Sicurezza e rafforzamento di WordPress, la guida definitiva

Pubblicato: 2021-01-26

WordPress è molto popolare. Circa un sito su cinque su Internet utilizza WordPress in qualche modo. Che si tratti di gestire un umile blog o un sistema di gestione dei contenuti (CMS) multisito o un sito di e-commerce. Di conseguenza, non sorprende che i siti Web WordPress siano un obiettivo molto popolare sia per gli hacker esperti che per gli script kiddies.

L'ultima cosa che un webmaster vuole è scoprire che il loro sito web è stato violato; potrebbe essere preso in ostaggio e fa parte di una botnet, diffonde malware o partecipa ad attacchi Denial of Service (DoS). In questo articolo condivideremo una serie di suggerimenti e strategie per aiutarti a rafforzare il tuo sito Web WordPress.

Sommario

  • WordPress è sicuro?
  • Plugin e temi
    • Esegui meno software
    • Osservare il principio dei meno privilegiati
    • Aggiorna i tuoi plugin e temi WordPress
    • Stai lontano da plugin e temi WordPress "annullati".
  • Tieni aggiornato WordPress
  • Hosting WordPress
  • Dashboard di WordPress
    • Disabilita la registrazione
    • Credenziali
    • Autenticazione a due fattori (2FA)
  • Rafforzamento del core di WordPress
    • Disabilita la registrazione del debug
    • Disabilita XML-RPC
    • Limita l'API REST di WordPress
    • Impedisci la divulgazione della versione di WordPress
    • Impedisci l'enumerazione degli utenti di WordPress
    • Disabilita l'editor di file di WordPress
    • Disabilita la gestione dei temi e dei plugin
  • TLS (SSL)
  • Conclusioni e prossimi passi

WordPress è sicuro?

Questa è una domanda che molti amministratori di sistema si pongono, e giustamente. Sebbene WordPress sia nel complesso ben costruito e sicuro, ha la reputazione di essere soggetto a vulnerabilità di sicurezza e di non essere "di livello aziendale". Quella reputazione non è esattamente giusta. Il più delle volte, i problemi risiedono nel fatto che WordPress è un pacchetto software incredibilmente popolare che è facile da configurare mentre si utilizzano scorciatoie di sicurezza. Il che ci porta al nostro primo argomento: plugin e temi.

Plugin e temi

Il problema numero uno che affligge la sicurezza di WordPress è anche ciò che lo rende incredibilmente popolare. I plugin e i temi di WordPress variano in lungo e in largo in termini di qualità e sicurezza. Sebbene il team di WordPress abbia svolto molto lavoro per aiutare gli sviluppatori a creare plugin e temi più sicuri, rimangono comunque un incubo per la sicurezza. Questo può essere notato quando si utilizzano plug-in mal gestiti o plug-in ottenuti da una fonte imprecisa.

Prima di continuare a discutere di plugin e temi di WordPress, capiamo prima cosa sia effettivamente un plugin di WordPress. I plugin sono semplicemente codice PHP personalizzato che WordPress esegue per estendere le funzionalità di WordPress. Per una spiegazione più dettagliata e tecnica fare riferimento a Cosa sono i plugin di WordPress.

Allo stesso modo, i temi WordPress consentono la personalizzazione degli aspetti visivi del tuo sito WordPress. Dal punto di vista di un utente malintenzionato, c'è poca differenza tra i due poiché entrambi possono essere utilizzati in modo improprio per eseguire codice dannoso.

Esegui meno software

Quindi, come puoi sapere se un plug-in è dannoso o meno? Questa è una domanda complicata, ma fortunatamente abbiamo una risposta per te. Ne abbiamo parlato in dettaglio in come scegliere il miglior plug-in WordPress per il tuo sito Web WordPress.

Anche se fai tutte le ricerche necessarie, ci sono anche possibilità che il plug-in possa ancora rappresentare una minaccia per la sicurezza. Quindi uno dei modi per ridurre il rischio è eseguire solo il software di cui hai assolutamente bisogno e di cui ti fidi. Prima di installare un nuovo plugin per WordPress chiediti se hai davvero bisogno di installare quel plugin. Un piccolo frammento di codice in un plug-in specifico del sito può fare il trucco o hai legittimamente bisogno di un plug-in completo?

Importante : sii molto vigile con i frammenti di codice che trovi su Internet. Non utilizzare mai un pezzo di codice a meno che tu non comprenda appieno cosa sta facendo: solo perché è su StackOverflow, non significa che sia sicuro da usare.

Se hai una reale necessità di eseguire un plug-in, assicurati che sia mantenuto attivamente e regolarmente aggiornato come spieghiamo nella nostra guida. Come regola generale, più download e aggiornamenti recenti del plug-in o del tema indicano che è ampiamente utilizzato e che viene attivamente mantenuto dai suoi autori. Ciò non significa che il plugin non avrà mai una vulnerabilità. Tuttavia, se viene rilevata una vulnerabilità, lo sviluppatore agirà rapidamente ed emetterà rapidamente una correzione.

Cerca di evitare i plugin che non hanno molti download e, soprattutto, non hanno una community attiva e aggiornamenti regolari. Se qualcosa non ha ricevuto un aggiornamento entro un anno, è generalmente una bandiera rossa.

Osservare il principio dei meno privilegiati

WordPress non ha bisogno di utilizzare l'utente root MySQL per connettersi al suo database. Né ogni utente di WordPress deve avere il ruolo di amministratore. Allo stesso modo, non è una buona idea eseguire la maggior parte dei programmi come utente privilegiato, a meno che non vi sia un motivo specifico per farlo.

Le best practice di sicurezza impongono sempre di concedere alle applicazioni il minor numero possibile di privilegi che ne consentano il corretto funzionamento, con eventuali privilegi aggiuntivi disabilitati. Questa pratica viene comunemente definita il principio del privilegio minimo.

Supponiamo ipoteticamente che WordPress si stia connettendo a un database con un account utente privilegiato. Nel caso di un plug-in WordPress contenente una vulnerabilità SQL injection, un utente malintenzionato potrebbe non solo eseguire query SQL come amministratore, ma in alcuni casi potrebbe anche essere in grado di eseguire comandi del sistema operativo. Se un utente malintenzionato riesce a eseguire i comandi del sistema operativo, potrebbe essere in grado di effettuare ricognizioni e intensificare un attacco ulteriormente ad altri sistemi.

L'esecuzione di software con privilegi di amministratore o la fornitura agli utenti di un accesso maggiore del necessario è fonte di problemi. Va contro un collaudato principio del privilegio minimo, poiché consente a un utente malintenzionato di infliggere più danni in caso di violazione della sicurezza.

La cosa buona di WordPress è che ha una serie di ruoli integrati, che puoi usare per assegnare privilegi diversi a utenti diversi, a seconda delle loro esigenze. Abbiamo scritto ampiamente su come utilizzare i ruoli utente di WordPress per migliorare la sicurezza di WordPress.

Aggiorna i tuoi plugin e temi WordPress

Gli aggiornamenti dei temi e dei plugin di WordPress sono importanti non solo per beneficiare di nuove funzionalità e correzioni di bug, ma anche per correggere le vulnerabilità di sicurezza. Sia i plugin che i temi sono facili da aggiornare all'interno dell'interfaccia di WordPress.

Alcuni plug-in commerciali avranno probabilmente i propri meccanismi per mantenere aggiornati i plug-in, tuttavia, nella maggior parte dei casi ciò è trasparente per gli utenti. Tuttavia, assicurati solo che, qualunque sia il sistema di aggiornamento utilizzato, mantieni aggiornati i tuoi plugin e temi.

Non utilizzare plugin e temi WordPress "annullati".

Plugin annullati per WordPress
WordPress utilizza la GPL 1 . Senza entrare nei dettagli, la licenza GPL consente a chiunque di distribuire liberamente software con licenza GPL. Ciò include temi e plugin WordPress con licenza GPL commerciale/premium. Pertanto, potrebbe non essere illegale scaricare un tema o plug-in premium modificato, solitamente denominato nulled , e utilizzarlo gratuitamente.

Tuttavia, come avrai già intuito, oltre a non supportare lo sviluppatore del plug-in, è molto improbabile che tu riceva aggiornamenti per i plug-in annullati. Inoltre, non hai modo di sapere se la fonte di questo plugin è stata modificata per fare qualcosa di nefasto.

Tieni aggiornato WordPress

Proprio come dovresti mantenere aggiornati i tuoi plugin e temi, dovresti anche fare in modo di mantenere aggiornata la versione di WordPress che stai utilizzando. Fortunatamente ora questo è molto più semplice di quanto non fosse in passato, con aggiornamenti di sicurezza critici che si verificano automaticamente. Naturalmente, a meno che non disabiliti esplicitamente questa funzionalità.

Oltre a nuove funzionalità, miglioramenti e correzioni di bug, gli aggiornamenti principali di WordPress contengono anche correzioni di sicurezza che potrebbero proteggerti dagli aggressori che sfruttano il tuo sito Web WordPress e lo utilizzano per guadagni illeciti.

Hosting WordPress

Hosting WordPress Dove e come scegli di ospitare il tuo sito WordPress dipenderà molto dalle tue esigenze. Anche se non c'è niente di sbagliato nell'ospitare e gestire WordPress da soli, se non sei tecnicamente così esperto, o se vuoi assicurarti di soddisfare la maggior parte delle basi della sicurezza di WordPress senza fare un sacco di lavori pesanti, potresti voler optare per un provider di hosting WordPress gestito come Kinsta o WP Engine.

Dal momento che abbiamo avuto siti Web ospitati con entrambi gli host, ne abbiamo scritto. Nelle storie dei nostri clienti mettiamo in evidenza la nostra esperienza con loro. Per saperne di più sulla tua esperienza, leggi la nostra storia dei clienti di WP Engine e Kinsta. L'hosting gestito di WordPress sottrae molte decisioni e configurazioni di sicurezza di cui devi altrimenti preoccuparti per te stesso.

Naturalmente, anche l'hosting WordPress gestito potrebbe non essere adatto a te. Puoi scegliere di ospitare WordPress tu stesso, soprattutto se hai un budget limitato. Il self hosting di WordPress ti dà anche un maggiore controllo sulla tua installazione di WordPress. Per saperne di più su tutte le diverse opzioni di hosting WordPress e su cosa funziona meglio per te, fai riferimento alla guida alla scelta dell'hosting WordPress.

Dashboard di WordPress

La dashboard di WordPress del tuo sito è un luogo in cui non vuoi che nessuno non autorizzato sia in agguato. Sebbene ci siano alcuni siti che hanno motivi legittimi per consentire agli utenti pubblici di accedere utilizzando la dashboard di WordPress, questo rappresenta un enorme rischio per la sicurezza e deve essere considerato con molta attenzione.

Fortunatamente, la maggior parte dei siti Web WordPress non ha questo requisito e come tale dovrebbe impedire l'accesso alla dashboard di WordPress. Ci sono diversi modi per farlo e dovresti scegliere quello che funziona meglio per te.

Una pratica comune è limitare l'accesso tramite password proteggendo le pagine di amministrazione di WordPress (wp-admin). Un'altra soluzione sarebbe quella di consentire l'accesso a /wp-admin solo a un numero di indirizzi IP selezionati.

Disabilita la registrazione

Per impostazione predefinita, WordPress non consente agli utenti pubblici di registrarsi al tuo sito Web WordPress. Per confermare che la registrazione dell'utente è disabilitata:

  1. vai su Impostazioni > Pagina Generale nell'area della dashboard di WordPress
  2. vai alla sezione Abbonamento
  3. assicurati che la casella di controllo accanto a Chiunque può registrarsi non sia selezionata.

Credenziali

Come qualsiasi altro sito Web, l'accesso alla dashboard di WordPress è forte quanto lo sono le tue credenziali. L'applicazione di una forte sicurezza delle password di WordPress è un controllo di sicurezza cruciale di qualsiasi sistema e WordPress non fa eccezione.

Sebbene WordPress non abbia alcun modo per impostare una politica per le password pronta all'uso, un plug-in come WPassword è assolutamente essenziale per imporre i requisiti di sicurezza della password a tutti gli utenti che hanno accesso alla dashboard di WordPress.

Dopo aver applicato una forte sicurezza della password sul tuo sito Web, utilizza WPScan per verificare la presenza di credenziali WordPress deboli, per assicurarti che nessun account stia ancora utilizzando password deboli.

Autenticazione a due fattori (2FA)

Autenticazione a due fattori

Un altro controllo di sicurezza essenziale per la dashboard di WordPress è richiedere l'autenticazione a due fattori. L'autenticazione a due fattori (2FA) rende molto più difficile per un utente malintenzionato accedere alla dashboard di WordPress se un utente malintenzionato riesce a scoprire la password di un utente (ad esempio un utente malintenzionato può scoprire la password di un utente da una violazione dei dati).

Fortunatamente, è molto facile configurare l'autenticazione a due fattori su WordPress. Esistono numerosi plugin di alta qualità che puoi utilizzare per aggiungere questa funzionalità. Leggi i migliori plug-in di autenticazione a due fattori per WordPress per un punto culminante dei migliori plug-in 2FA disponibili per WordPress.

Rafforzamento del core di WordPress

Anche se il core di WordPress è un software sicuro, non significa che non possiamo rafforzarlo ulteriormente. Di seguito sono elencate una serie di strategie di rafforzamento specifiche per il core di WordPress.

Assicurati che la registrazione del debug sia disabilitata

WordPress consente agli sviluppatori di registrare i messaggi di debug in un file (questo è /wp-content/debug.log per impostazione predefinita). Sebbene ciò sia perfettamente accettabile in un ambiente di sviluppo, tieni presente che questo file può essere facilmente accessibile anche da un utente malintenzionato se lo stesso file e/o le stesse impostazioni arrivano alla produzione.

Il debug di WordPress è disabilitato per impostazione predefinita. Anche se è sempre meglio ricontrollare che lo sia, assicurati di non avere la costante WP_DEBUG definita nel tuo file wp-config.php o impostala esplicitamente su false. Fare riferimento alla guida al debug di WordPress per un elenco di tutte le opzioni di debug.

Se per qualche motivo hai bisogno dei log di debug di WordPress sul tuo sito web life, accedi a un file al di fuori della radice del tuo server web (ad esempio /var/log/wordpress/debug.log). Per cambiare il pa

define('WP_DEBUG_LOG', '/path/outside/of/webserver/root/debug.log');

Disabilita XML-RPC

La specifica XML-RPC di WordPress è stata progettata per consentire la comunicazione tra diversi sistemi. Ciò significa che praticamente qualsiasi applicazione potrebbe interagire con WordPress. La specifica XML-RPC di WordPress è stata storicamente importante per WordPress. Gli permette di interagire e integrarsi con altri sistemi e software.

La cosa buona è che XML-RPC è stato sostituito dall'API REST di WordPress. Per evidenziare alcuni dei problemi di sicurezza relativi a XML-RPC; la sua interfaccia è stata la fonte di numerose vulnerabilità di sicurezza nel corso degli anni. Può anche essere utilizzato dagli aggressori per l'enumerazione dei nomi utente, la forzatura bruta delle password. o attacchi Denial of Service (DoS) tramite pingback XML-RPC.

Pertanto, a meno che tu non stia utilizzando attivamente XML-RPC e disponga di controlli di sicurezza appropriati, dovresti disabilitarlo. Poiché questo è qualcosa di facilmente realizzabile senza installare un plug-in di terze parti, illustreremo come farlo di seguito.

Sebbene tu possa semplicemente configurare il tuo server web per bloccare l'accesso a /xmlrpc.php, un metodo preferito per farlo è disabilitare esplicitamente XML-RPC usando un filtro WordPress integrato. Aggiungi semplicemente quanto segue a un file di plug-in e attivalo sul tuo sito.

add_filter('xmlrpc_enabled', '__return_false');

Dritta

  • È una buona idea utilizzare un plugin per WordPress per questo e altri frammenti di codice simili.

Limita l'API REST di WordPress

Allo stesso modo di XML-RPC, l'API di WordPress è il modo moderno per le applicazioni di terze parti di comunicare con WordPress. Sebbene sia sicuro da usare, è consigliabile limitare alcune funzioni al suo interno per prevenire l'enumerazione degli utenti e altre potenziali vulnerabilità. A differenza di XML-RPC, WordPress non fornisce un modo semplice e nativo per disabilitare completamente l'API REST (era solito 2 , ma questo è stato deprecato, quindi è consigliabile non farlo più), tuttavia, puoi limitarlo.

Come è tipico con WordPress, puoi utilizzare un plug-in per ottenere ciò, oppure puoi aggiungere il seguente filtro a un file di plug-in e attivarlo sul tuo sito. Il codice seguente disabiliterà l'API REST di WordPress per chiunque non abbia effettuato l'accesso restituendo un codice di stato HTTP non autorizzato (codice di stato 401) utilizzando l'hook rest_authentication_errors di WordPress.

add_filter( 'rest_authentication_errors', function( $result ) {
if ( ! empty( $result ) ) {
return $result;
}
if ( ! is_user_logged_in() ) {
return new WP_Error( 'rest_not_logged_in', 'You are not currently logged in.', array( 'status' => 401 ) );
}
return $result;
});

Inoltre, l'API REST di WordPress abilita JSONP per impostazione predefinita. JSONP è una vecchia tecnica per aggirare la stessa politica di origine del browser prima che i browser moderni supportassero CORS (Cross-origin Resource Sharing). Poiché questo potrebbe essere potenzialmente utilizzato come passaggio in un attacco da parte di un utente malintenzionato, non vi è alcun motivo reale per cui sia abilitato. Si consiglia di disabilitarlo utilizzando il filtro WordPress rest_jsonp_enabled utilizzando il seguente frammento di codice PHP.

add_filter('rest_enabled', '__return_false');

Fare riferimento alla documentazione del filtro per ulteriori informazioni a riguardo.

Impedisci la divulgazione della versione di WordPress

Come molte altre applicazioni Web, per impostazione predefinita, WordPress divulga la sua versione in diversi punti. La divulgazione della versione non è esattamente una vulnerabilità della sicurezza, tuttavia queste informazioni sono molto utili per un utente malintenzionato quando pianifica un attacco. Di conseguenza, disabilitare le funzionalità di divulgazione della versione di WordPress potrebbe rendere un attacco un po' più difficile.

WordPress perde molte informazioni sulla versione. Fortunatamente, questo GitHub offre un elenco completo di filtri WordPress da disabilitare sotto forma di plugin per WordPress. Ovviamente puoi incorporare questo codice in qualsiasi plug-in esistente specifico del sito o da utilizzare che hai già.

Impedisci l'enumerazione degli utenti di WordPress

WordPress è vulnerabile a una serie di attacchi all'enumerazione degli utenti. Tali attacchi consentono a un utente malintenzionato di capire quali utenti esistono, indipendentemente dal fatto che un utente esista o meno. Anche se può sembrare innocuo, tieni presente che gli aggressori potrebbero utilizzare queste informazioni come parte di un attacco più ampio. Per ulteriori informazioni su questo argomento, leggi come enumerare gli utenti di WordPress con WPScan.

Per impedire l'enumerazione degli utenti di WordPress, dovrai assicurarti che le seguenti funzionalità di WordPress siano disabilitate o limitate.

  • Limita l'API REST di WordPress agli utenti non autenticati
  • Disabilita WordPress XML-RPC
  • Non esporre /wp-admin e /wp-login.php direttamente alla rete Internet pubblica

Inoltre, dovrai anche configurare il tuo server web per impedire l'accesso a /?author=<numero>. Se stai utilizzando Nginx, puoi utilizzare la seguente configurazione per impedire l'enumerazione degli utenti di WordPress.

RewriteCond %{REQUEST_URI} ^/$
RewriteCond %{QUERY_STRING} ^/?author=([0-9]*)
RewriteRule .* - [R=403,L]

In alternativa, se stai utilizzando Apache HTTP Server, puoi utilizzare la seguente configurazione per impedire l'enumerazione degli utenti di WordPress.

if ( $query_string ~ "author=([0-9]*)" ) {
return 403;
}

Disabilita l'editor di file di WordPress

Una delle funzionalità più pericolose di WordPress è la possibilità di modificare i file dalla dashboard stessa di WordPress. Non dovrebbero esserci ragioni legittime per cui qualsiasi utente dovrebbe aver bisogno di farlo, e certamente non al core di WordPress. Semmai, vuoi assicurarti di sapere esattamente quali file sono stati modificati utilizzando un plug-in di sicurezza FIM (File Integrity Monitoring) di alta qualità.

Per essere avvisato delle modifiche ai file, utilizza il plug-in Website File Changes Monitor, che sviluppiamo.

Qualsiasi modifica ai file del tuo sito Web dovrebbe avvenire tramite una connessione sicura (ad es. SFTP) o, preferibilmente, tracciata in un repository di controllo della versione e distribuita utilizzando CI/CD.

Per disabilitare l'editor di file di plugin e temi nella dashboard di WordPress, aggiungi semplicemente quanto segue al tuo file wp-config.php.

define('DISALLOW_FILE_EDIT', true );

Disabilita la gestione dei temi e dei plugin

Una buona pratica di sicurezza di WordPress è disabilitare la gestione dei plugin e dei temi dalla dashboard di WordPress. Utilizzare invece strumenti da riga di comando come wp-cli per apportare queste modifiche.

Disabilitando le modifiche al tema e ai plug-in, riduci drasticamente la superficie di attacco del tuo sito Web WordPress. In questo caso, anche se un utente malintenzionato viola con successo un account amministratore, non sarebbe in grado di caricare un plug-in dannoso per intensificare l'attacco oltre l'accesso alla dashboard di WordPress.

La costante DISALLOW_FILE_MODS definita in wp-config.php disabilita gli aggiornamenti e l'installazione di plugin e temi tramite la dashboard. Disabilita anche tutte le modifiche ai file all'interno della dashboard, rimuovendo così l'editor di temi e l'editor di plug-in.

Per disabilitare le modifiche al tema e ai plugin nella dashboard di WordPress, aggiungi quanto segue al tuo file wp-config.php.

define('DISALLOW_FILE_MODS', true );

WordPress HTTPS (SSL/TLS)

Transport Layer Security (TLS) è assolutamente essenziale per la sicurezza di WordPress, è gratuito e facile da configurare. Nota: TLS è il protocollo che ha sostituito Secure Socket Layer, SSL. Tuttavia, poiché il termine SSL è molto popolare, molti si riferiscono ancora a TLS come SSL.

Quando visiti il ​​tuo sito Web su HTTPS (HTTP su TLS), le richieste e le risposte HTTP non possono essere intercettate e spiate, o peggio modificate da un utente malintenzionato.

Mentre TLS ha più a che fare con il tuo server web, o Content Delivery Network (CDN) che con l'installazione di WordPress, uno degli aspetti più importanti di TLS (WordPress HTTPS) è applicarlo. C'è una grande quantità di informazioni online su come impostare WordPress HTTPS (SSL e TLS).

Se non ti senti a tuo agio nella modifica dei file di configurazione e preferisci passare a WordPress HTTPS utilizzando un plug-in, puoi utilizzare SSL Really Simple o WP force SSL. Sono entrambi plugin molto buoni e facili da usare.

I prossimi passi per un WordPress ancora più sicuro

Se sei arrivato così lontano, fantastico, ma ciò non significa che non ci sia ancora altro da fare. Di seguito sono riportati alcuni elementi che puoi esaminare per rafforzare ulteriormente il tuo sito Web WordPress.

  1. Rafforza PHP. Dato che PHP è un componente fondamentale di qualsiasi sito Web WordPress, l'indurimento di PHP è uno dei passaggi logici successivi. Ne abbiamo parlato ampiamente nella migliore configurazione di sicurezza PHP per i siti Web WordPress.
  2. Usa plugin di sicurezza affidabili. I plug-in di sicurezza di qualità offrono funzionalità di sicurezza avanzate non incluse in WordPress in modo nativo. Ci sono una grande quantità di plugin per la sicurezza di WordPress là fuori. Tuttavia, assicurati di scegliere plug-in con una buona reputazione e idealmente quelli in cui è disponibile un supporto premium o commerciale, come i nostri plug-in di sicurezza di alta qualità per WordPress.
  3. Eseguire un controllo delle autorizzazioni dei file. Per i siti Web WordPress in esecuzione su Linux, autorizzazioni file errate possono consentire a utenti non autorizzati di accedere a file potenzialmente sensibili. Per ulteriori informazioni su questo argomento, fare riferimento alla nostra guida alla configurazione di siti Web WordPress sicuri e autorizzazioni per server Web.
  4. Eseguire un controllo del file di backup. I file di backup lasciati accidentalmente accessibili possono far trapelare informazioni riservate. Ciò include la configurazione contenente segreti che potrebbero consentire agli aggressori di ottenere il controllo sull'intera installazione di WordPress.
  5. Rafforza il tuo server web
  6. Rafforza MySQL
  7. Aggiungi le intestazioni di sicurezza HTTP necessarie
  8. Assicurati di avere un sistema di backup WordPress funzionante.
  9. Utilizzare un servizio di protezione DDoS
  10. Implementare una politica di sicurezza dei contenuti
  11. Gestisci il backup esposto e i file senza riferimenti.

Conclusione: questo è solo il primo passo del viaggio verso la sicurezza di WordPress

Congratulazioni! Se hai seguito tutti i consigli di cui sopra e implementato tutte le migliori pratiche di sicurezza consigliate, il tuo sito Web WordPress è sicuro. Tuttavia, la sicurezza di WordPress non è una soluzione una tantum: è un processo in continua evoluzione. C'è una grande differenza tra rafforzare un sito Web WordPress (stato una tantum) e mantenerlo sicuro per anni.

L'indurimento è solo una delle quattro fasi del processo di sicurezza di WordPress (ruota di sicurezza di WordPress). Per un sito Web WordPress sicuro tutto l'anno, devi seguire il processo di sicurezza iterativo di WordPress di test> rafforzamento> monitoraggio> miglioramento. Devi testare e controllare continuamente lo stato di sicurezza del tuo sito Web WordPress, rafforzare il software, monitorare il sistema e migliorare la configurazione in base a ciò che vedi e impari. Per esempio:

  • uno strumento come WPScan può aiutarti a testare la posizione di sicurezza del tuo sito Web WordPress
  • un firewall WordPress può proteggere il tuo sito Web WordPress da attacchi di hacking noti e dannosi
  • un registro delle attività di WordPress può aiutarti a fare molto: tenendo un registro di tutte le modifiche che si verificano sul tuo sito Web puoi migliorare la responsabilità degli utenti, sapere cosa sta facendo ogni utente e anche tenere d'occhio tutte le attività nascoste
  • strumenti come i nostri plug-in di sicurezza e gestione di WordPress possono aiutarti a garantire la sicurezza delle password, rafforzare il processo di sicurezza di WordPress, ricevere avvisi di modifiche ai file e molto altro

Hai tutti gli strumenti giusti per proteggere il tuo sito. Anche se gestisci un piccolo sito Web WordPress, prenditi il ​​tempo necessario per elaborare gradualmente questa guida. Assicurati di non finire per impegnarti nella costruzione di un ottimo sito Web, solo per essere saccheggiato da un attacco mirato a WordPress.

Non esiste una sicurezza efficace al 100%. Tuttavia, stai rendendo considerevolmente più difficile per un utente malintenzionato prendere piede e attaccare con successo il tuo sito Web WordPress applicando le varie tecniche di hardening trattate in questa guida. Ricorda che quando gli aggressori prendono di mira la loro prossima vittima, non devi superarli in astuzia. Devi solo essere più sicuro del prossimo sito Web vulnerabile!

Riferimenti utilizzati in questo articolo [ + ]

Riferimenti utilizzati in questo articolo
1 https://en.wikipedia.org/wiki/GNU_General_Public_License
2 https://developer.wordpress.org/reference/hooks/rest_enabled/