La migliore lista di controllo per la sicurezza di WordPress [Guida definitiva]
Pubblicato: 2022-04-22Se vuoi proteggere il tuo sito WordPress, troverai molti consigli online, alcuni dei quali sono buoni e altri dannosi, anche se ben intenzionati.
Quando si tratta di sicurezza di WordPress, devi essere in grado di fidarti delle tue fonti e trovare informazioni che non siano solo credibili, ma anche fattibili e applicabili. Solo nel 2020, gli attacchi malware sono cresciuti di oltre il 150% e i numeri non sembrano rallentare presto. Pertanto, la protezione del tuo sito WordPress deve essere la tua priorità numero uno.
Il modo migliore per proteggere il tuo sito WordPress è installare un plug-in di sicurezza e lasciare che gestisca il lavoro pesante. Ma anche senza uno, puoi comunque proteggere il tuo sito Web in larga misura seguendo l'elenco di controllo di sicurezza di WordPress discusso di seguito.
TL; DR: Proteggi il tuo sito WordPress con MalCare ed evita la regolare manutenzione relativa alla sicurezza. La sicurezza di WordPress è un labirinto di lacune che devi colmare. Fai riferimento alla nostra checklist di sicurezza di WordPress per assicurarti di non perdere nulla di cruciale.
Il metodo più semplice per proteggere il tuo sito WordPress
Come abbiamo detto, il modo migliore per proteggere il tuo sito WordPress è utilizzare un plug-in di sicurezza, in particolare MalCare. MalCare non solo si occupa automaticamente della checklist di sicurezza di WordPress, ma lo fa senza che tu debba preoccuparti di tenere traccia di ogni piccolo dettaglio.
MalCare ha diverse funzionalità che interagiscono per proteggere il tuo sito. Ma le sue tre caratteristiche principali assicurano che il tuo sito rimanga privo di malware: scansione, firewall e pulizia. Con MalCare puoi programmare scansioni automatiche sul tuo sito WordPress e ricevere avvisi se viene rilevato qualcosa di sospetto. MalCare protegge anche il tuo sito con un firewall intelligente che tiene fuori la maggior parte degli attacchi. E, soprattutto, se il tuo sito dovesse essere violato, dato che nessun sito può essere infallibile, MalCare ripulisce il tuo sito in pochi minuti con un solo clic di un pulsante.

Un altro motivo per cui dovresti optare per MalCare è che con le misure di sicurezza manuali c'è sempre la possibilità di un errore umano. Ma gli errori nella sicurezza possono causare più di pochi dollari. Se gli hack peggiorano, possono portare al furto di dati, al deturpamento del sito Web, alla perdita di clienti e, soprattutto, alla perdita di fiducia di cui soffre la tua azienda.
L'ultima checklist per la sicurezza di WordPress
Ci sono così tanti elementi in un sito WordPress che tenere traccia di tutto può diventare opprimente. Abbiamo compilato per te un elenco di controllo di sicurezza di WordPress in base alla frequenza del tempo necessario per svolgere l'attività.
Per la sicurezza quotidiana
La sicurezza del sito web è un processo costante e non può essere un impegno una tantum. Ma ci sono modi in cui puoi automatizzare le attività quotidiane. Queste attività garantiscono che il tuo sito sia protetto da problemi o minacce imprevisti.
Scansiona il tuo sito
È importante scansionare il tuo sito alla ricerca di malware ogni giorno. Un sito Web viene violato ogni 38 secondi su Internet e ci sono buone probabilità che tu possa essere uno di loro. La scansione regolare del tuo sito ti assicura di essere il primo a sapere di eventuali minacce o malware sul tuo sito e ti aiuta ad agire prima che l'attaccante possa causare danni al tuo sito.

Se la scansione manuale del tuo sito ogni giorno ti sembra noiosa, puoi optare per una soluzione di sicurezza come MalCare, che ti consente di programmare scansioni automatiche ogni giorno, in modo da non doverti preoccupare di perdere una scansione o di doverla eseguire personalmente .
Fai il backup del tuo sito web
Ci sono diversi motivi per cui dovresti eseguire il backup del tuo sito Web WordPress, ma il più importante è la sicurezza. Se non viene rilevato in tempo, il malware può causare il caos con il tuo sito WordPress e di conseguenza portare alla perdita di dati o al deturpamento del sito web. Spesso, gli host web eliminano i siti dai loro server se sono infetti e, a meno che tu non abbia un backup indipendente del tuo sito, dovrai ricominciare da zero.
È importante eseguire il backup di siti Web di alto valore ogni giorno, in modo che nulla di importante venga perso. Ciò è particolarmente vero per i siti WooCommerce che necessitano di backup in tempo reale. Una soluzione pratica come BlogVault può rendere questo processo molto semplice. BlogVault ti consente di pianificare i backup quotidianamente o in tempo reale, a seconda delle tue esigenze, e archivia questi backup su un server esterno in modo che, anche se il server del tuo sito Web viene violato, i backup rimangono sicuri.
Per sicurezza mensile
Controlla il registro delle attività
Gli hack e l'installazione di malware, adware o altri tipi di programmi dannosi di solito avvengono in segreto. Spesso l'unica traccia visibile si trova nel registro delle attività del tuo sito, un registro cronologico delle attività eseguite e delle modifiche apportate. Di conseguenza, è una buona idea eseguire un controllo mensile del registro delle attività del tuo sito per cercare eventuali incongruenze o attività sospette. Può aiutarti a tracciare una serie di dettagli importanti nel caso in cui il tuo sito venga violato, come quali indirizzi IP erano coinvolti e come potrebbe essere successo.

Se il tuo è un sito ad alta produzione, ovvero pubblichi contenuti su base giornaliera o settimanale, controllare il registro delle attività una volta al mese potrebbe essere schiacciante perché ci sono molti cambiamenti sul sito. In tal caso, puoi controllare il registro delle attività una volta alla settimana o una volta ogni quindici giorni.
WordPress non offre un registro delle attività per impostazione predefinita, quindi dovrai fare affidamento su un plug-in per questo. In alternativa, MalCare ti offre un registro delle attività dettagliato e di facile comprensione insieme alla sicurezza completa di WordPress.
Aggiorna il tuo sito web
Idealmente, dovresti aggiornare il tuo sito WordPress non appena vengono rilasciati nuovi aggiornamenti, ma anche l'esecuzione di aggiornamenti mensili funziona. Rispettando un programma di aggiornamento mensile, puoi essere sicuro che il tuo sito è ben protetto e che eventuali nuove vulnerabilità vengono corrette.
Gli aggiornamenti sono spesso spaventosi perché è noto che interrompono i siti. Ma se utilizzi un plug-in come BlogVault, puoi testare i tuoi aggiornamenti su un sito di staging e unire le modifiche senza problemi con il tuo sito live.
Controlla Search Console
L'aggiunta del tuo sito WordPress alla Search Console di Google ha una serie di vantaggi legati alla SEO, ma può anche aiutare la sicurezza del tuo sito. La Search Console di Google ha una scheda Problemi di sicurezza che segnala qualsiasi malware rilevato sul tuo sito, quindi controllarlo di tanto in tanto può aiutarti a rilevare il malware.

Se esegui regolarmente la scansione del tuo sito con MalCare, avrai già rilevato il malware sul tuo sito. Ma è comunque una buona pratica vedere se Google pensa che ci siano attività sospette in corso sul tuo sito.
Rimuovi temi e plugin inutilizzati
La rimozione di temi e plug-in vecchi e inutilizzati ha due scopi. Il primo è velocizzare il tuo sito, poiché troppi file possono causare rigonfiamenti e rallentamenti del server. Il secondo è assicurarsi che il tuo sito non possa essere attaccato attraverso di loro. I temi e i plug-in inutilizzati vengono spesso ignorati e non aggiornati, creando vulnerabilità che possono essere facilmente sfruttate. Quindi assicurati di eseguire un controllo mensile su tutti i temi e i plug-in che utilizzi e rimuovi quelli che hanno servito al loro scopo.
Nota: controlla anche eventuali plug-in falsi sul tuo sito. Il malware è spesso nascosto come una cartella di plug-in, ma i plug-in falsi hanno solo uno o due file, non possono essere individuati nel repository di WordPress e hanno nomi strani come "azzz" o "tiff".
Aggiorna le tue credenziali
Usare le stesse credenziali per troppo tempo o riutilizzarle su più account è un grosso rischio. Per proteggere il tuo sito WordPress, aggiorna le tue password almeno una volta al mese. Ciò garantisce che qualsiasi hacker che potrebbe aver acquisito la tua password non possa utilizzarla e ti disconnette anche dal tuo account su tutti i dispositivi. Sebbene leggermente scomodo, ti assicura di poter controllare l'accesso al tuo sito web.
Controlla i ruoli e i privilegi degli utenti
Gli account utente sul tuo sito WordPress sono importanti quanto l'account amministratore. Se un hacker ottiene l'accesso a qualsiasi account, può infettare il tuo sito, aggiornare i propri privilegi di ruolo e persino bloccarti fuori dal tuo stesso sito.
Assicurati che ogni utente del sito disponga solo dei privilegi necessari e che i vecchi account utente vengano eliminati. Controlla anche se i privilegi degli utenti sono stati intensificati senza la tua autorizzazione, potrebbe essere un segno di malware.
Blocca IP dannosi
Bloccare o limitare gli IP dannosi può semplificarti notevolmente la vita. Se vieni hackerato, puoi tracciare l'indirizzo IP da cui sta succedendo e semplicemente bloccarlo. Ciò impedisce a chiunque abbia quell'indirizzo IP di accedere al tuo sito. Questo metodo viene utilizzato per combattere gli hacker, fermare bot o troll e tenere fuori gli utenti non autorizzati. Se utilizzi un firewall, bloccherà automaticamente gli IP dannosi per te.

Puoi anche bloccare un'intera area geografica, se stai subendo ripetuti attacchi provenienti dalla regione.
Metti alla prova i tuoi backup
Se dovesse accadere il peggio e il tuo sito WordPress non funzionasse, puoi fare affidamento sui tuoi backup per farlo funzionare di nuovo. Ma devi assicurarti che anche i tuoi backup siano al sicuro. Nel caso in cui i tuoi backup siano già stati violati, ripristinarli sarà inutile. Allo stesso modo, devi anche verificare se sono funzionali, altrimenti ripristinerai un sito danneggiato. Puoi testare facilmente i tuoi backup se usi BlogVault e assicurarti che siano affidabili.
Aggiorna i sali di WordPress
WordPress utilizza i sali come parte del suo processo di crittografia. Un salt è una stringa casuale di caratteri che viene aggiunta a una password prima della crittografia. La stringa risultante è un hash, ed è ciò che viene archiviato nel database. In questo modo, se un hacker è in grado di estrarre le password con hash dal database E decrittografarle, non sa ancora quale parte della password sia effettivamente la password e quale sia il sale. L'unico modo per saperlo è se ottengono l'accesso ai sali e alle chiavi di sicurezza nel file di configurazione.
È simile al modo in cui le password vengono memorizzate nei cookie del browser. Il motivo per cui puoi rimanere connesso a qualsiasi sito è che le informazioni sulla sessione sono memorizzate nei cookie. Ma se le password in chiaro fossero memorizzate lì, sarebbe pericoloso. Quindi WordPress memorizza invece la versione salata e hash. Avere accesso al sale non significa che puoi decrittografare gli hash, ma riduce il livello di sicurezza. Pertanto, è importante aggiornare periodicamente i sali di WordPress.
Per la sicurezza a lungo termine
Controlla SSL
SSL è un protocollo di sicurezza progettato per crittografare qualsiasi comunicazione da e verso il server del tuo sito web. Ciò impedisce agli aggressori di accedere, leggere o modificare le informazioni che vengono trasferite.
Di solito, proteggi il tuo sito con SSL quando ottieni il tuo dominio o piano di hosting. Tuttavia, i certificati SSL scadono all'incirca ogni due anni ed è necessario assicurarsi che vengano rinnovati al più presto. Ciò è doppiamente importante se gli utenti eseguono transazioni sul tuo sito Web, poiché qualsiasi violazione della sicurezza può portare alla divulgazione dei dettagli della carta di credito o del conto bancario.
Controlla i piani di hosting
Se dimentichi di rinnovare il tuo piano di hosting in tempo, il tuo account WordPress verrà sospeso. Ciò può causare una serie di problemi. Il traffico del tuo sito subirà un duro colpo, perderai clienti e potresti persino perdere dati. Controllare regolarmente i tuoi servizi di hosting ti consente anche di analizzare il traffico del tuo sito e l'utilizzo del server. L'utilizzo eccessivamente elevato del server è un sintomo comune di un attacco di forza bruta e la cattura di tali attacchi prima ha maggiori possibilità di fermarli. Quando vieni avvisato in anticipo di un attacco di forza bruta, puoi agire e proteggere il tuo sito prima che gli hacker accedano al tuo sito.
Misure una tantum per una sicurezza completa
Sebbene la sicurezza di WordPress debba essere rivista costantemente, ci sono alcune misure che puoi adottare una volta e non dover aggiornare costantemente.
Investi in un firewall potente
Un firewall protegge il tuo sito WordPress filtrando il traffico dannoso e bloccando la maggior parte degli attacchi prima che possano infettare il tuo sito web. Esistono diversi tipi di firewall, come firewall per applicazioni Web, firewall di rete o firewall basati su cloud. Un potente firewall per applicazioni Web come quello di MalCare ti consente di filtrare il traffico del tuo sito Web e bloccare i visitatori in base al numero di tentativi di accesso o alla posizione geografica.
Implementare l'autenticazione HTTP
L'autenticazione HTTP è un protocollo che consente l'accesso a una risorsa Web solo a coloro che sono destinati ad accedervi. L'autenticazione HTTP limita l'accesso chiedendo un nome utente e una password quando viene richiesta una determinata pagina Web. Ovviamente, non puoi farlo per l'intero sito Web, ma implementarlo per la dashboard dell'amministratore o la pagina di accesso può ridurre significativamente il numero di attacchi di bot.
Usa l'autenticazione a due fattori
L'autenticazione a due fattori è un metodo che richiede all'utente di presentare due chiavi separate per accedere a un account. Ad esempio, se stai tentando di accedere alla tua e-mail, di solito devi fornire il nome utente e la password, ma quando implementi l'autenticazione a due fattori, dovrai anche fornire una chiave che viene creata in tempo reale come una -password temporale o PIN. Ciò riduce il numero di tentativi di accesso e non sovraccarica il server del tuo sito Web con richieste di accesso. Protegge anche il tuo sito web dagli attacchi di forza bruta. Puoi utilizzare un plug-in come 2FA per abilitare l'autenticazione a due fattori per il tuo sito.
Limita i tentativi di accesso
Abbiamo già parlato di come limitare i tentativi di accesso. WordPress, per impostazione predefinita, consente tentativi di accesso illimitati e questo offre agli hacker un'opportunità matura per provare ad accedere al tuo account WordPress con attacchi di forza bruta. Il modo più semplice per limitare i tentativi di accesso è utilizzare un plug-in di sicurezza come MalCare, oppure puoi aggiungere codice personalizzato al tuo file function.php.
Disabilita XML-RPC
Simile all'API REST di WP, XML-RPC è una funzionalità di WordPress che ti consente di pubblicare contenuti in remoto. È utile se utilizzi l'app WordPress o devi abilitare trackback e pingback, ma in caso contrario può essere sfruttato dagli hacker per accedere al tuo sito tramite attacchi di forza bruta. La soluzione più semplice qui è disabilitarlo con un plug-in o manualmente.
Disabilita la navigazione nella directory
Quando il tuo server non trova un file di indice per un sito web, mostra un indice del contenuto della directory. Se un hacker può accedere a queste informazioni, può verificare se sul tuo sito web sono presenti file vulnerabili. Questo apre il tuo sito Web a gravi rischi per la sicurezza.
Per evitare ciò, puoi disabilitare la navigazione nelle directory aggiungendo una riga di codice al tuo file .htaccess. Segui questi passaggi per disabilitare la navigazione nelle directory sul tuo sito WordPress.
- Scarica il file .htaccess sul tuo sito tramite un client FTP.
- Apri il file e aggiungi il seguente codice in fondo al file:
Opzioni Tutti -Indici
- Ora salva il file e ricaricalo. Dovrai prima eliminare il file originale dal tuo sito.
Limita le autorizzazioni dei file
Le autorizzazioni dei file sul tuo sito determinano chi può accedere a quali parti del tuo sito e chi può modificarle. Di solito, il tuo host web configura tutte queste informazioni per te. È comunque buona norma comprendere i permessi dei file e assicurarsi che siano configurati in modo ottimale.
Se vuoi capire come funzionano i permessi dei file e come puoi ottimizzarli per la sicurezza del tuo sito, consulta la nostra guida che è dettagliata e adatta ai principianti.
Nascondi il file wp-config
Il file wp-config sul tuo sito Web è pieno di informazioni sensibili come password, chiavi e sali. Se gli hacker ottengono l'accesso al file, sarà come stendere un tappeto rosso sul sito Web per loro. Il file wp-config si trova per impostazione predefinita nella cartella public_html, quindi gli hacker sanno dove cercarlo. Ma puoi cambiare la posizione del file e funziona ancora altrettanto bene, nascondendo in modo efficace le informazioni sensibili.
Disabilitazione dell'esecuzione PHP in cartelle specifiche
Gli hacker possono caricare file PHP sul tuo sito camuffati da file WordPress principali e ottenere l'accesso al tuo sito. Alcune cartelle come wp-uploads non dovrebbero avere affatto file PHP. Allora cosa fai in questo caso?
Puoi disabilitare l'esecuzione di PHP in queste cartelle in modo che, anche se gli hacker riescono a entrare in questi file attraverso qualsiasi backdoor, non possano accedere al tuo sito.

Perché la sicurezza del sito Web è importante
WordPress è una piattaforma sicura, ma è molto popolare e attira ogni tipo di attenzione. Alcuni dei quali sono nefasti. Per assicurarti che gli hacker non possano accedere al tuo sito, devi assicurarti che la sicurezza del tuo sito web sia aggiornata, altrimenti potresti dover affrontare gravi conseguenze come:
- Perdita di clienti
- Perdita di dati
- Credenziali private trapelate
- Perdita di entrate
- Questioni legali
- Colpisci la reputazione del marchio
- Perdita di fiducia
Pensieri finali
La sicurezza di WordPress non è un mistero. Se esegui alcuni passaggi per proteggere il tuo sito, sarai in grado di respingere attacchi e malware ed evitare danni. Ci auguriamo che questa checklist di sicurezza di WordPress ti aiuti a rafforzare le tue misure di sicurezza.
Se desideri una soluzione senza problemi che non comprometta la tua sicurezza, MalCare è l'unica opzione. Con scansioni automatiche, un firewall avanzato e pulizie con un clic, MalCare è una soluzione a 360 gradi che protegge il tuo sito.
Domande frequenti
Come posso proteggere il mio sito WordPress?
Il metodo più semplice per proteggere il tuo sito WordPress è installare un plug-in di sicurezza come MalCare. MalCare scansiona il tuo sito web ogni giorno per garantire che il tuo sito web sia sicuro e protegge il tuo sito web con il suo firewall avanzato. Offre anche una pulizia con un clic nel caso in cui ci sia un hack.
WordPress ha problemi di sicurezza?
WordPress è una piattaforma sicura utilizzata da oltre la metà dei siti Web su Internet. Tuttavia, è a causa di questa popolarità che attira l'attenzione degli hacker. Puoi proteggere il tuo sito WordPress con un plug-in di sicurezza per garantire che il tuo sito sia al sicuro da questi elementi.
Come posso proteggere il mio sito WordPress senza plug-in?
Se desideri proteggere il tuo sito senza utilizzare plug-in, devi eseguire regolarmente diversi controlli di sicurezza. Dovrai eseguire scansioni del sito, eseguire backup, cercare comportamenti sospetti nel registro delle attività del sito e ripulire manualmente qualsiasi malware che potresti rilevare. L'elenco dei modi in cui gli hacker possono entrare nel tuo sito è infinito e l'unico modo per proteggere il tuo sito senza dover essere costantemente in allerta è utilizzare un plug-in di sicurezza.