Sicurezza di WordPress: i modi migliori per proteggere il sito Web WordPress nel 2022
Pubblicato: 2022-03-09La sicurezza di WordPress è una grande preoccupazione per tutti i proprietari di siti web. Ogni giorno, Google inserisce nella blacklist oltre 10.000 siti Web per malware e ogni settimana ne inserisce nella blacklist 50.000 per il phishing.
Se ti preoccupi della sicurezza del tuo sito web, dovresti seguire le migliori pratiche di sicurezza di WordPress.
In questo post, esamineremo tutti i migliori modi di sicurezza di WordPress per aiutarti a proteggere il tuo sito Web da hacker e malware.
Sebbene il software principale di WordPress sia abbastanza sicuro e centinaia di sviluppatori lo controllino regolarmente, c'è ancora molto che puoi fare per mantenere il tuo sito al sicuro.
Puoi fare diverse cose come proprietario di un sito Web per migliorare la sicurezza di WordPress.
Ci sono un paio di passaggi perseguibili che puoi intraprendere per proteggere il tuo sito Web WordPress dalle vulnerabilità della sicurezza.
Iniziamo.
Perché la sicurezza del sito Web WordPress è importante?
Un sito Web WordPress violato può danneggiare in modo significativo i guadagni e la reputazione della tua attività. Gli hacker possono rubare le password delle informazioni utente, installare software dannoso e persino infettare gli utenti con malware.
Peggio ancora, potresti essere costretto a pagare un ransomware agli hacker per recuperare l'accesso al tuo sito web.
Google ha annunciato nel marzo 2016 che più di 50 milioni di visitatori Internet erano stati informati che un sito Web visitato poteva contenere malware o rubare informazioni.
Inoltre, ogni giorno, Google inserisce nella blacklist oltre 10.000 siti Web per malware e circa 50.000 siti Web per phishing.
Se gestisci un sito Web aziendale, ti consigliamo di prestare particolare attenzione alla sicurezza di WordPress.
Problemi di sicurezza di WordPress più comuni
Le vulnerabilità di sicurezza di WordPress più comuni si verificano prima o subito dopo l'hacking del tuo sito. Un hacker mira a ottenere l'accesso come amministratore non autorizzato al tuo sito WordPress, sia attraverso il frontend (la dashboard di WordPress) che dal lato server (inserimento di script o file dannosi).
Di seguito sono riportati i primi cinque problemi di sicurezza di WordPress di cui dovresti essere a conoscenza:
1. Attacchi di forza bruta
Gli attacchi di forza bruta di WordPress si riferiscono al processo di immissione ripetuta di diverse combinazioni di nome utente e password fino a quando non viene trovata una combinazione riuscita. L'approccio dell'attacco di forza bruta sfrutta il modo più semplice per accedere al tuo sito Web: la pagina di accesso di WordPress.
WordPress non limita i tentativi di accesso per impostazione predefinita. Pertanto, i bot possono utilizzare il metodo di attacco della forza bruta per aggredire la tua pagina di accesso di WordPress. Anche se un attacco di forza bruta fallisce, può comunque causare il caos sul tuo server sovraccaricando il tuo sistema e rallentando il tuo sito web.
2. Scripting tra siti (XSS)
Gli attacchi di cross-site scripting (XSS) rappresentano il 54,4% di tutte le vulnerabilità di sicurezza di WordPress rivelate nel 2021. La vulnerabilità più comune scoperta nei plugin di WordPress è il cross-site scripting.
Il metodo di base del cross-site scripting è il seguente: un utente malintenzionato trova un modo per convincere una vittima a caricare script javascript vulnerabili nelle sue pagine web. Questi script vengono caricati all'insaputa del visitatore e quindi sfruttati per rubare informazioni dai propri browser. Un modulo dirottato che sembra essere sul tuo sito Web è un esempio di attacco di scripting cross-site. Se un utente compila il modulo, XSS prenderà le sue informazioni.
3. Exploit di inclusione di file
Dopo gli attacchi di forza bruta, la vulnerabilità di sicurezza più comune sfruttata dagli aggressori è rappresentata dai punti deboli del codice PHP del tuo sito Web WordPress.
Le vulnerabilità di inclusione di file si verificano quando il codice vulnerabile viene utilizzato per caricare file esterni, consentendo agli aggressori di accedere al tuo sito Web. Gli attacchi di inclusione di file sono uno dei modi più popolari per un utente malintenzionato di ottenere l'accesso al file wp-config.php del tuo sito Web WordPress, che è uno dei file più cruciali nell'installazione di WordPress.
4. Iniezioni SQL
Un database MySQL viene utilizzato per eseguire il tuo sito Web WordPress. Le iniezioni SQL si verificano quando un utente malintenzionato acquisisce l'accesso al tuo database WordPress e a tutti i dati sul tuo sito web.
Un utente malintenzionato potrebbe essere in grado di stabilire un nuovo account utente a livello di amministratore tramite SQL injection, che potrebbe quindi essere utilizzato per accedere e ottenere il controllo completo del tuo sito Web WordPress. Le iniezioni SQL possono essere utilizzate anche per inserire nuovi dati, come collegamenti a siti Web dannosi o spam, nel database.
5. Malware
Il malware è un codice utilizzato per ottenere l'accesso non autorizzato a un sito Web per raccogliere informazioni sensibili. Un sito WordPress violato in genere indica che il malware è stato inserito nei file del tuo sito web; pertanto, controlla i file modificati di recente se sospetti malware sul tuo sito.
Sebbene esistano diversi tipi di attacchi malware su Internet, WordPress non è vulnerabile a tutti. Di seguito sono elencate le quattro infezioni da malware di WordPress più comuni:
- Backdoor
- Download drive-by
- Hack farmaceutici
- Reindirizzamenti dannosi
Ognuna di queste forme di malware può essere facilmente identificata e rimossa disinstallando manualmente il file dannoso, installando una nuova versione di WordPress o ripristinando il tuo sito WordPress da un backup precedente non infetto.
Guida alla sicurezza di WordPress 2022
L'implementazione di solo una o due misure di sicurezza di WordPress non sarà sufficiente per garantire la sicurezza del tuo sito Web WordPress. Ecco alcuni modi migliori per proteggere i siti Web WordPress nel 2022.
1. Aggiorna regolarmente la versione di WordPress
WordPress fornisce aggiornamenti software su base regolare al fine di migliorare la velocità e la sicurezza. Questi aggiornamenti aiutano anche a proteggere il tuo sito dagli attacchi informatici.
Uno dei metodi più semplici per aumentare la sicurezza di WordPress è aggiornare la versione di WordPress. Tuttavia, oltre la metà di tutti i siti WordPress utilizza una versione precedente del software, il che li rende più vulnerabili.
Per vedere se hai la versione più recente di WordPress, vai su Dashboard -> Aggiornamenti nel pannello del menu a sinistra dell'area di amministrazione di WordPress. Se mostra che la tua versione non è aggiornata, ti suggeriamo di aggiornarla il prima possibile.
2. Usa una password complessa
Uno degli errori più basilari commessi dagli utenti è l'utilizzo di nomi utente facili da indovinare, come "admin", "administrator" o "test". Di conseguenza, il tuo sito è più vulnerabile agli attacchi di forza bruta. Inoltre, gli aggressori utilizzano questo metodo per prendere di mira i siti WordPress con password deboli.
Di conseguenza, ti consigliamo di rendere il tuo nome utente e password più complicati e unici.
Se hai bisogno di aiuto per creare una password complessa, usa strumenti online come LastPass e 1Password. I loro servizi di gestione delle password possono anche essere utilizzati per archiviare in modo sicuro password complesse. Non dovrai ricordarli in questo modo.
È anche fondamentale controllare la rete prima di accedere per garantire la sicurezza del tuo sito. Se vieni erroneamente collegato a un Hotspot Honeypot , una rete gestita da hacker, rischi di esporre i tuoi dati di accesso agli operatori.
Anche le reti pubbliche, come il Wi-Fi delle biblioteche scolastiche , potrebbero non essere così sicure come sembrano. Gli hacker possono intercettare la tua connessione e rubare dati non crittografati, come le password di accesso.
Di conseguenza, ogni volta che ti connetti a una rete pubblica, ti consigliamo di utilizzare una VPN . Crittografa la connessione, rendendo più difficile l'intercettazione dei dati e salvaguardando la tua attività online.
3. Investi in un hosting WordPress sicuro
Il tuo servizio di hosting WordPress è l'aspetto più importante della sicurezza del tuo sito WordPress. Un ottimo servizio di hosting condiviso, come Bluehost o Siteground, farà di tutto per proteggere i propri server dalle minacce comuni.
Ecco come un buon provider di web hosting protegge i tuoi siti Web e i tuoi dati in background.
- Tengono d'occhio la loro rete per qualsiasi attività sospetta.
- Tutte le buone società di hosting hanno sistemi in atto per prevenire attacchi DDOS su larga scala.
- Per impedire agli hacker di sfruttare una nota debolezza della sicurezza in una versione precedente, mantengono aggiornati il software del server, le versioni PHP e l'hardware.
- Hanno piani di ripristino di emergenza e incidenti pronti per essere implementati, consentendo loro di proteggere i tuoi dati in caso di incidente grave.
Quando scegli un piano di hosting condiviso, condividerai le risorse del server con molte altre persone. Ciò aumenta il rischio di contaminazione tra siti, che si verifica quando un hacker utilizza un sito vicino per attaccare il tuo sito web.
L'utilizzo di un provider di hosting WordPress gestito assicura che il tuo sito Web sia più sicuro. Le società di hosting WordPress gestite includono backup automatici, aggiornamenti automatici di WordPress e impostazioni di sicurezza più avanzate per proteggere il tuo sito web.
4. Eseguire regolarmente il backup di WordPress
I backup sono la tua prima linea di sicurezza in caso di attacco a WordPress.
I backup ti consentono di ripristinare facilmente il tuo sito WordPress se qualcosa va storto.
Sono disponibili molti plug-in di backup WordPress gratuiti e premium che puoi utilizzare. La cosa più importante da ricordare sui backup è che devi salvare regolarmente i backup dell'intero sito in un luogo remoto (non nel tuo account di hosting).
Ti consigliamo di utilizzare un provider cloud come Amazon, Dropbox o cloud privati come Stash per archiviarlo.
A seconda della frequenza con cui aggiorni il tuo sito Web, l'impostazione ideale potrebbe essere una volta al giorno o backup in tempo reale.
Per fortuna, plugin come UpdraftPlus lo rendono semplice. È anche un plug-in indispensabile per i siti Web WordPress. UpdraftPlus è affidabile e, soprattutto, semplice da usare (non è necessaria alcuna codifica).
5. Usa i plugin di sicurezza di WordPress
Gli attacchi di malware sui siti WordPress sono abbastanza comuni. Se non controlli manualmente il codice sorgente del tuo sito web, potresti non essere nemmeno consapevole che il tuo codice è infetto.
Sfortunatamente, dovrai sapere come programmare per capirlo. Tuttavia, esiste un metodo migliore e più semplice. I plugin di sicurezza di WordPress hanno lo scopo di rilevare e rimuovere codici e virus dannosi dal tuo sito web.
La parte migliore è che funzionano 24 ore su 24 e non dovrai fare nulla. Sucuri e Wordfence sono due dei plugin di sicurezza di WordPress più popolari.
6. Abilita Web Application Firewall (WAF)
Il modo migliore per proteggere il tuo sito e sentirti al sicuro riguardo alla sicurezza di WordPress è utilizzare un Web Application Firewall (WAF).
Un firewall per siti Web blocca tutto il traffico dannoso prima che raggiunga il tuo sito Web.
Firewall del sito Web di livello DNS: questi firewall filtrano il traffico del sito Web tramite server proxy cloud. Di conseguenza, possono fornire solo traffico genuino al tuo server web.
Firewall a livello di applicazione: questi plug-in del firewall ispezionano il traffico una volta raggiunto il server, ma prima che la maggior parte degli script di WordPress venga caricata. In termini di riduzione al minimo del carico del server, questa soluzione non è efficace quanto il firewall a livello DNS.
Per questo, puoi utilizzare Sucuri come il miglior firewall per applicazioni web per WordPress.
La migliore caratteristica del firewall di Sucuri è che include una pulizia del malware e una garanzia di rimozione dalla lista nera. Fondamentalmente, se il tuo sito Web viene violato mentre lo stanno monitorando, garantiscono che lo risolveranno.
7. Installa il certificato SSL
SSL è un protocollo di trasferimento dati che crittografa i dati inviati tra un sito Web e i suoi visitatori, rendendo difficile per gli hacker il furto di informazioni sensibili.
I certificati SSL migliorano anche l'ottimizzazione dei motori di ricerca (SEO) di un sito Web, che lo aiuta ad attirare più visitatori.
I siti Web con un certificato SSL utilizzeranno HTTPS anziché HTTP, semplificandone l'identificazione.
Iniziare a utilizzare SSL per tutti i tuoi siti Web WordPress ora è più facile che mai. Molte società di hosting ora forniscono un certificato SSL gratuito per il tuo sito Web WordPress.
8. Modificare il nome utente "admin" predefinito
Il nome utente predefinito in WordPress è admin e molti proprietari di siti Web non si preoccupano mai di cambiarlo.
Di conseguenza, quando gli hacker iniziano un attacco contro il tuo sito Web, il primo nome utente che proveranno è admin. Se quel nome è noto, tutto ciò che devono fare ora è indovinare solo la password.
Di conseguenza, dovresti evitare di utilizzare quel nome utente per il tuo sito WordPress.
9. Limita i tentativi di accesso
WordPress consente agli utenti di provare un numero infinito di volte di accedere al sito. Tuttavia, questo è un buon segno per gli hacker di entrare con la forza bruta nel sistema provando più combinazioni di password fino a raggiungere quella corretta.
Per evitare tali attacchi al sito Web, è fondamentale impostare una restrizione sui tentativi di accesso non riusciti. Limitare i tentativi falliti può anche aiutare a rilevare qualsiasi attività sospetta sul tuo sito web.
La maggior parte degli utenti richiede solo un singolo tentativo o alcuni tentativi falliti; pertanto, gli indirizzi IP sospetti che hanno raggiunto il limite di tentativi dovrebbero essere evitati.
L'utilizzo di un plug-in è un metodo per limitare i tentativi di accesso e quindi aumentare la sicurezza di WordPress. È possibile utilizzare il plug-in Login lockDown WordPress per questo.
10. Disabilita la modifica dei file
WordPress ha un editor di codice integrato che ti consente di modificare il tema e i file dei plug-in direttamente dall'area di amministrazione di WordPress. Questa funzione può essere un problema di sicurezza nelle mani sbagliate, motivo per cui ti consigliamo di disattivarla.
Puoi farlo inserendo il seguente codice nel tuo file wp-config.php . // Disallow file edit define( 'DISALLOW_FILE_EDIT', true );
11. Abilita l'autenticazione a due fattori
Il metodo di autenticazione a due fattori richiede che gli utenti accedano utilizzando un processo di autenticazione in due passaggi.
Il primo passaggio consiste nell'inserire nome utente e password, il secondo è autenticarsi utilizzando un dispositivo o un'app diversi.
La maggior parte delle principali piattaforme online, come Google, Facebook e Twitter, ti consente di attivarlo per i tuoi account. Puoi facilmente includere la stessa funzionalità nel tuo sito WordPress.
Puoi utilizzare Google Authenticator o i plug-in WordPress di autenticazione a due fattori per questo.
12. Modifica il prefisso del database WordPress predefinito
Il database di WordPress contiene e conserva tutte le informazioni necessarie per il funzionamento del tuo sito web.
Di conseguenza, gli hacker utilizzano comunemente attacchi SQL injection per prendere di mira il database. Questo metodo inietta malware nel database, consentendo agli aggressori di aggirare la sicurezza di WordPress e ottenere il contenuto del database.
L'iniezione SQL viene utilizzata in circa la metà di tutti gli attacchi informatici, il che la rende una delle minacce più critiche.
Gli hacker eseguono questo hack out perché molti utenti non riescono a modificare il prefisso del database predefinito wp_ . Per questo ti consigliamo di cambiarlo.
13. Disabilita l'indicizzazione e la navigazione delle directory
Gli hacker possono utilizzare l'esplorazione delle directory per vedere se sono presenti file con vulnerabilità note e quindi sfruttare questi file per ottenere l'accesso.
L'esplorazione delle directory può anche essere utilizzata dall'utente per guardare i file, copiare immagini, scoprire la struttura della directory e ottenere altre informazioni.
Di conseguenza, si consiglia vivamente di disabilitare l'indicizzazione e la navigazione delle directory.
Devi connetterti al tuo sito web tramite FTP o il file manager in cPanel. Quindi, nella directory principale del tuo sito Web, cerca il file .htaccess .
Quindi, in fondo al file .htaccess , aggiungi la seguente riga:
Options -Indexes
Non dimenticare di salvare e caricare il file .htaccess sul tuo sito.
14. Disabilita XML-RPC
XML-RPC è abilitato per impostazione predefinita in WordPress 3.5 poiché aiuta nella connessione del tuo sito WordPress con applicazioni web e mobili.
A causa della sua natura potente, XML-RPC può aumentare notevolmente gli attacchi di forza bruta.
Ad esempio, se un hacker volesse provare 100 password diverse sul tuo sito Web, dovrebbe effettuare 100 tentativi di accesso distinti, che il plug-in di blocco dell'accesso catturerebbe e rifiuterebbe.
Tuttavia, con XML-RPC, un hacker può utilizzare la funzione system.multicall per provare migliaia di password diverse con solo 20 o 50 richieste.
15. Disconnettere automaticamente gli utenti inattivi
Molte persone dimenticano di disconnettersi dal sito Web e le loro sessioni continuano a essere eseguite.
Di conseguenza, qualcun altro che utilizza lo stesso dispositivo sarà in grado di accedere ai propri account utente e forse abusare delle informazioni personali. Questo è specialmente per quelle persone che usano computer pubblici in luoghi come internet cafè o biblioteche.
Pertanto, è fondamentale configurare il tuo sito Web WordPress in modo tale che gli utenti inattivi vengano immediatamente disconnessi.
La maggior parte dei siti Web bancari utilizza questa strategia per impedire agli utenti indesiderati di accedere ai propri siti, garantendo che le informazioni dei propri clienti siano mantenute al sicuro.
Uno dei metodi più semplici per disconnettersi automaticamente dagli account utente inattivi consiste nell'utilizzare un plug-in di sicurezza di WordPress come Inactive Logout. Oltre a terminare gli utenti inattivi, questo plug-in può inviare un messaggio personalizzato per notificare agli utenti inattivi che la sessione del loro sito Web sta per scadere.
16. Modifica l'URL della pagina di accesso di WordPress
Per fare un ulteriore passo avanti per proteggere il tuo sito Web WordPress da attacchi di forza bruta, prendi in considerazione la modifica dell'URL della pagina di accesso.
L'URL di accesso predefinito per tutti i siti WordPress è tuodominio.com/wp-admin . Gli hacker possono facilmente indirizzare la tua pagina di accesso se utilizzi l'URL di accesso predefinito.
Plugin come WPS Hide Login e Change wp-admin Login abilitano le impostazioni personalizzate dell'URL di accesso.
17. Nascondi la versione di WordPress
Nascondi la tua versione di WordPress solleva ancora una volta l'argomento della sicurezza di WordPress attraverso l'oscurità. Meno persone conoscono la configurazione del tuo sito WordPress, meglio è. Se gli hacker vedono che hai un'installazione di WordPress non aggiornata, potrebbe essere un'indicazione di benvenuto.
La versione di WordPress viene mostrata nell'intestazione del codice sorgente del tuo sito per impostazione predefinita. Ancora una volta, ti consigliamo di mantenere sempre aggiornata l'installazione di WordPress, quindi non devi preoccuparti.
Puoi utilizzare il seguente codice per rimuovere la versione di WordPress. Aggiungilo semplicemente al file functions.php del tuo tema WordPress. function hide_wp_version() { return ''; } add_filter('the_generator', 'hide_wp_version');
18. Aggiorna all'ultima versione di PHP
L'aggiornamento all'ultima versione di PHP è una delle cose più importanti che puoi fare per mantenere sicuro il tuo sito Web WordPress.
Quando un aggiornamento è pronto, WordPress te lo dirà attraverso la tua dashboard. Ti reindirizzerà quindi al tuo account di hosting, dove potrai eseguire l'aggiornamento alla versione PHP più recente.
Se non sai come aggiornare il tuo account di hosting, contatta il tuo sviluppatore web.
19. Eseguire scansioni di sicurezza regolari
Se utilizzi un plug-in di sicurezza di WordPress, eseguirà regolarmente la scansione del tuo sito alla ricerca di malware e segnali di violazioni della sicurezza.
Tuttavia, se noti una massiccia diminuzione del traffico del sito Web o del ranking di ricerca, dovresti eseguire manualmente una scansione. Puoi utilizzare il tuo plug-in di sicurezza di WordPress o utilizzare alcuni strumenti online come Sucuri SiteCheck o IsItWP Security Scanner per questo.
L'esecuzione di questi strumenti di scansione online è semplice. Inserisci semplicemente gli URL del tuo sito Web e i loro crawler passeranno attraverso il tuo sito Web alla ricerca di virus noti e codice dannoso.
Ricorda che la maggior parte degli scanner di sicurezza di WordPress può solo scansionare il tuo sito. Non sono in grado di rimuovere malware o ripulire un sito WordPress compromesso.
20. Rimuovi i plugin e i temi WordPress inutilizzati
Avere plugin e temi inutilizzati sul tuo sito potrebbe essere pericoloso, soprattutto se non sono stati aggiornati.
Gli hacker possono utilizzare plugin e temi obsoleti per accedere al tuo sito, aumentando il rischio di attacchi informatici.
21. Usa il tema WordPress sicuro
I temi WordPress annullati sono copie illegali dei temi premium originali. Il più delle volte, questi temi sono venduti a un prezzo inferiore per attirare gli utenti. Tuttavia, a volte hanno diversi problemi di sicurezza.
Poiché i temi annullati vengono rilasciati illegalmente, i loro utenti non ricevono alcun aiuto dallo sviluppatore. Ciò significa che se il tuo sito ha problemi, dovrai scoprire come risolverli e proteggere il tuo sito Web WordPress da solo.
Per evitare di diventare un bersaglio degli hacker, ti suggeriamo di utilizzare un tema WordPress dal repository ufficiale o da uno sviluppatore rispettabile. In alternativa, puoi cercare temi di terze parti su mercati di temi ufficiali come ThemeForest, che ha centinaia di temi WordPress premium.
Sicurezza del sito Web WordPress: pensiero finale
WordPress è un sistema di gestione dei contenuti popolare e robusto che semplifica la creazione di un sito Web per chiunque. Tuttavia, poiché è ampiamente utilizzato, è diventato un bersaglio popolare per gli hacker.
Fortunatamente, ci sono diversi passaggi che puoi eseguire per proteggere il tuo sito WordPress. Tuttavia, tieni presente che non devi fare tutto ciò che è elencato sopra. Se segui le migliori pratiche di base, sarai molto più avanti della concorrenza.
Dopodiché, fai quello che puoi e sentiti in grado di fare. La sicurezza è uno sforzo continuo, non un evento occasionale. Puoi sempre fare di più, ma iniziare è la cosa essenziale.
È tutto; speriamo che il nostro post ti abbia aiutato a imparare i migliori suggerimenti per la sicurezza di WordPress per proteggere il tuo sito Web WordPress. Se ti è piaciuto questo post, potresti voler leggere anche:
- I migliori plugin di sicurezza per WordPress per proteggere il tuo sito
- Suggerimenti SEO di WordPress per migliorare il tuo posizionamento SEO
- Come velocizzare un sito Web WordPress nel 2022