L'unica lista di controllo sulla sicurezza di WordPress di cui avrai bisogno nel 2024

WordPress è un sistema di gestione dei contenuti (CMS) sicuro, ma il modo in cui imposti e configuri il tuo sito web può influenzarne il livello di sicurezza. Se non prendi misure per proteggere il tuo sito, potresti finire per affrontare una violazione dei dati o perdere i tuoi contenuti.

Per aiutarti, abbiamo creato la checklist definitiva per la sicurezza di WordPress. Questo ti guiderà attraverso tutti i passaggi necessari per proteggere il tuo sito web da bot e aggressori.

In questo post daremo uno sguardo alle funzionalità di sicurezza integrate di WordPress. Quindi, ti mostreremo 30 cose che puoi fare per proteggere ulteriormente il tuo sito.

WordPress offre sicurezza integrata?

Sì, WordPress offre alcune misure di sicurezza. La tua dashboard di amministrazione è protetta da una pagina di accesso che richiede agli utenti di inserire un nome utente e una password validi.

Il CMS riceve inoltre patch e aggiornamenti regolari per eliminare le vulnerabilità della sicurezza. In generale, se mantieni aggiornato WordPress e i suoi componenti, sarai risparmiato dalle vulnerabilità più comuni.

Detto questo c'è anche l'elemento umano da considerare. In molti casi, i siti WordPress vengono violati a causa di errori umani, come la condivisione o il riutilizzo delle credenziali di accesso. Se un utente malintenzionato riesce ad accedere a un account con un livello elevato di privilegi, può causare danni al tuo sito web.

Poiché il CMS è una piattaforma così popolare, gli aggressori scansionano il web cercando di trovare siti WordPress con vulnerabilità note. Più il tuo sito cresce, più grande sarà il target che diventerà.

Qual è il modo più semplice per proteggere un sito WordPress?

Per proteggere un sito Web WordPress è necessario modificare la configurazione del sito e aggiungere diverse funzionalità che rendono più difficile l'accesso agli hacker. Se non hai tempo di seguire l'intero elenco di controllo sulla sicurezza di WordPress, la cosa migliore che puoi fare è installare un sistema di sicurezza collegare.

Jetpack Security ti fornisce l'accesso a diverse funzionalità di sicurezza, come la scansione e la rimozione automatica del malware, la protezione dallo spam e i backup in tempo reale.

È importante notare che nessun singolo plugin può proteggere il tuo sito web da tutte le potenziali minacce che può affrontare. Pertanto, ti consigliamo di proteggere ulteriormente il tuo sito se sei seriamente intenzionato a proteggere i tuoi dati e il tuo duro lavoro.

Ad esempio, ti consigliamo di imporre password complesse e abilitare l'autenticazione a due fattori (2FA). Daremo un'occhiata più da vicino a queste misure di sicurezza (e molte altre) nella nostra lista di controllo.

Lista di controllo per la sicurezza di WordPress in 30 passaggi

Ricorda che non è necessario lavorare su tutte queste misure di sicurezza contemporaneamente. Cancellare ogni elemento dall'elenco di controllo potrebbe richiedere del tempo, ma la maggior parte di essi sono correzioni che è necessario implementare una sola volta.

Quindi, ecco 30 modi in cui puoi aumentare la sicurezza del tuo sito.

1. Mantieni WordPress aggiornato

Le installazioni WordPress obsolete sono forse la principale causa di violazioni della sicurezza. Molti utenti dimenticano di aggiornare WordPress, insieme ai plugin e ai temi sui loro siti. Questo è un problema significativo, poiché il software obsoleto tende a essere l’obiettivo principale degli aggressori.

Quanto più vecchio è il software, tanto più tempo gli aggressori hanno avuto a disposizione per analizzarne il codice e trovare scappatoie nella sicurezza. Gli sviluppatori monitorano queste minacce e le risolvono non appena appaiono. Pertanto, ti consigliamo di eseguire gli aggiornamenti non appena vengono rilasciati.

Fortunatamente, WordPress rende facile rimanere aggiornati sugli aggiornamenti. Nella dashboard, vai su Aggiornamenti scheda e vedrai una panoramica di tutto ciò che è disponibile.

Se hai molti aggiornamenti da eseguire, è importante eseguire il backup del tuo sito Web WordPress prima di procedere. Ciò è particolarmente importante quando si aggiorna a una versione più recente di WordPress, poiché a volte può causare problemi di compatibilità con plugin e temi.

Ti consigliamo di controllare la pagina degli aggiornamenti ogni giorno. In alternativa, puoi abilitare gli aggiornamenti automatici per plugin e temi.

In questo modo, se dimentichi di controllare gli aggiornamenti del tuo sito, questi verranno eseguiti automaticamente.

2. Crea nomi utente e password efficaci

Il tuo sito web è sicuro quanto lo sono le credenziali che utilizzi per accedervi. WordPress stesso ti farà sapere se stai impostando una password debole quando crei un nuovo account.

Una password “debole” è tutto ciò che è facile da indovinare. Se le tue credenziali sono qualcosa come “amministratore” e “1234”, il tuo sito probabilmente sarà vittima di attacchi di forza bruta.

Idealmente, la tua password dovrebbe contenere almeno otto caratteri e una combinazione di lettere, numeri e caratteri speciali. Se hai più utenti sul tuo sito WordPress, potresti ricordare loro di utilizzare credenziali complesse e di modificare le loro password ogni pochi mesi.

3. Aggiungi un ulteriore livello di protezione con 2FA

L'autenticazione a due fattori è una misura di sicurezza che richiede l'utilizzo di un secondo livello di autenticazione quando si accede a un sito. Ad esempio, alcuni siti Web potrebbero richiedere l'inserimento di un codice monouso inviato tramite e-mail o SMS.

L'obiettivo della 2FA è rendere quasi impossibile agli aggressori indovinare le tue credenziali. Senza accesso a un altro dispositivo o account, non saranno in grado di accedere a WordPress.

Per impostazione predefinita, WordPress non include la funzionalità 2FA, quindi dovrai utilizzare un plugin come Jetpack per aggiungere questa funzionalità al tuo sito. Con Jetpack, puoi aggiungere 2FA (chiamata autenticazione sicura) che funziona con il tuo account WordPress.com.

4. Installa un plugin di sicurezza affidabile

I potenti plugin di sicurezza di WordPress ti aiuteranno a eliminare diversi elementi da questa checklist di sicurezza di WordPress. Idealmente, sceglierai un unico strumento che offra le seguenti funzionalità:

Scansione malware

Se il tuo sito web viene infettato, vorrai saperlo il prima possibile. Le scansioni malware regolari ti faranno sapere se qualsiasi parte del tuo sito web è a rischio.

Strumenti per la rimozione del malware

Se il tuo plug-in di sicurezza identifica malware, avrai bisogno di aiuto per rimuoverlo. Ciò potrebbe comportare l'eliminazione dei file o la loro sostituzione, a seconda della parte del tuo sito WordPress infetta.

Backup

Esistono molte soluzioni di backup e plug-in autonomi per WordPress. Alcuni strumenti di sicurezza all-in-one includono backup automatici, quindi non sarà necessario installare un plug-in aggiuntivo.

Registri di sicurezza

Idealmente, vorrai sapere tutto ciò che accade sul tuo sito web. I registri di sicurezza registrano gli eventi in WordPress e ti consentono di cercarli per trovare attività sospette.

Implementazione della 2FA

Come discusso in precedenza, la 2FA è uno strumento fondamentale che può aiutarti a ridurre al minimo il rischio di violazioni della sicurezza dovute al furto di credenziali.

Jetpack Security include tutte queste funzionalità, quindi puoi eseguire diversi passaggi in questo elenco di controllo della sicurezza con un unico strumento.

5. Utilizzare un firewall per applicazioni Web (WAF)

Un WAF è una soluzione di sicurezza che aiuta a proteggere applicazioni e siti Web, inclusi i siti WordPress, dagli attacchi filtrando e monitorando il traffico. A seconda del software, dovrebbe essere in grado di identificare il traffico dannoso utilizzando regole preimpostate o database di aggressori noti.

Molti host web configurano automaticamente i firewall per i propri clienti. Puoi anche utilizzare Jetpack Security per aggiungere un WAF per il tuo sito Web WordPress.

Jetpack Security ti consente di configurare il WAF per utilizzare le sue regole preimpostate e bloccare indirizzi IP specifici. Puoi anche condividere i dati delle attività con Jetpack, il che aiuta a rendere il WAF più efficace ampliando il database delle minacce conosciute.

6. Scansiona regolarmente WordPress alla ricerca di malware e vulnerabilità

La scansione del tuo sito Web alla ricerca di malware e vulnerabilità implica la revisione di tutti i suoi file per cercare modifiche non autorizzate o codice dannoso. Anche se il processo può sembrare scoraggiante, ci sono strumenti che possono farlo per te.

Jetpack Security utilizza WPScan (il più grande database di vulnerabilità note di WordPress) per scansionare il tuo sito web.

Se il plug-in WordPress rileva malware o vulnerabilità, può avvisarti immediatamente e persino aiutarti a rimuovere o riparare i file interessati. Questo è molto più semplice dell'approccio manuale, che richiede di determinare quali file eliminare e capire come ripararli.

7. Esegui il backup del tuo sito regolarmente o in tempo reale

I backup sono una componente fondamentale della sicurezza del sito web. Se succede qualcosa al tuo sito, ti consentono di tornare operativo rapidamente.

Affidarsi al tuo provider di hosting per i backup non è un'opzione sicura, poiché una compromissione del tuo server potrebbe rendere inutilizzabili sia il tuo sito WordPress che i suoi backup.

Hai invece bisogno di una soluzione di backup off-site in tempo reale per assicurarti di essere protetto 24 ore su 24, 7 giorni su 7 e di poter ripristinare il tuo sito in qualsiasi momento, anche se è completamente inattivo.

Jetpack VaultPress Backup fa proprio questo, salvando il tuo sito ogni volta che apporti una modifica.

Il plugin memorizza questi backup nel cloud per evitare il sovraffollamento del server. Utilizza una combinazione di backup incrementali e differenziali, quindi non è necessario copiare l'intero sito e il database ogni volta che apporti una modifica, il che rende il processo molto più efficiente.

Oltre alle modifiche al sito Web, Jetpack VaultPress Backup salva nuovi commenti, ordini e altre azioni dell'utente. È il principale strumento di backup per i negozi WooCommerce, poiché salverà gli ordini anche se devi ripristinare il tuo sito WordPress a una versione precedente.

8. Archivia i tuoi backup su un server separato

Come accennato in precedenza, eseguire semplicemente i backup non è sufficiente. È necessario archiviarli in più posizioni sicure e fuori sede, quindi se si verifica una violazione della sicurezza digitale o un disastro fisico in un data center, puoi comunque accedere e ripristinare i file del tuo sito. Questo è lo stesso motivo per cui non puoi fare affidamento solo sui backup del tuo host: il tuo sito e i backup potrebbero essere compromessi entrambi contemporaneamente.

Se utilizzi VaultPress Backup, tutto questo è curato per te. I tuoi backup sono archiviati in più posizioni nel cloud e sono sempre accessibili, anche se il tuo sito non è disponibile.

9. Tieni traccia dell'attività dell'utente

Se hai accesso ai registri delle attività del tuo sito, sarai in grado di vedere quando qualcuno tenta di accedere più volte e fallisce, se c'è una modifica a un file WordPress, se qualcuno installa un nuovo plug-in e altro ancora.

Pensa ai log come all’equivalente tecnologico delle registrazioni di sicurezza. Speri di non doverli mai usare, ma sono una funzionalità di sicurezza ampiamente utilizzata per un motivo. WordPress non offre questa funzionalità per impostazione predefinita, quindi dovrai cercare un plugin che lo faccia.

Jetpack Security ti consente di monitorare tutto ciò che accade sul tuo sito web. Mantiene un registro delle attività che registra chi fa cosa, con date e orari. Se riscontri un problema di sicurezza, puoi controllare questo registro per vedere cosa lo ha causato.

Si integra anche con la funzionalità VaultPress Backup, così puoi ripristinare il tuo sito a un momento specifico in base a ciò che trovi nel registro delle attività.

10. Controllare l'accesso e le autorizzazioni degli utenti

Uno dei modi più semplici per mantenere sicuro qualsiasi sistema è limitare chi può accedervi. Se sei l'unica persona che lavora sul tuo sito, nessun altro dovrebbe conoscere le tue informazioni di accesso a WordPress.

Quando lavori con un team, è importante sfruttare appieno il sistema di ruoli utente di WordPress. Il CMS offre più ruoli che puoi assegnare agli utenti, a seconda delle autorizzazioni che desideri che abbiano.

Il ruolo più alto è quello di amministratore ed è l'unico utente con pieno accesso a tutte le funzionalità e impostazioni di WordPress. Altri utenti di WordPress, come gli autori, possono pubblicare solo i propri contenuti e non saranno in grado di modificare la configurazione del sito o accedere alle sue impostazioni.

Quando consideri quale ruolo assegnare a ciascun utente, pensa alle autorizzazioni di cui ha bisogno per svolgere le proprie attività. In nessun caso un utente dovrebbe avere più autorizzazioni del necessario. Queste restrizioni manterranno il tuo sito più sicuro.

11. Limita il numero di tentativi di accesso consentiti

Tentativi di accesso ripetuti possono essere un segno che qualcuno ha dimenticato le proprie credenziali. Ma se il numero di tentativi è superiore a una manciata, probabilmente hai a che fare con qualcuno che sta cercando di entrare nel tuo sito web.

Dovresti limitare i tentativi di accesso consentiti entro un periodo di tempo specifico per fermare gli attacchi di forza bruta automatizzati. Ancora una volta, puoi utilizzare Jetpack per implementare questa misura di sicurezza.

Il plugin può bloccare gli aggressori che tentano di utilizzare credenziali comuni per accedere al tuo sito web. Puoi anche configurarlo per consentire indirizzi IP specifici, in modo che solo i loro utenti possano accedere a WordPress.

12. Utilizza una CDN per proteggerti dagli attacchi DDoS

Una rete per la distribuzione di contenuti (CDN) è un sistema di dati che archivia copie del tuo sito web su server in diverse località in tutto il mondo, riducendo la latenza che può verificarsi quando qualcuno tenta di visitare un sito ospitato in un paese lontano. Quando qualcuno tenta di visitare il tuo sito WordPress, la CDN risponderà automaticamente alla richiesta da un server vicino.

La CDN può alleggerire il carico sui tuoi server, aiutarti a gestire più traffico, ridurre i tempi di caricamento e proteggerti dagli attacchi DDoS (Distributed Denial of Service). Poiché gli attacchi non colpiranno direttamente il tuo server, non subirà un impatto così pesante se viene inondato dal traffico dei bot.

Se utilizzi Jetpack Security, hai accesso a un CDN di immagini che può aiutarti a memorizzare nella cache i file multimediali per tempi di caricamento più rapidi. Inoltre, ridimensiona automaticamente le immagini e offre l'opzione migliore in base al dispositivo individuale di ciascun visitatore. Puoi anche valutare di integrare altre CDN con WordPress per ridurre ulteriormente i tempi di caricamento e proteggere il tuo sito da improvvisi aumenti di traffico.

13. Installa un certificato SSL

Un certificato Secure Sockets Layer (SSL) è un segnale che il tuo sito web è affidabile. Ti consente inoltre di caricare il tuo sito tramite HTTPS, che crittografa i dati che fluiscono da e verso il tuo sito web.

La maggior parte dei browser segnala che i siti Web dispongono di certificati SSL con una semplice icona a forma di lucchetto nella barra di navigazione.

Al giorno d'oggi, gli host web più affidabili offrono certificati SSL gratuiti e configurazione automatica per gli utenti. Se il tuo host web non lo fa, puoi ottenere un certificato gratuito da una fonte come Let's Encrypt.

Una volta che il certificato è pronto, dovrai installarlo e quindi abilitare HTTPS. Esistono diversi modi per forzare il caricamento di WordPress tramite HTTPS. Really Simple SSL ti consente di farlo con un semplice clic.

Proteggiamo il tuo sito. Gestisci la tua attività.

Jetpack Security offre una sicurezza del sito WordPress completa e facile da usare, inclusi backup in tempo reale, un firewall per applicazioni Web, scansione antimalware e protezione antispam.

Proteggi il tuo sito

14. Preferisci SFTP a FTP durante il trasferimento di file

Il protocollo di trasferimento file (FTP) ti consente di connetterti al tuo sito web e caricare, scaricare e modificare direttamente i file. Il protocollo utilizza un diverso set di credenziali, che il tuo host web dovrebbe fornirti.

Alcuni host utilizzano una versione aggiornata e più sicura del protocollo chiamata SFTP. I moderni client FTP supportano entrambi i protocolli e funzionano allo stesso modo. La differenza principale è che SFTP crittografa i dati inviati e ricevuti dal server (in modo molto simile a HTTPS).

Se il tuo host web ti consente di utilizzare sia FTP che SFTP, per impostazione predefinita utilizza quest'ultimo. Nel caso in cui il tuo host web supporti solo FTP, potresti prendere in considerazione la possibilità di passare a un provider che offra migliori funzionalità di sicurezza.

15. Mantieni aggiornata la tua versione PHP

WordPress è basato su PHP e la versione che utilizzi gioca un ruolo importante nella velocità del sito. Le versioni più recenti di PHP includono correzioni di sicurezza che possono aiutare il tuo sito web a funzionare più velocemente e prevenire exploit.

Puoi vedere quale versione di PHP utilizza il tuo server accedendo a Salute del sito → Informazioni e aprire il Server scheda.

Confronta queste informazioni con l'ultima versione di PHP e verifica se il tuo host web utilizza la versione più recente. Alcuni host web potrebbero consentirti di passare da una versione PHP all'altra. Se il tuo non lo fa, potrebbe essere il momento di prendere in considerazione il passaggio a un nuovo host WordPress.

16. Elimina temi e plugin WordPress inattivi

È una buona regola disattivare ed eliminare eventuali plugin o temi WordPress che non utilizzi più. Ciò può ridurre le possibilità di problemi di compatibilità o vulnerabilità.

L'eliminazione di temi e plugin inattivi manterrà il tuo sito web più sicuro e organizzato. Ti consigliamo di rivedere periodicamente i tuoi plugin attivi e prendere nota di quelli che non utilizzi più.

17. Valuta attentamente nuovi plugin e temi

Prima di installare qualsiasi plugin o tema sul tuo sito web, è importante assicurarti che provenga da sviluppatori affidabili e che abbia un buon track record. Puoi farlo controllando le sue valutazioni e recensioni.

Lo stesso vale per i temi WordPress. La maggior parte dei repository di plugin e temi ti mostrerà una cronologia degli aggiornamenti. Un plugin o un tema affidabile avrà aggiornamenti regolari, il che significa che gli sviluppatori ci stanno lavorando attivamente.

Vuoi evitare plugin e temi WordPress che non ricevono più aggiornamenti. Non importa quanto possano essere utili, possono portare a vulnerabilità nel tuo sito web poiché il codice è obsoleto.

18. Investi in un fornitore di hosting sicuro

Non tutti i provider di hosting offrono lo stesso livello di servizio, prestazioni e funzionalità. Alcuni sono migliori di altri e ciò non significa necessariamente che siano più costosi.

Scegliere un provider di hosting WordPress forte e sicuro è una decisione cruciale poiché in genere sarai vincolato a lui per un lungo periodo di tempo. È importante leggere quante più recensioni possibile e fare le tue ricerche prima di impegnarti in qualsiasi servizio.

Se hai bisogno di aiuto, puoi consultare questo elenco di host consigliati da Jetpack, alcuni dei quali includono le funzionalità chiave di Jetpack come parte dei servizi di hosting WordPress gestiti.

19. Modifica l'amministratore predefinito nome utente

Quando configuri WordPress, creerà il nome utente amministratore per impostazione predefinita. Ciò semplifica la memorizzazione delle tue credenziali, ma rende anche più semplice per gli aggressori indovinare i tuoi dettagli.

Se il tuo account amministratore di WordPress è già configurato, hai due opzioni per modificare il nome utente amministratore predefinito:

1. Crea un nuovo account amministratore. Puoi creare un nuovo account amministratore con qualsiasi nome utente desideri e poi passare ad esso. Una volta fatto, puoi eliminare il vecchio account e procedere con l'utilizzo di quello nuovo.
2. Cambia il nome utente utilizzando phpMyAdmin. Se desideri mantenere l'account esistente, puoi modificare il nome utente tramite il database.

Nessun nome utente dovrebbe essere facile da indovinare, soprattutto quando si tratta dell'account amministratore. Se qualcuno riesce ad accedervi, sarà in grado di apportare tutte le modifiche che desidera al tuo sito web.

20. Modificare il prefisso del database predefinito

Il prefisso del database predefinito in WordPress è wp_ . Ciò significa che se un utente malintenzionato conosce il nome del database, può anche indovinare il prefisso e utilizzare tali informazioni per provare a interrogarlo.

Puoi ridurre al minimo questo rischio modificando il prefisso del database predefinito in qualsiasi cosa oltre a wp_ . Questo è un processo in due fasi. Il primo passo è cambiare il prefisso del database nel file wp-config.php , che dovrebbe avere una riga simile a questa:

 $table_prefix = 'wp_';

Dopo aver apportato la modifica in wp-config.php , dovrai aggiornare le tabelle nel database con il nuovo prefisso. Puoi farlo utilizzando phpMyAdmin ed eseguendo più query simili a questa:

 RENAME table `wp_options` TO `wp_a1b2c3d4_options`;

Puoi utilizzare quella struttura di query e modificare ciò che viene dopo "TO" per abbinare il nome della tabella al prefisso aggiornato. Tieni presente che dovrai eseguire la query per ogni tabella nel database e, finché non lo farai, il tuo sito non funzionerà correttamente.

21. Modifica gli URL predefiniti /wp-admin e /wp-login.php

Gli URL /wp-admin e /wp-login.php ti consentono di accedere alla dashboard e alla pagina di accesso in WordPress. Questi URL sono facili da ricordare, ma rendono il tuo sito più vulnerabile. Se qualcuno vuole entrare nel tuo sito web, spesso inizierà con l'URL di accesso WordPress predefinito.

Puoi rendere la vita più difficile agli aggressori modificando gli URL predefiniti. Esistono plugin che ti consentono di farlo, come WPS Hide Login. In alternativa, puoi modificare gli URL di accesso tramite il file .htaccess se preferisci un approccio manuale.

22. Limita l'accesso wp-admin solo agli indirizzi IP autorizzati

L'URL /wp-admin apre la dashboard in WordPress. Tecnicamente, nessuno dovrebbe avere accesso alla dashboard senza le giuste credenziali. Puoi fare un ulteriore passo avanti in termini di sicurezza limitando l'accesso solo agli IP consentiti.

Questa non è una funzionalità offerta da WordPress. Per implementarlo, dovrai aggiungere il seguente codice al file .htaccess :

 <Directory /root/wp-admin/> Order Deny,Allow Deny from all Allow from xxx.xxx.xxx.xxx </Directory>

xxx.xxx.xxx.xxx indica l'indirizzo IP che desideri inserire nella lista consentita. Tieni presente che puoi aggiungere più IP copiando quella riga e inserendo indirizzi diversi.

Dovrai anche modificare il percorso della directory, in modo che corrisponda alla posizione della directory root nel server. Dopo aver salvato il file, qualsiasi indirizzo IP non presente nell'elenco visualizzerà un errore se tenta di accedere alla dashboard.

23. Limitare l'accesso FTP solo agli indirizzi IP autorizzati

Puoi limitare l'accesso FTP/SFTP al tuo sito web limitando chi ha accesso alle credenziali corrispondenti. Alcuni pannelli di controllo dell'hosting ti consentono anche di limitare l'accesso FTP tramite indirizzo IP.

Questo è l'ideale se disponi di un indirizzo IP statico, poiché impedirà a chiunque altro di connettersi al sito Web e accedere ai suoi file tramite FTP, anche con le credenziali giuste. Senza un IP statico, questa impostazione potrebbe limitare anche il tuo accesso al sito.

Tieni presente che solo poche persone selezionate dovrebbero essere in grado di connettersi al sito Web tramite FTP. Se lavori con altri e non hanno motivo di accedere o modificare direttamente i file principali, non dovrebbero avere accesso alle tue credenziali FTP.

24. Proteggi il tuo file wp-config.php

Il file wp-config.php contiene informazioni critiche sul tuo sito web, inclusi i dettagli sul database. Per impostazione predefinita, il file si trova nella directory principale di WordPress.

Il modo più semplice per proteggere il file è spostarlo direttamente all'esterno della directory root . Se WordPress non riesce a trovare wp-config.php dove si trova solitamente, lo cercherà in una directory sopra la sua posizione normale.

Un'altra opzione è configurare le autorizzazioni del file per limitare l'accesso a chiunque oltre all'amministratore (ovvero a te). Per fare ciò, dovrai capire come funzionano i permessi dei file nei sistemi basati su UNIX e modificare la configurazione del file utilizzando SFTP.

25. Disabilita la modifica dei file per bloccare modifiche dannose

Solo l'amministratore dovrebbe avere il permesso di accedere e modificare i file principali di WordPress. In genere, sarai in grado di accedere alla funzionalità di modifica dei file dalla dashboard. Ciò significa che puoi modificare direttamente i file core, plugin e temi senza uscire dall'amministratore di WordPress.

A seconda del livello di autorizzazioni di cui dispongono gli utenti, potrebbero essere in grado di accedere all'editor di file. Il modo migliore per evitarlo è disabilitare del tutto la modifica dei file.

Per implementare questa misura di sicurezza, apri il file wp-config.php e aggiungi la seguente riga di codice prima della fine:

 define('DISALLOW_FILE_EDIT', true);

Salvare le modifiche al file e chiuderlo. Tieni presente che sarai comunque in grado di modificare i file, ma dovrai utilizzare SFTP per farlo, che è un'opzione migliore (e più sicura) rispetto all'utilizzo dell'editor di file WordPress.

26. Disabilita l'esecuzione del file PHP

Disabilitare l'esecuzione di file PHP in directory specifiche del tuo sito Web WordPress è una misura di sicurezza che aiuta a impedire l'esecuzione di script dannosi. Se un utente malintenzionato riesce a caricare uno script PHP sul tuo sito Web, potrebbe essere in grado di eseguirlo per ottenere un accesso non autorizzato, manipolare dati o distribuire malware.

Puoi disabilitare l'esecuzione di file PHP in directory specifiche connettendoti a WordPress tramite FTP e accedendo alla cartella principale . All'interno puoi selezionare quali directory desideri proteggere e creare nuovi file .htaccess all'interno di ciascuna di esse.

Ecco il codice che devi aggiungere a questi file:

 <Files *.php> Order Allow,Deny Deny from all </Files>

Tieni presente che disabilitare l'esecuzione di PHP a livello di directory principale potrebbe influire sulla funzionalità di WordPress. Dopotutto, l’intero CMS è basato su PHP. Ciò significa che è meglio disabilitarlo per singole cartelle come la directory dei file multimediali.

27. Disattiva la segnalazione degli errori PHP

La visualizzazione pubblica degli errori può esporre potenziali vulnerabilità nel tuo sito Web WordPress agli aggressori. I messaggi di errore PHP possono includere informazioni sensibili come percorsi di file, dettagli sulla struttura del database o altri dati che possono essere utilizzati per sfruttare il tuo sito web.

WordPress ti consente di disabilitare la segnalazione degli errori PHP modificando il file wp-config.php . Puoi aggiungere il seguente codice al file per disabilitare la modalità debug di WordPress e nascondere gli errori sul front-end:

 // Turn off all error reporting error_reporting(0); // Disable display of errors and warnings define('WP_DEBUG', false); define('WP_DEBUG_DISPLAY', false); // Hide errors from being displayed in the browser @ini_set('display_errors', 0);

Aggiungi quel codice prima della fine del file wp-config.php e assicurati di avere un backup recente del tuo sito WordPress prima di salvarlo. Tieni presente che la segnalazione degli errori a volte può essere utile per la risoluzione dei problemi, quindi potrebbe essere necessario riattivare questa funzione ad un certo punto.

28. Disabilita la navigazione nelle directory sul tuo sito web

La navigazione nelle directory è una funzionalità che consente ai visitatori di accedere a URL come yourwebsite.com/wp-content e vedere il contenuto di quella directory. Se l'esplorazione delle directory è abilitata, gli utenti potranno visualizzare elenchi di cartelle e file interni e persino accedervi in ​​base alle proprie autorizzazioni.

Dal punto di vista della sicurezza, ha senso disabilitare l'esplorazione delle directory. Molti host web WordPress lo fanno per impostazione predefinita. Se il tuo non lo fa, puoi disabilitare la navigazione nelle directory aggiungendo il seguente codice al tuo file .htaccess :

 Options -Indexes

Si tratta di una modifica semplice, pertanto l'implementazione non dovrebbe richiedere molto tempo. Successivamente, se gli utenti tentano di visitare una directory, vedranno invece un semplice messaggio di errore.

29. Nascondi la tua versione di WordPress

Per impostazione predefinita, la versione corrente di WordPress che stai utilizzando è elencata nel codice sorgente. Se qualcuno sa quale versione di WordPress stai utilizzando (ed è obsoleta), può esaminare le vulnerabilità specifiche di quella versione, rendendo più semplice la violazione del tuo sito web.

Per nascondere la tua versione di WordPress, puoi aggiungere questo codice al tuo file Functions.php :

 function remove_version_info() { return ''; } add_filter('the_generator', 'remove_version_info');

30. Evita i CAPTCHA per la protezione dallo spam

CAPTCHA è una soluzione decente per proteggere siti Web e moduli dallo spam, ma non è priva di problemi.

L'uso del CAPTCHA sul tuo sito web aggiunge un livello di complicazione che può infastidire e allontanare i visitatori legittimi ed essere persino impossibile da risolvere, soprattutto per quelli con disabilità.

Anche i recenti sviluppi nei vettori di attacco hanno reso i CAPTCHA meno efficaci. Se ti interessa prevenire lo spam (che può comportare una violazione della sicurezza) ma desideri anche massimizzare i tassi di conversione attraverso un'esperienza utente ottimale, è tempo di considerare delle alternative.

Akismet è una soluzione di protezione antispam all-in-one per WordPress che funziona completamente in background. Il plug-in WordPress ti aiuta a bloccare lo spam utilizzando il suo database di noti attori dannosi e identificando e bloccando parole e URL specifici dai commenti sul tuo sito. Fa tutto questo automaticamente, senza che i visitatori debbano utilizzare CAPTCHA per verificare se sono umani.

Domande frequenti sulla sicurezza di WordPress

Se hai ancora domande su come proteggere il tuo sito Web WordPress, questa sezione risponderà.

Quali sono i vantaggi di avere una checklist di sicurezza di WordPress?

Avere accesso a una checklist di sicurezza di WordPress ti aiuterà a determinare quali misure hai adottato per proteggere il tuo sito e cosa resta ancora da fare. La checklist è una semplice risorsa a cui puoi fare riferimento in qualsiasi momento per vedere quali misure di sicurezza puoi implementare in WordPress.

Qual è il modo più veloce per migliorare la sicurezza del mio WordPress?

Il modo più veloce per proteggere il tuo sito web WordPress è utilizzare i plugin di sicurezza di WordPress. A seconda del plug-in che utilizzi, avrai accesso a funzionalità come 2FA, registri delle attività, strumenti di backup e scansione di malware. Jetpack Security include tutte queste funzionalità.

Come posso scansionare il mio sito WordPress alla ricerca di malware e vulnerabilità?

Puoi utilizzare un plugin come Jetpack Security per scansionare il tuo sito WordPress alla ricerca di malware. Questo strumento evidenzierà anche eventuali vulnerabilità nel tuo sito web. Quindi, puoi adottare le misure necessarie per eliminare questi problemi.

Se non hai bisogno di un plugin di sicurezza WordPress completo, puoi anche ottenere la scansione del malware tramite un plugin WordPress autonomo come Jetpack Protect.

Qual è il modo più affidabile per eseguire il backup e ripristinare il mio sito WordPress?

La soluzione migliore è utilizzare una soluzione automatizzata, quindi non è necessario creare backup manualmente. Il plugin dovrebbe anche salvare copie su una soluzione di archiviazione fuori sede per evitare problemi se il tuo server è compromesso.

Il plugin Jetpack VaultPress Backup offre backup in tempo reale. Crea anche copie sicure del tuo sito WordPress sul cloud. Puoi anche accedere a VaultPress Backup insieme a una serie di altre funzionalità come parte di Jetpack Security.

Jetpack Security: il plugin di sicurezza numero 1 per WordPress

Jetpack Security offre una raccolta di funzionalità di sicurezza che proteggeranno il tuo sito Web WordPress. Con questo plugin puoi cancellare diversi elementi dalla checklist di sicurezza di WordPress.

Ad esempio, puoi accedere a una soluzione di backup, scansione di malware e rimozione con un clic, protezione antispam, registri delle attività, autenticazione a due fattori e altro ancora. Ciò rende Jetpack uno degli strumenti di sicurezza più completi che puoi utilizzare per WordPress.

Sei pronto per aumentare la sicurezza del tuo sito? Inizia oggi stesso con la sicurezza Jetpack!