Sicurezza WordPress - Guida completa passo dopo passo (2020) - MalCare
Pubblicato: 2023-04-21C'è una buona ragione per essere preoccupati per la sicurezza del tuo sito web. I rapporti ci dicono che oltre 90.000 tentativi di hacking vengono effettuati sul sito Web WordPress ogni minuto della giornata.
Molti proprietari di siti Web potrebbero pensare che il loro sito Web sia troppo piccolo per attirare l'attenzione di un hacker. La verità è che, poiché i piccoli siti Web accettano la sicurezza con indulgenza, gli hacker trovano molto più facile hackerare i piccoli siti Web.
Grande o piccolo: ogni sito Web WordPress deve adottare misure di sicurezza.
Fortunatamente, ci sono numerose cose che puoi fare per proteggere il tuo sito web da hacker e bot. In questo articolo, mostreremo esattamente quali passi devi seguire per assicurarti che il tuo sito web sia sicuro.
[lwptoc skipHeadingLevel=”h1,h4,h5,h6″ skipHeadingText=”Riflessioni finali”]
Importanza della sicurezza del sito web
WordPress è la piattaforma di creazione di siti Web più popolare al mondo. In questo momento ci sono 75 milioni di siti Web WordPress su Internet e ogni giorno ne vengono creati centinaia di nuovi. Questo tipo di popolarità ha un prezzo.
Più persone lo usano, più è attraente come bersaglio per gli hacker. Windows è un obiettivo più grande del sistema operativo di Apple. Chrome è un obiettivo più grande per l'exploit rispetto a Firefox. La popolarità attira più attenzione, sia nel bene che nel male.
Abbiamo accennato in precedenza a come i proprietari di piccoli siti Web considerino i loro siti Web immuni e non prendano le precauzioni necessarie che li rendono un obiettivo ideale.
Quando il tuo sito Web viene violato, gli hacker utilizzano i siti Web per eseguire attività dannose. Potrebbero lanciare attacchi più grandi su altri siti, inviare e-mail di spam, archiviare software piratato, iniettare collegamenti spam, vendere prodotti illegali, creare collegamenti di affiliazione con spam SEO giapponese e tra le altre cose.
E questa è la fine del problema. Le cose possono precipitare rapidamente e i motori di ricerca forniranno avvisi di siti ingannevoli agli utenti e possono inserire nella blacklist il tuo sito. I rapporti ci dicono che Google inserisce nella blacklist 50.000 siti web per attività di phishing e circa 20.000 siti web per contenere malware ogni settimana!
Oltre a ciò, i provider di hosting possono anche sospendere il tuo account. Ciò significa che il tuo sito Web sarà inattivo per giorni, il che avrà un impatto sulla tua riscossione delle entrate. Se aspetti troppo a lungo per sistemare il tuo sito, la tua attività subirà danni irreparabili.
Siamo tutti d'accordo sul fatto che prendere precauzioni di sicurezza è molto meglio che riparare un sito Web WordPress compromesso.
Ti mostreremo come proteggere il tuo sito, ma prima vogliamo rispondere a una domanda a cui molti dei nostri lettori stanno pensando.
[Torna all'inizio ↑]
Ma WordPress non è sicuro?
Il core di WordPress è sicuro. WordPress ha un esercito dei migliori sviluppatori che lavorano instancabilmente per mantenere al sicuro il core di WordPress. Migliorano costantemente la tecnologia e rilasciano patch e aggiornamenti per correggere eventuali problemi tecnici o errori.
Non c'è stata alcuna grande vulnerabilità nel core di WordPress per molto tempo.
Nonostante ciò, ogni minuto della giornata vengono effettuati oltre 90.000 tentativi di hacking sui siti Web WordPress. E ci sono due ragioni principali dietro questo.
Prima di tutto, WordPress è una piattaforma estremamente popolare. Circa 75 milioni di siti Web su Internet sono costruiti su WordPress, il che attira l'attenzione dei gruppi di hacker di tutto il mondo.
Un altro motivo è la presenza di temi e plugin vulnerabili e obsoleti. In effetti, i rapporti suggeriscono che temi e plug-in obsoleti sono una delle principali cause di ulteriori compromissioni di WordPress.
(Psst: puoi leggere di più su questo nel nostro articolo sugli aggiornamenti di sicurezza di WordPress .)
Quindi, sebbene il tuo WordPress sia una piattaforma sicura, ci sono altri fattori che possono portare a un sito web compromesso. Pertanto, l'adozione delle seguenti misure di sicurezza può fare molto per salvare i tuoi siti Web WordPress.
[Torna all'inizio ↑]
[ss_click_to_tweet tweet=”???? Se prendi sul serio il tuo sito web, presta attenzione alle migliori pratiche di sicurezza di WordPress. ????" contenuto=”” stile=”predefinito”]
Come proteggere un sito Web WordPress?
Esistono 15 diverse misure di sicurezza che puoi adottare per proteggere il tuo sito Web WordPress. Quelli sono:
- Installa un plugin per la sicurezza di WordPress
- Eseguire backup regolari
- Usa una buona compagnia di hosting
- Mantieni aggiornato WordPress
- Usa un certificato SSL
- Proteggi la tua pagina di accesso a WordPress
- Imposta un firewall
- Rafforza il tuo sito web
- Impiega i principi dei privilegi minimi
- Blocco di indirizzi IP sospetti
- Implementa il blocco Paese
- Nascondi la versione di WordPress
- Controlla registro attività
- Usa solo l'indirizzo e-mail per accedere
- Usa l'autenticazione HTTP
Diamo uno sguardo più approfondito a queste misure.
1. Installa un plugin per la sicurezza di WordPress
Le funzioni principali di un plug-in o servizio di sicurezza sono la scansione, la pulizia e la protezione. Sebbene ci siano molti plugin di sicurezza di WordPress tra cui scegliere, non tutti i plugin sono efficaci. Alcuni possono offrire molte funzionalità ma creano solo molto rumore. Un hacker esperto può aggirare tali plug-in di sicurezza per hackerare il tuo sito web.
MalCare è uno dei migliori plugin per la scansione di sicurezza di WordPress in circolazione. Ecco perché -
io. Lo scanner di malware di MalCare
Uno scanner di malware di WordPress richiede risorse per eseguire una scansione. Molti scanner fanno affidamento sulle risorse del tuo server web, ma questo può rallentare la velocità del tuo sito web.
Per superare questa sfida, MalCare utilizza le proprie risorse del server per eseguire una scansione del tuo sito web. Trasferisce i file del tuo sito Web sul proprio server e quindi esegue la scansione lì. Questo metodo garantisce che il tuo sito rimanga inalterato durante il processo di scansione.
Molti scanner cercano solo malware esistenti, il che significa che mancano nuovi tipi di malware. MalCare è progettato per identificare tutti i tipi di malware, compresi quelli nuovi .
ii. Rimozione malware di MalCare
MalCare offre il servizio di rimozione malware più veloce. La maggior parte dei servizi di sicurezza di WordPress offre la pulizia basata su ticket. In questo, se il tuo sito web è stato violato, dovresti sollevare un ticket, pagare la tariffa per la rimozione del malware e quindi attendere che il personale di sicurezza pulisca il tuo sito e ti ricontatti. Questo processo richiede molto tempo e comporta la concessione dell'accesso al tuo sito a una terza parte.
MalCare's Cleaner funziona in modo diverso. Dopo un hack, il tempo è essenziale. Più tempo ci vuole, ci sono più possibilità che Google inserisca nella blacklist il tuo sito web o che gli host web sospendano il tuo sito. Ecco perché MalCare offre una rimozione istantanea del malware WordPress per ripulire un sito Web di hacker. Tutto quello che devi fare è fare clic su un pulsante , sederti e lasciare che il plug-in pulisca il tuo sito in pochi minuti.
iii. Misure di protezione WordPress di MalCare
Tutte le misure che abbiamo menzionato finora, dall'uso del firewall al blocco del paese fino all'indurimento del tuo sito Web, sono misure protettive che MalCare ti consente di adottare con un semplice clic sul pulsante.
Come usare MalCare?
- Per utilizzare MalCare, devi prima scaricare e installare il plug-in sul tuo sito web.
- Quindi aggiungi il tuo sito alla dashboard di MalCare. Il plug-in inizierà immediatamente la scansione del tuo sito web. Se trova file dannosi sul tuo sito web, ti avviserà.
- Puoi pulire immediatamente il tuo sito utilizzando il pulsante Auto-Clean di MalCare.
[Torna all'inizio ↑]
2. Eseguire backup regolari
I backup sono la tua rete di sicurezza. Se qualcosa va storto con il tuo sito web, puoi ripristinarlo alla normalità se hai una copia del tuo sito web.
Ci sono molti plugin di backup là fuori. Con l'enorme numero di scelte disponibili, può essere davvero facile ritrovarsi con un servizio che non è all'altezza. Per selezionare il giusto servizio di backup, devi sapere come scegliere un plug-in di backup.
Inoltre, la revisione dei plug-in di backup sarà un affare lungo e costoso. Fortunatamente, abbiamo fatto un confronto tra i principali plugin di backup di WordPress sul mercato. Dai un'occhiata ai migliori plugin di backup di WordPress.
[Torna all'inizio ↑]
3. Usa una buona compagnia di hosting
I due provider di hosting più popolari sono l'hosting condiviso e l'hosting gestito.
L'hosting condiviso è popolare perché è meno costoso. Ha consentito a milioni di persone in tutto il mondo di avviare il proprio sito Web senza un grande investimento. Ma nell'hosting condiviso, condividi un server con altri siti Web sconosciuti. E spesso quando un sito Web viene compromesso, ne risentono anche altri siti Web sullo stesso server. Quindi, sebbene popolari, i provider di hosting condiviso non sono attrezzati per gestire situazioni minacciose.
Se puoi permetterti un server dedicato, scegli sempre quello. Fa un lavoro migliore nel mantenere sicuro un sito Web WordPress. Puoi verificare in che modo il web hosting influisce sulla sicurezza del sito web.
Poiché ci sono molti provider di hosting tra cui scegliere, abbiamo fatto un confronto tra i migliori hosting WordPress. Si spera che ti aiuti a prendere una decisione su quale fornitore di host web scegliere.
[Torna all'inizio ↑]
4. Mantieni aggiornato il sito Web WordPress
Come qualsiasi altro software, plugin, temi e persino il core di WordPress sviluppano vulnerabilità nel tempo.
Quando gli sviluppatori vengono a conoscenza delle vulnerabilità, rilasciano una patch sotto forma di aggiornamento. Quando i proprietari di siti Web non aggiornano il proprio sito, le vulnerabilità rimangono.
Dopo aver rilasciato una patch, gli sviluppatori annunciano i motivi dell'aggiornamento, il che significa che la vulnerabilità viene annunciata pubblicamente. Gli hacker sono ora a conoscenza della falla di sicurezza e della versione in cui esiste. Sono consapevoli del fatto che non tutti i proprietari di siti Web aggiorneranno immediatamente il proprio sito, quindi iniziano a cercare siti Web in esecuzione sulla versione vulnerabile. Questo intervallo di tempo offre loro buone possibilità di hackerare con successo un gran numero di siti.
Ad esempio, le statistiche mostrano che oltre l'80% dei siti Web è stato violato perché non veniva aggiornato!
Devi aggiornare regolarmente il tuo sito WordPress. Scopri come aggiornare il tuo sito Web WordPress in modo sicuro.
Potresti notare che ci sono plugin e temi che non vengono aggiornati dai loro sviluppatori da molto tempo. Nella maggior parte dei casi, il software viene abbandonato dagli sviluppatori. È meglio rimuovere il plug-in o il tema dal tuo sito Web e installare un'alternativa.
[Torna all'inizio ↑]
5. Utilizzare un certificato SSL
Dai rapidamente un'occhiata all'URL di questo sito web.
Hai notato la serratura? Questo blocco indica che il sito utilizza un certificato SSL. SSL è un secure socket layer che crittografa i dati durante il trasferimento tra il browser e il sito web.
Perché? Perché i dati (come i dettagli della carta di credito) trasferiti dal browser di un visitatore al tuo sito Web possono essere intercettati e rubati. Quindi, anche se i dati vengono rubati, se sono crittografati, gli hacker non possono utilizzarli.
Ecco una guida che ti aiuterà a installare un certificato SSL sul tuo sito Web e a spostare il sito WordPress da HTTP a HTTPS.
[Torna all'inizio ↑]
6. Proteggi la tua pagina di accesso a WordPress
La pagina di accesso è una delle parti più comunemente attaccate di un sito WordPress. Gli hacker provano a indovinare le credenziali di accesso e accedono all'area di amministrazione di WordPress che darà loro il controllo completo sul sito web. Pertanto, è importante implementare la giusta protezione sulla pagina di accesso di WordPress. Diamo un'occhiata alle diverse tecniche che ti consentiranno di proteggere la tua pagina di accesso e aumentare la sicurezza dell'accesso a WordPress.
io. Usa nome utente univoco
Se il tuo nome utente è facile da indovinare, l'hacker deve solo capire la password. Con una cosa in meno di cui preoccuparsi, rende il lavoro di un hacker molto più semplice.
Uno dei nomi utente WordPress più comuni è "admin". Fino a pochi anni fa, WordPress incoraggiava le persone a utilizzare "admin" come nome utente. Sebbene WordPress non suggerisca più automaticamente "admin", è ancora ampiamente utilizzato. Pertanto, devi adottare misure per assicurarti che i tuoi amministratori evitino di utilizzare "admin" come nome utente insieme a questi nomi utente comunemente usati.
Consultare questo elenco ogni volta che viene creato un nuovo account utente potrebbe fare molto per proteggere il tuo WordPress. Inoltre, se qualcuno dei tuoi utenti esistenti utilizza nomi utente comuni, chiedi loro di cambiarlo. Ecco una guida che troveranno utile su Come cambiare il nome utente di WordPress?
ii. Cambia il tuo nome visualizzato
Per infiltrarsi nel tuo sito, gli hacker sfogliano il tuo sito Web e raccolgono i nomi visualizzati. Usano diverse combinazioni di questi nomi per provare ad accedere. Gli hacker sanno che non è raro avere lo stesso nome utente e lo stesso nome visualizzato. Ad esempio, se Sophia Lawrence è un nome visualizzato, potrebbero tentare di accedere utilizzando sophialalawrence o sophia.lawrence o sophia come nome utente.
Quindi, per salvaguardare il tuo sito da questo, puoi cambiare il tuo nome visualizzato.
Vai a "Modifica il mio profilo" . E poi cambia il tuo 'Nickname' . Salva l'aggiornamento. Ora seleziona "Visualizza nome pubblicamente come" . Viene visualizzato un menu a discesa in cui vedrai il nuovo nome visualizzato. Selezionalo e salva l'impostazione.
Gli hacker falliranno inevitabilmente se tentano di utilizzare il nome visualizzato.
[Torna all'inizio ↑]
iii. Impedisci la scoperta del nome utente
Oltre al nome visualizzato, un altro metodo che può essere utilizzato per scoprire il nome utente dal tuo sito Web è tramite WordPress Rest API. Questo è un serio problema di sicurezza di WordPress. Introdotta nel 2016, questa funzionalità di base di WordPress consente a chiunque di scoprire le informazioni degli utenti sul tuo sito. Tutto quello che devono fare è eseguire un semplice URL: example.com/wp-json/wp/v2/users
Per evitare che ciò accada, utilizzare il seguente frammento di codice nel file functions.php. Nasconderà l'elenco dell'utente e ti darà un errore 500 se tenti di eseguire nuovamente l'URL.
[php]
add_filter( 'rest_endpoints', function( $endpoints ){
if ( isset( $endpoints['/wp/v2/users'] ) ) {
unset( $endpoint['/wp/v2/users'] );
}
if ( isset( $endpoints['/wp/v2/users/(?P&amp ;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;lt;id& ;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;gt;[\\\\\\\\d]+) '] ) ) {
unset( $endpoints['/wp/v2/users/(?P&amp ;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;lt;id& ;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;gt;[\\\\\\\\\d]+)'] );
}
return $endpoint;
});
[/php]
Il nome utente è uno dei due componenti di una credenziale di accesso. Diamo un'occhiata al secondo componente, la password, e proviamo a capire come proteggerla dagli hacker.
[Torna all'inizio ↑]
iv. Applicare password sicure
Qualsiasi password proteggerà il mio sito Web, non è sufficiente? La risposta è no perché gli hacker cercano costantemente di indovinare le password dei siti WordPress per entrare.
Usano una tecnica chiamata attacchi di forza bruta in cui programmano i bot per fare milioni di tentativi di accesso cercando di indovinare le tue credenziali in meno di pochi minuti.
Se usi una password facile come Passw0rd123$ , il bot la decifrerà in poche ipotesi. Per questo è importante avere una password univoca e complessa.
WordPress incoraggia gli utenti a generare automaticamente password complesse, ma puoi comunque creare un account utilizzando una password debole. Pertanto, l'onere di utilizzare password complesse ricade sulle tue spalle.
Puoi educare i tuoi amministratori di WordPress a utilizzare password complesse. Le linee guida per l'impostazione di una password sicura sono le seguenti:
– Crea password lunghe
In generale, le password che superano gli 8-10 caratteri sono considerate complesse e in genere difficili da decifrare. Ogni carattere che aggiungi alla tua password la rende più forte. Tuttavia, negli ultimi anni, la tecnologia di cracking delle password è progredita in modo significativo. Pertanto, molti addetti alla sicurezza di WordPress consigliano di utilizzare passphrase lunghe 15 caratteri.
- Password lunga: pd&&)xG56ZhLNrjl4jjNJ4#h (difficile da ricordare)
- Passphrase lunga: Il suo lupo era bianco perché non sai niente John Snow (facile da ricordare)
– Utilizzare una combinazione di caratteri maiuscoli, minuscoli e speciali
Negli attacchi di forza bruta, i bot sono programmati per eseguire procedure di cracking delle password. Seguono determinate istruzioni, ad esempio, cercheranno di indovinare la password corretta trovando una combinazione di diverse lettere minuscole ('a', 'b', 'c', ecc.). L'uso di una password semplice come "testpass" significa che possono decifrare la password dopo aver fatto solo pochi tentativi.
Quindi, se usi una combinazione di caratteri sia minuscoli che maiuscoli, ci vorrà molto tempo per capire la password. Tuttavia, un bot davvero ben programmato può provare qualche milione di password al secondo. Quindi mescolare caratteri speciali, numeri, lettere minuscole e maiuscole dovrebbe idealmente rendere la password imprevedibile e difficile da decifrare.
- Aggiungi maiuscole – TestPass
- Aggiungi numero e simbolo – TestPass123$
– Evita di usare parole comuni e dettagli pubblicamente noti
Parole comuni come 'test', 'admin', 'login' sono parole comuni che gli utenti di WordPress tendono a usare. Queste sono alcune delle password che i bot provano per prime, quindi evita di usarle. Secondo un'infografica di Splashdata, le prime 25 password più utilizzate sono:
- Sport e interessi comuni come 'baseball', 'football' e 'Star Wars', 'Princess', 'Solo' ecc.
- Numeri in ordine come '87654321', '0123456', ecc.
- Lettere in ordine come 'abc123', ecc.
Gli hacker che prendono di mira il tuo sito Web possono raccogliere dettagli dal tuo sito e provarli. Ad esempio, se hai un sito web costruito attorno al tuo programma televisivo preferito Game of Thrones, i bot proveranno varie combinazioni della frase per entrare nei tuoi siti come "GoThrones123" o "gameofthrones123". Per evitare che ciò accada, progetta una password che non faccia menzione di nulla relativo al sito web.
La protezione delle password riduce al minimo le possibilità di una violazione della sicurezza. Ma le password complesse sono difficili da ricordare a meno che tu non abbia qualche asso nella manica.
[Torna all'inizio ↑]
v. Protezione basata su CAPTCHA
Oltre a utilizzare nomi utente univoci e password complesse, l'utilizzo di CAPTCHA è un altro modo perfetto per prevenire attacchi di forza bruta sul tuo sito Web WordPress.
Dopo un certo numero di tentativi di accesso falliti, viene generato un CAPTCHA per determinare se l'utente è umano o bot. I CAPTCHA sono progettati per essere illeggibili dai bot. Pertanto, contrasta gli attacchi di forza bruta perché i bot non possono accedere alla pagina di accesso fino a quando non risolvono il CAPTCHA.
I plug-in di sicurezza di WordPress come MalCare generano CAPTCHA basati su immagini che possono essere risolti solo da un vero utente umano.
Progettati per impedire ai robot degli hacker di violare le tue credenziali, i CAPTCHA sono fantastici.
[Torna all'inizio ↑]
VI. Implementa l'autenticazione a due fattori
Hai notato come servizi popolari come Facebook e Gmail autenticano gli utenti quando tentano di accedere? Un codice viene inviato allo smartphone associato al tuo account che aiuta a convalidare l'utente. Questo è noto come autenticazione a due fattori.
WordPress non offre l'autenticazione a due fattori. Quindi, per implementarlo sul tuo sito WordPress, puoi seguire questa guida su Come aggiungere l'autenticazione a due fattori di WordPress.
[Torna all'inizio ↑]
[ss_click_to_tweet tweet=”Centinaia di siti web vengono violati ogni giorno. Prendi misure precauzionali oggi stesso e proteggi il tuo sito web da hacker e bot. ” contenuto=”” stile=”predefinito”]
7. Configurare un firewall
Delle centinaia di visite che ricevi sul tuo sito web, alcune sono dannose. Tali visitatori arrivano sul tuo sito con l'intenzione di trovare vulnerabilità che possono sfruttare per ottenere il controllo del tuo sito.
Un firewall WordPress controlla ogni richiesta dei visitatori fatta al tuo sito web. Indipendentemente dal dispositivo utilizzato dal visitatore – desktop, smartphone, tablet, laptop – ogni dispositivo è associato a un indirizzo IP. Se la richiesta proviene da un IP sospetto, il visitatore viene bloccato, altrimenti gli sarà consentito l'accesso al sito. Un buon firewall è la tua prima linea di difesa contro il traffico dannoso.
Un plug-in firewall WordPress come quello offerto da MalCare è dotato di un firewall avanzato che offre una maggiore sicurezza. Non controlla solo le richieste di traffico effettuate sul tuo sito, ma registra anche il traffico negativo. Significa che quando incontra un nuovo IP non valido, ne tiene traccia. Se l'IP errato tenta di accedere nuovamente al tuo sito Web, viene prontamente bloccato.
[Torna all'inizio ↑]
8. Rafforza il tuo sito web
Abbiamo identificato alcune aree comuni di un sito Web WordPress di cui gli hacker approfittano. Ad esempio, potrebbe utilizzare le tue chiavi di sicurezza per accedere al tuo sito Web o installare plug-in o temi dannosi sul tuo sito Web. Per proteggere il tuo sito web dagli hacker, devi adottare misure per rafforzare il tuo sito web.
Abbiamo una guida che ti aiuterà a prendere le misure di rafforzamento di WordPress.
[Torna all'inizio ↑]
9. Impiegare i principi dei privilegi minimi
WordPress offre 6 ruoli utente WordPress predefiniti: Amministratore, Editor, Autore, Collaboratore, Abbonato e Superadmin. L'assegnazione di questi ruoli deve essere effettuata con attenzione. Ogni ruolo ha il proprio insieme di poteri e responsabilità. Diamo un'occhiata a loro:
L'amministratore è al vertice della gerarchia. Ha il pieno controllo del sito Web e può eseguire le seguenti funzioni:
- Crea, modifica ed elimina contenuti
- Modifica il codice di plugin e temi
- Gestisci tutti i plugin e i temi
- Creare, modificare ed eliminare account utente
I diritti diminuiscono man mano che si scende nella gerarchia. L'Editor non può apportare modifiche importanti ma può gestire categorie e collegamenti, moderare commenti, creare, modificare ed eliminare post e pagine. L'autore, il collaboratore e l'abbonato hanno meno autorizzazioni.
La responsabilità più alta è quella di un amministratore, i cui diritti dovrebbero essere dati alle persone di cui sei sicuro che non abusino del potere.
Se il tipo sbagliato di persone ottiene l'accesso come amministratore, potrebbe trarre vantaggio dal ruolo. Possono installare plugin e temi non autorizzati, rubare i tuoi dati e venderli a un prezzo, archiviare file e cartelle illegali tra le altre cose.
[Torna all'inizio ↑]
10. Blocco di indirizzi IP sospetti
Se hai un plug-in di sicurezza WordPress come MalCare installato sul tuo sito Web, passa attraverso il registro degli indirizzi IP che hanno tentato di accedere senza successo.
Nota come alcuni di loro potrebbero utilizzare nomi utente comuni (ne abbiamo parlato nella sezione "Usa nome utente univoco") come "adm2016". Questa immagine qui sotto è un record di tentativi di accesso falliti effettuati su uno dei nostri siti web.
Per bloccare questi indirizzi IP dannosi, inserisci il codice nel tuo file .htaccess:
[php]
ordine consentire, negare
negare da 61.134.52.164
consentire da tutti
[/php]
Sostituisci "61.134.52.164" con l'indirizzo IP che desideri vietare e salva il file.
[Torna all'inizio ↑]
11. Implementare il blocco Paese
Il world wide web offre agli hacker l'accesso a siti Web in tutto il mondo. Potrebbero trovarsi in Russia e prendere di mira un sito Web di New York.
Le statistiche mostrano che i primi cinque paesi in cui hanno origine i tentativi di hacking includono Cina, Stati Uniti, Turchia, Brasile e Russia.
Se hai installato MalCare, è facile controllare gli utenti che stanno tentando di accedere al tuo sito web. Puoi vedere il loro paese di origine.
Se hai utenti che si trovano solo negli Stati Uniti, i tentativi di accesso effettuati da altri paesi sono molto probabilmente dannosi.
Nell'immagine sopra, possiamo vedere che i tentativi di accesso sono stati effettuati da quattro paesi diversi: Stati Uniti, Regno Unito, Russia e Cina.
Ora, se stai prendendo di mira solo paesi specifici come gli Stati Uniti, non hai bisogno di traffico da altri paesi, quindi puoi bloccare il Regno Unito, la Russia e la Cina.
Per sapere come implementare il blocco del paese, prendi l'aiuto di questa guida su Come bloccare un paese in WordPress?
[Torna all'inizio ↑]
12. Nascondi la versione di WordPress
Un altro modo in cui un hacker può scoprire se hai file con vulnerabilità note di WordPress è cercare la versione di WordPress che stai utilizzando. A volte i proprietari di siti Web perdono nuovi aggiornamenti di WordPress che rendono il loro sito vulnerabile.
Gli hacker possono sfruttare qualsiasi vulnerabilità che potrebbe essere esistita nella versione precedente dell'installazione principale di WordPress. Quindi, nascondere la versione di WordPress che stai utilizzando potrebbe essere utile.
Per fare ciò, devi inserire un codice nel file function.php.
Passaggio 1: accedi al tuo account host. Accedi a cPanel > File Manager > public_html.
Passo 2: Nella cartella public_html, accedi a wp-content e seleziona la cartella del tuo tema attivo.
Ad esempio, se utilizzi il tema WordPress predefinito Twenty-Nineteen, seleziona la cartella denominata "twenty nineteen".
Tieni presente che "personalblogily" è il tema che stiamo attualmente utilizzando sui nostri siti Web, potresti utilizzare un tema diverso.
Passaggio 3: fare clic con il pulsante destro del mouse sul file function.php e selezionare Modifica. Qui, inserisci il seguente codice.
[php]
funzione wpbeginner_remove_version() {
ritorno ";
}
add_filter('the_generator', 'wpbeginner_remove_version');
[/php]
Salva il file e questo rimuoverà il numero di versione di WordPress dalla visualizzazione in qualsiasi punto del tuo sito.
[Torna all'inizio ↑]
13. Controllare il registro delle attività
Tenere d'occhio tutto ciò che accade sul tuo sito Web WordPress ti consente di identificare comportamenti sospetti in una fase iniziale. Questo ti aiuterà a contrastare eventuali attacchi di hacking dannosi prima che si verifichino effettivamente e danneggino il tuo sito Web WordPress.
Puoi farlo installando un plug-in per tenere traccia di tutto ciò che accade sul tuo sito Web WordPress in un registro delle attività di WordPress. Ci sono diversi plugin tra cui puoi scegliere. WP Security Audit Log è uno di questi plugin.
14. Utilizzare solo l'indirizzo e-mail per accedere
Nella pagina di accesso di WordPress, puoi utilizzare il tuo nome utente o il tuo ID e-mail per accedere. Pertanto, disabilitare l'uso del nome utente potrebbe scoraggiare gli hacker dall'eseguire attacchi di forza bruta sul tuo sito web.
Esistono plug-in come No Login by Email Address che ti consentono di impedire l'uso di nomi utente per accedere al tuo sito web.
[Torna all'inizio ↑]
15. Utilizzare l'autenticazione HTTP
L'autenticazione HTTP offre un livello di protezione sulla pagina di accesso di WordPress ed è un passo importante verso la sicurezza di WordPress. Per accedere alla pagina, l'utente deve inserire le credenziali HTTP. Senza questo, non saranno autorizzati ad accedere alla pagina di accesso del tuo sito.
Plugin come HTTP Auth aiutano a impostare questo livello protettivo sulla tua pagina di accesso. Ricordati di condividere le credenziali di autenticazione HTTP con i tuoi utenti. In caso contrario, si ritroveranno bloccati e impossibilitati ad accedere al tuo sito.
Con ciò, siamo giunti alla fine delle misure di sicurezza avanzate per i siti Web WordPress.
[Torna all'inizio ↑]
Misure di sicurezza WordPress comuni ma obsolete
Nel mondo della sicurezza di WordPress, ci sono molti consigli che i proprietari di siti tendono a ricevere. Ma alcuni di questi consigli non sono molto efficaci. Elencheremo alcuni dei consigli di sicurezza comuni che presentano importanti svantaggi. Queste misure non proteggono davvero il tuo sito Web poiché gli hacker hanno trovato il modo di aggirare queste misure.
- Nascondi la pagina di accesso di WordPress
- Impostare le password su Scadenza
- Logout automatico in assenza di attività
1. Nascondi la pagina di accesso di WordPress
Gli hacker raramente prendono di mira singoli siti web. Programmano bot automatizzati per lanciare attacchi alle pagine di accesso di WordPress. Chiunque abbia utilizzato WordPress abbastanza a lungo sa che i siti Web WordPress sono dotati di un URL della pagina di accesso predefinito simile a questo: ' example.com/wp-admin' .
Questo rende il lavoro dei robot automatizzati molto più semplice. Pertanto, la modifica della pagina di accesso del tuo sito Web in qualcosa come "example.com/wrongpage" potrebbe deviare un attacco in arrivo.
Esistono diversi plug-in come WPS Hide Login, Hide WP-Admin, ecc. che possono aiutarti a nascondere la pagina di accesso di WordPress.
Svantaggio: sebbene ciò possa facilmente impedire tentativi di hacking automatizzati, non garantisce che il tuo sito Web sia sicuro. Ciò è dovuto principalmente al fatto che strumenti come WPS Hide Login offrono un URL di accesso predefinito. Pertanto, centinaia di migliaia di siti Web che utilizzano lo strumento utilizzano lo stesso URL per la loro pagina di accesso. Gli hacker possono facilmente scoprire il formato dell'URL e lanciare attacchi.
Inoltre, nascondere la pagina di accesso senza informare correttamente tutti gli utenti può rivelarsi molto scomodo. Può anche costarti una giornata di lavoro.
[Torna all'inizio ↑]
2. Impostare la scadenza delle password
Avrai notato che nei servizi di e-banking ti chiedono di cambiare password dopo che è trascorso un determinato periodo di tempo. Questa è una misura di sicurezza che garantisce che se il tuo account viene violato, l'hacker ottiene solo una finestra limitata per sfruttare il tuo account. Applicare la stessa misura sui tuoi siti Web WordPress riduce il danno.
Utilizzando il plug-in Expire Passwords, è possibile impostare le password degli utenti in modo che scadano dopo un numero specifico di giorni. Tutti gli utenti sono costretti ad aggiornare le proprie password.
Svantaggio: questa misura fornisce un certo livello di sicurezza, ma gli hacker trovano il modo di superarla. Ad esempio, quando hackerano il tuo sito, creano nuovi account utente o installano backdoor nascoste. Quindi, anche se cambi regolarmente la tua password, hanno già creato altri punti di accesso.
[Torna all'inizio ↑]
3. Disconnessione automatica in assenza di attività
Per i siti Web con più utenti, le possibilità di abuso dei diritti degli utenti sono elevate. È ancora più alto per gli utenti che lavorano in remoto. Un utente potrebbe dover lasciare la propria scrivania per occuparsi di affari urgenti e dimenticare di disconnettersi.
Cosa succede se qualcuno abusa del sito Web durante questo periodo? Per ridurre il rischio di tali abusi, puoi impostare il tuo sito Web WordPress in modo che disconnette automaticamente gli utenti se sono inattivi per un lungo periodo.
Il plug-in Disconnessione inattiva offre una funzione Disconnessione sessione inattiva. Ciò consente di impostare un periodo di tempo di inattività accettabile, ad esempio 10 o 20 minuti, dopo il quale l'utente viene disconnesso automaticamente.
Svantaggio: ma è probabile che se qualcuno vuole curiosare nel tuo sito, lo farà subito dopo che l'utente se ne sarà andato. In casi come questi, il logout degli utenti inattivi non può impedire l'abuso dei diritti degli utenti.
[Torna all'inizio ↑]
[ss_click_to_tweet tweet=”Preoccupato per la sicurezza del tuo sito? ???? Adotta questi passaggi attuabili per proteggere il tuo sito Web dalle vulnerabilità della sicurezza. contenuto=”” stile=”predefinito”]
Pensieri finali
Sappiamo che è stata una lettura davvero lunga e anche un po' travolgente. Ma prima di cercare di fare un pisolino, ecco cosa ti suggeriamo di fare:
- Aggiungi questo articolo ai segnalibri.
- Condividilo con amici e vicini: chiunque pensi possa trarre vantaggio dal seguire la nostra guida.
- Consulta altre guide come Proteggi il tuo sito WordPress con wp-config.php dal nostro blog WordPress.
Speriamo sinceramente che tu abbia trovato utile questo articolo. Vogliamo lasciarvi con un'ultima riflessione: adottare tutte queste misure di sicurezza può essere molto opprimente, quindi suggeriamo di eseguire regolari controlli di sicurezza di WordPress e di optare per un plug-in di sicurezza WordPress premium come MalCare che gestirà la sicurezza per voi.
Con MalCare avrai accesso a ingegnose funzionalità di sicurezza come il firewall, regolari scansioni antimalware, rafforzamento di WordPress e molto altro ancora. Puoi stare tranquillo sapendo che ci prendiamo cura della sicurezza del tuo sito.
Prova subito il nostro plug-in di sicurezza per WordPress: MalCare !