Il modo migliore per evitarlo è applicare una politica di password complessa. Quando registri un account sul tuo sito Web WordPress, viene generata per te una password sicura.

Il modo migliore per evitarlo è applicare una politica di password complessa.

Se utilizzi Jetpack, avrai anche accesso alla funzionalità di autenticazione a due fattori (2FA), che puoi utilizzare per proteggere ulteriormente la pagina di accesso.

Se utilizzi Jetpack, avrai anche accesso alla funzionalità di autenticazione a due fattori (2FA), che puoi utilizzare per proteggere ulteriormente la pagina di accesso.

Questo può essere molto utile se hai più utenti sul tuo sito (come autori e gestori di negozi). Anche se i tuoi utenti utilizzano password deboli, avrai il fallback di 2FA per proteggere il tuo sito web dagli aggressori con accesso a queste credenziali (ne parleremo più avanti).

7. Limita i tentativi di accesso

In generale, se qualcuno non ricorda i propri dati di accesso, di solito prova alcune credenziali diverse e quindi richiede la reimpostazione della password.

Se noti (attraverso i registri delle attività) che un individuo sta provando un gran numero di combinazioni di nome utente e password, probabilmente hai a che fare con un attacco. Ecco perché è una buona idea limitare il numero di tentativi di accesso che un utente può effettuare in un determinato periodo di tempo.

Questa è una funzionalità disponibile in Jetpack. Il plug-in offre una protezione dalla forza bruta in grado di riconoscere indirizzi IP dannosi noti e impedire loro di tentare di accedere.

Il plug-in offre una protezione dalla forza bruta in grado di riconoscere indirizzi IP dannosi noti e impedire loro di tentare di accedere.

La protezione dalla forza bruta è attiva per impostazione predefinita con Jetpack. Puoi rivedere la sua configurazione andando su Jetpack → Impostazioni. Qui puoi anche aggiungere indirizzi IP consentiti, in modo che Jetpack non ti impedisca erroneamente di accedere alla pagina di accesso.

8. Rafforzare la sicurezza dell'accesso con 2FA

Un recente sondaggio indica che oltre il 40% degli sviluppatori considera l’implementazione della 2FA come la massima priorità. Questa misura riduce al minimo il rischio che gli aggressori accedano al tuo sito web con credenziali rubate.

L'autenticazione a due fattori è una funzionalità di sicurezza fondamentale poiché molti utenti hanno password deboli o riutilizzano le proprie credenziali su una varietà di siti. Con 2FA, richiedi a questi utenti di fornire un'altra forma di autenticazione.

Come abbiamo discusso, Jetpack ti consente di utilizzare 2FA per il tuo sito Web WordPress. Ciò richiede agli utenti di configurare un account WordPress.com. Possono quindi utilizzare questo account per accedere ad altri siti Web WordPress, anche quelli che utilizzano la versione open source di WordPress.

2FA è disponibile con la versione gratuita di Jetpack. La funzionalità può essere attivata o disattivata e non è necessario armeggiare con le impostazioni avanzate per configurarla, poiché si basa su WordPress.com.

9. Rimuovere gli account utente non utilizzati

Gli account utente inattivi possono rappresentare un rischio per la sicurezza del tuo sito web, in particolare se dispongono di autorizzazioni di alto livello (ne parleremo più approfonditamente nella sezione successiva). Questi account offrono ulteriori opportunità di violazioni della sicurezza poiché le loro credenziali potrebbero essere compromesse e condivise sul web.

Questo è il motivo per cui molti siti Web elimineranno automaticamente il tuo account se rimane inattivo per lunghi periodi di tempo (dopo averti avvisato, ovviamente). WordPress ti dà il pieno controllo sul tuo elenco di utenti, il che significa che puoi aggiungere o eliminare utenti a tuo piacimento.

L'eliminazione degli utenti è un processo semplice. Vai su Utenti → Tutti gli utenti, trova l'account e seleziona l'opzione Elimina.

L'eliminazione degli utenti è un processo semplice. Vai su Utenti → Tutti gli utenti , trova l'account e seleziona l'opzione Elimina . WordPress ti chiederà conferma, ma non è necessario che l'utente stesso approvi la cancellazione dell'account.

Potresti voler contattare gli utenti prima di eliminare i loro account. Ma se un account è inattivo da anni, probabilmente dovrebbe essere rimosso.

10. Assegnare il ruolo corretto agli utenti rimanenti

Dopo aver ripulito l'elenco degli utenti, il passaggio successivo dovrebbe essere quello di rivedere le autorizzazioni per gli utenti rimanenti. WordPress utilizza un semplice sistema di ruoli, in cui ciascun ruolo ha un insieme predeterminato di autorizzazioni.

L'unico ruolo utente con accesso completo a tutte le impostazioni di WordPress è l'amministratore. Per motivi di sicurezza, dovrebbe esserci un solo amministratore. Altri ruoli di WordPress includono autori, redattori, contributori e abbonati.

Alcuni plugin aggiungono anche nuovi ruoli utente con autorizzazioni aggiornate.

Ogni ruolo è dotato di autorizzazioni che consentono agli utenti di eseguire determinate attività. Gli autori, ad esempio, possono pubblicare e modificare i propri post, ma non quelli creati da altri utenti.

Ogni ruolo è dotato di autorizzazioni che consentono agli utenti di eseguire determinate attività. Gli autori, ad esempio, possono pubblicare e modificare i propri post, ma non quelli creati da altri utenti.

Idealmente, nessun utente dovrebbe avere un ruolo che gli dia più autorizzazioni di quelle di cui ha bisogno. L'assegnazione di ruoli sbagliati può portare a problemi di sicurezza poiché gli utenti potrebbero modificare le impostazioni di WordPress che non dovrebbero toccare.

È importante rivedere periodicamente l'elenco degli utenti per garantire che a tutti siano assegnati i ruoli corretti. Questa semplice pratica ti aiuterà a ridurre al minimo i problemi di sicurezza causati dai membri del team con autorizzazioni errate.

11. Rinominare l'account "admin" predefinito

L’account amministratore di WordPress è il gioiello della corona per gli aggressori. Se riescono ad accedervi, potranno fare tutto ciò che vogliono sul tuo sito web, incluso rubare dati e installare malware.

Per impostazione predefinita, WordPress utilizza il nome utente amministratore per l'account amministratore. Puoi modificarlo durante la creazione dell'account, ma non successivamente.

Se utilizzi il nome utente amministratore , è un'ipotesi facile per la maggior parte degli aggressori, il che significa che devono solo ottenere la tua password. WordPress non ti consente di modificare i nomi utente esistenti, anche come amministratore.

Se utilizzi il nome utente amministratore, è un'ipotesi facile per la maggior parte degli aggressori, il che significa che devono solo ottenere la tua password.

Per aggirare questo problema, puoi creare un nuovo account amministratore, con un nome utente più forte, e quindi eliminare il primo. Tieni presente che puoi farlo solo se sei l'amministratore.

12. Modificare il prefisso del database predefinito

Per impostazione predefinita, WordPress utilizza il prefisso wp_ per i database dei siti. Ciò rende relativamente facile indovinare il nome del database, che a sua volta può aiutare gli aggressori a connettersi ad esso.

È possibile ridurre il rischio che gli strumenti di SQL injection automatizzati identifichino il database modificando tale prefisso. Idealmente, lo farai durante il processo di installazione. La procedura guidata di configurazione di WordPress ti chiederà quale prefisso del database utilizzare prima di configurare il tuo sito web.

Se il tuo sito è già attivo, dovrai modificare il file wp-config.php per cambiare il prefisso del database. Connettiti al sito Web utilizzando il protocollo di trasferimento file (FTP) e cerca il file wp-config.php nella directory principale di WordPress.

Modifica il file e cerca la riga che dice $table_prefix = 'wp_';. Vai avanti e sostituisci il valore wp_ con il prefisso che desideri utilizzare. Il tuo client FTP dovrebbe caricare le modifiche quando salvi e chiudi il file.

Ora accedi al database utilizzando phpMyAdmin. Seleziona il tuo database e utilizza SQL scheda nella parte superiore dello schermo per eseguire la seguente query per ciascuna tabella nel database:

RINOMINARE la tabella wp_xxxx IN otherprefix_xxxx;

Ecco come dovrebbe apparire la query nella vita reale:

Seleziona il tuo database e utilizza la scheda SQL nella parte superiore dello schermo per eseguire la seguente query per ciascuna tabella nel database: RENAME table wp_xxxx TO otherprefix_xxxx;

Questo è un processo altamente sensibile, quindi dovresti assicurarti di avere un backup completo del sito (incluso il database) prima di tentare di modificare i prefissi.

Una volta terminato il processo, assicurati che il tuo sito web funzioni correttamente. Se riscontri errori, potresti aver dimenticato di rinominare una delle tabelle del database o di aver eseguito la query sbagliata.

Proteggiamo il tuo sito. Gestisci la tua attività.

Jetpack Security fornisce una sicurezza completa e facile da usare per il sito WordPress, inclusi backup in tempo reale, un firewall per applicazioni web, scansione anti-malware e protezione anti-spam.

Proteggi il tuo sito

13. Nascondi /wp-admin e /wp-login.php

Probabilmente riconosci entrambi questi suffissi URL. Vengono utilizzati per accedere a WordPress e accedere alla dashboard. Sono facili da ricordare, ma ciò può rendere più semplice l'accesso al tuo sito web per gli hacker.

Dal punto di vista della sicurezza, ha più senso utilizzare un suffisso diverso per entrambi gli URL. Per iniziare, puoi dare un'occhiata a questo tutorial su come modificare l'URL di accesso di WordPress. Ciò include le istruzioni per modificare wp-login e wp-admin.php sia manualmente che utilizzando i plugin.

14. Installa un certificato SSL per la crittografia dei dati

Al giorno d'oggi, non c'è motivo per cui i siti Web non utilizzino certificati Secure Sockets Layer (SSL). Questi certificati convalidano la legittimità del tuo sito e ti consentono di utilizzare il protocollo HTTPS per inviare e ricevere dati crittografati.

Alcuni browser avviseranno gli utenti se la loro connessione a un sito non è sicura o se ha un certificato SSL non valido o scaduto.

Alcuni browser avviseranno gli utenti se la loro connessione a un sito non è sicura o se ha un certificato SSL non valido o scaduto.

Puoi seguire questa guida per ottenere un certificato SSL gratuito per il tuo sito web e installarlo. Puoi anche utilizzare uno degli host web consigliati da Jetpack, che offrono tutti certificati SSL gratuiti con configurazione automatica.

15. Limitare l'accesso FTP tramite indirizzo IP

Per impostazione predefinita, chiunque abbia accesso alle credenziali FTP del tuo sito web può connettersi ad esso utilizzando quel protocollo. Ciò significa che, se gli aggressori dovessero mettere le mani sulle tue credenziali, potrebbero modificare quasi ogni aspetto del tuo sito.

Alcuni host web forniscono misure di sicurezza FTP avanzate, come la limitazione dell'accesso tramite indirizzo IP. Ciò ti consente di scegliere quali indirizzi possono connettersi al tuo sito web tramite FTP.

Solo l'amministratore e gli altri membri del team che richiedono l'accesso tramite FTP dovrebbero disporre delle autorizzazioni necessarie. Ciò può aiutare a ridurre al minimo gli incidenti di sicurezza e aiutarti a identificare chi ha apportato modifiche ai file chiave se riscontri problemi con WordPress.

Idealmente, non utilizzerai affatto FTP e sceglierai invece SFTP o SSH per accedere al tuo server.

Questo processo varierà a seconda del tuo host web. Se non sei sicuro che il tuo provider di hosting ti consenta di limitare l'accesso FTP tramite indirizzo IP, puoi controllare la loro documentazione.

16. Proteggi i permessi di file e directory

I sistemi basati su UNIX utilizzano regole di autorizzazione basate su insiemi di numeri. I singoli file e directory possono avere diversi set di autorizzazioni, che determinano chi può accedervi, modificarli ed eseguirli.

Puoi leggere ulteriori informazioni su come funzionano le autorizzazioni UNIX nel Manuale per sviluppatori di WordPress.

Per ora, è importante notare che esistono livelli di autorizzazione ideali per i siti Web WordPress e i relativi file system.

Questi sono:

  • 644 o 640 per i file. La prima serie di numeri fornisce al proprietario l'accesso completo in lettura e scrittura al file, mentre gli altri utenti del gruppo avranno solo accesso in lettura. Il secondo set di autorizzazioni non offre l'accesso in lettura agli utenti.
  • 755 o 750 per le directory. Questo insieme di permessi funziona allo stesso modo dell'ultimo esempio, ma con le directory. 755 fornisce al proprietario accesso completo in lettura e scrittura, mentre gli altri membri del gruppo hanno accesso in lettura.

Puoi modificare le autorizzazioni dei file per il tuo file system WordPress utilizzando FTP. Per fare ciò, fai clic con il pulsante destro del mouse su un file o una directory e seleziona l'opzione dei permessi del file (questo può variare a seconda del client FTP che utilizzi).

Puoi modificare le autorizzazioni dei file per il tuo file system WordPress utilizzando FTP.

Alcuni client FTP ti consentiranno di impostare i permessi dei file selezionando caselle specifiche e utilizzando il sistema numerico. Sei libero di scegliere l'opzione che preferisci.

17. Non consentire la modifica dei file

WordPress include editor di temi e file plugin pronti all'uso, sebbene alcuni host web li disabilitino per impostazione predefinita. Si tratta di semplici editor di testo che puoi utilizzare dalla dashboard per apportare modifiche al codice dei plugin e dei temi sul tuo sito web.

L'abilitazione della modifica dei file dalla dashboard rappresenta un rischio per la sicurezza. Ciò significa che se gli aggressori riescono ad accedere alla dashboard, possono modificare direttamente il codice del sito senza bisogno di credenziali FTP o accesso al pannello di hosting.

Se il tuo host web ti consente di utilizzare la modifica dei file in WordPress, puoi disabilitare questa opzione manualmente modificando il file wp-config.php . Apri il file e aggiungi la seguente riga di codice alla fine prima della riga che dice /* Questo è tutto, smetti di modificare! Buon blogging. */ :

 define('DISALLOW_FILE_EDIT', true);

Assicurati che il valore sia impostato su "true", quindi salva le modifiche su wp-config.php e chiudilo. Se controlli ora la dashboard, gli editor di temi e plug-in non dovrebbero più essere visualizzati lì.

18. Proteggi il tuo file wp-config.php

Come hai visto da questa guida al potenziamento di WordPress, il file wp-config.php è fondamentale dal punto di vista della sicurezza. Puoi modificare il codice del file per aumentare la protezione del tuo sito web, quindi è essenziale che nessun altro possa accedervi.

Abbiamo già esaminato un modo per proteggere il tuo file wp-config.php da accessi non autorizzati. Principalmente, si tratta di limitare chi può connettersi al tuo sito web tramite FTP. Idealmente, avrai solo uno o un numero limitato di indirizzi IP autorizzati a connetterti tramite FTP per ridurre i rischi.

La seconda misura di sicurezza che puoi adottare è garantire che siano presenti le autorizzazioni corrette per i file. Mentre i livelli di autorizzazione consigliati per gli altri file sono 644 o 640, il file wp-config.php dovrebbe essere impostato su 440 o 400. Questi livelli di autorizzazione significano che altri utenti oltre all'amministratore non saranno nemmeno in grado di ottenere l'accesso in lettura al fascicolo.

L'importanza dei backup per il disaster recovery

L'automazione dei backup è forse la misura di sicurezza più importante. Con un recente backup off-site a portata di mano, puoi sempre ripristinare il tuo sito web se qualcosa va storto.

Se utilizzi VaultPress Backup, non devi preoccuparti di creare manualmente i backup. Puoi verificare i backup disponibili andando su Jetpack → VaultPress Backup e facendo clic su Visualizza i tuoi backup nel pulsante cloud .

Se utilizzi VaultPress Backup, non devi preoccuparti di creare manualmente i backup.

Questo ti mostrerà tutti i backup disponibili e ti offrirà la possibilità di ripristinarne qualcuno con un solo clic. VaultPress Backup crea copie in tempo reale del tuo sito ogni volta che apporti modifiche, così avrai sempre a disposizione i backup recenti.

Come Jetpack Security gestisce i backup per la massima tranquillità

Diamo uno sguardo più da vicino a come Jetpack Security gestisce i backup. Tieni presente che le seguenti funzionalità sono disponibili solo con piani premium come Jetpack Security, Jetpack Complete o VaultPress Backup.

1. Backup in tempo reale

La maggior parte delle soluzioni di backup richiedono la creazione manuale dei backup o la loro generazione in base a una pianificazione. Ad esempio, potresti avere la possibilità di eseguire backup giornalieri, settimanali o mensili.

I backup giornalieri sono un ottimo inizio, ma anche in questo caso corri il rischio di perdere dati critici quando devi ripristinare il tuo sito web. Se hai apportato modifiche al sito dopo il backup giornaliero e prima di quello successivo, dovrai implementarle nuovamente.

VaultPress Backup risolve questo problema creando copie del tuo sito in tempo reale. Ogni volta che apporti modifiche, il plug-in eseguirà il backup e avrai a disposizione un nuovo punto di ripristino. Ciò significa che non corri alcun rischio di perdere dati.

2. Archiviazione fuori sede ultra sicura

L'archiviazione può rappresentare un problema con la maggior parte delle soluzioni di backup. Puoi archiviare copie del tuo sito sul suo server, localmente o anche utilizzando l'archiviazione nel cloud. Le soluzioni offsite sono migliori dal punto di vista della sicurezza perché se il server non funziona, puoi comunque accedervi.

VaultPress Backup offre la propria soluzione di archiviazione offsite. Non è necessario configurare il plug-in per funzionare con i fornitori di archiviazione cloud quando accedi allo spazio di archiviazione Jetpack.

Il plugin memorizzerà automaticamente gli ultimi 30 giorni di backup fuori sede. In qualsiasi momento, puoi selezionare uno di questi backup e ripristinarlo.

3. Ripristini con un clic

VaultPress Backup semplifica il ripristino del tuo sito web. Tutto quello che devi fare è selezionare il backup che desideri ripristinare e confermare la tua scelta, e il plugin si occuperà del resto.

Quando accedi nuovamente al tuo sito web, vedrai la versione che hai ripristinato utilizzando VaultPress Backup. Da quel momento in poi potrai continuare ad apportare modifiche al sito.

Domande frequenti

Se hai ancora domande su come proteggere il tuo sito web WordPress o VaultPress Backup, questa sezione risponderà.

Che cos'è la protezione avanzata di WordPress e perché è importante?

L'hardening di WordPress si riferisce al processo di aumento della sicurezza del tuo sito. Ciò rende più difficile per gli aggressori accedere al sito web.

Quali sono le minacce più comuni ai siti WordPress?

La maggior parte delle vulnerabilità di WordPress provengono da plugin, temi e core di WordPress obsoleti. È più probabile che il software obsoleto presenti vulnerabilità che gli aggressori possono sfruttare per accedere o ottenere il controllo del tuo sito web.

Come posso monitorare il mio sito WordPress per eventuali vulnerabilità della sicurezza?

Il modo più semplice per monitorare le vulnerabilità del tuo sito è utilizzare uno scanner di sicurezza. Jetpack Security sfrutta WPScan per esaminare il tuo sito Web alla ricerca di vulnerabilità note di WordPress.

Inoltre, Jetpack può aiutarti a risolvere eventuali problemi di sicurezza rilevati dal plug-in durante le scansioni.

Cosa dovrei cercare in un plugin di sicurezza WordPress?

I migliori plugin di sicurezza di WordPress offrono una raccolta di funzionalità che ti aiuteranno a proteggere il tuo sito web riducendo al minimo la necessità di altri strumenti di terze parti. Puoi utilizzare Jetpack con il piano Jetpack Security per accedere a funzionalità come backup in tempo reale, WAF, protezione antispam, implementazione 2FA e altro ancora.

Quanti siti si affidano a Jetpack per la sicurezza del proprio sito web?

Jetpack è uno dei plugin WordPress più popolari sul mercato grazie alla sua ricchezza di funzionalità di sicurezza e ottimizzazione delle prestazioni. Oltre cinque milioni di siti Web utilizzano Jetpack, quindi è un'ottima scelta sia per gli utenti WordPress nuovi che per quelli esperti.

Jetpack Security può essere d'aiuto anche con i commenti spam e l'invio di moduli?

Jetpack Security include funzionalità di protezione dallo spam che bloccano o filtrano automaticamente i commenti di spam in base ad algoritmi e dati avanzati. Puoi anche esaminare i commenti contrassegnati per assicurarti che non vi siano falsi positivi.

Dove posso saperne di più sulla sicurezza Jetpack?

Se vuoi saperne di più su Jetpack Security, puoi visitare la home page del piano. Lì puoi trovare ulteriori informazioni sulle sue funzionalità e iscriverti a un piano.

Proteggi il tuo sito web utilizzando Jetpack Security

Esistono molti modi per rafforzare il tuo sito Web WordPress. Alcuni di questi implicano l'implementazione di misure di sicurezza come la modifica dell'accesso predefinito e degli URL della dashboard, la protezione del file wp-config.php e altro ancora. Nella maggior parte dei casi, tuttavia, la cosa più efficace che puoi fare per proteggere il tuo sito è utilizzare un plug-in di sicurezza tutto in uno.

Jetpack Security è una soluzione potente. Ti consente di proteggere la tua pagina di accesso e difendere il tuo sito dagli attacchi DDoS. Fornisce anche backup in tempo reale, protezione da spam e molto altro.

Se non sei sicuro di dove iniziare quando si tratta di indurire WordPress, dai un'occhiata alla sicurezza di Jetpack. Puoi iscriverti a un piano e iniziare a proteggere immediatamente il tuo sito web!