Le 28 migliori pratiche e suggerimenti per la sicurezza di WordPress

Pubblicato: 2024-01-05

WordPress è un potente sistema di gestione dei contenuti (CMS), ma la sua popolarità significa pari attenzione come bersaglio tra gli hacker. Senza le necessarie misure di sicurezza, il tuo sito può essere vulnerabile agli attacchi.

Fortunatamente, ci sono diverse cose che puoi fare per mantenere il tuo sito sicuro. Si va da attività semplici come l'aggiornamento dei plugin e l'esecuzione di backup a strategie più complesse, come la migrazione a un provider di hosting con misure di sicurezza più forti.

In questo articolo ti guideremo attraverso 28 best practice sulla sicurezza di WordPress per aiutarti a garantire che il tuo sito sia protetto.

1. Mantieni aggiornati WordPress, plugin e temi

Il software obsoleto rappresenta un'enorme minaccia per i siti Web. Quando un plugin o un tema non viene aggiornato da mesi o anni, gli hacker avranno più tempo per cercare le vulnerabilità nel software e trovare un modo per accedere ai siti che lo utilizzano.

In poche parole: se utilizzi una versione precedente di WordPress, il tuo sito è vulnerabile agli attacchi. Questo vale anche per eventuali plugin o temi sul tuo sito web.

È importante tenere presente che WordPress è incredibilmente popolare. Alimenta circa il 43% di tutti i siti Web conosciuti. Ciò significa che un singolo plugin con un problema di sicurezza può portare a centinaia o migliaia di siti con una porta aperta per i criminali informatici.

Il modo più semplice per proteggersi da queste vulnerabilità è mantenere aggiornati WordPress e tutti i suoi componenti. Può essere semplice come controllare ogni giorno la dashboard per vedere quali aggiornamenti sono disponibili ed eseguirli.

aggiornamenti disponibili nella dashboard di WordPress

Nel caso dei plugin, puoi configurarli in modo che si aggiornino automaticamente uno per uno. Per fare ciò, vai su Plugin → Plugin installati e fai clic su Abilita aggiornamenti automatici per i plugin che desideri aggiornare automaticamente.

attivare gli aggiornamenti automatici in WordPress

2. Modificare il nome utente "admin" predefinito

Uno dei più grandi errori di sicurezza che gli utenti di WordPress possono fare è scegliere un nome utente come “admin” o “administrator”. Questi sono i nomi utente predefiniti che WordPress imposta per te e mantenerli in posizione rende più facile per gli aggressori penetrare.

Molti hacker cercano di entrare in un sito web provando quante più combinazioni possibili di nomi utente e password. Questo si chiama attacco di forza bruta. Se qualcuno conosce già il tuo nome utente, significa che deve indovinare solo un fattore di accesso.

WordPress non ti consente di modificare il nome utente per l'account amministratore una volta impostato. Per apportare una modifica, dovrai creare un nuovo account, assegnargli il ruolo utente Amministratore ed eliminare quello vecchio.

Puoi farlo andando su Utenti → Aggiungi nuovo . Quindi, inserisci i dettagli dell'account, incluso un nome utente difficile da indovinare, e scegli Amministratore dal menu Ruolo .

reimpostare la password in WordPress

La prossima volta che creerai un sito Web WordPress, dovrai impostare il nome utente dell'amministratore su qualcosa di diverso. Questa semplice modifica renderà molto più difficile per gli aggressori accedere all’account.

3. Utilizza password complesse e modificale regolarmente

Se utilizzi una password semplice come "1234" o hai la stessa per ogni account, è solo questione di tempo prima che qualcuno possa accedere al tuo sito.

Sebbene esistano modi per riottenere l'accesso agli account rubati, il processo può essere arduo. Inoltre, un hacker potrebbe causare danni irreparabili ai tuoi contenuti e alla tua reputazione.

Quando crei un nuovo account in WordPress, il CMS genererà per te una password complessa. Si tratta in genere di una combinazione di lettere, numeri e caratteri speciali.

Puoi utilizzare questa password o cambiarla con qualcosa di più memorabile (mantenendo una combinazione di lettere e numeri).

creare una password complessa in WordPress

Potresti anche utilizzare un gestore di credenziali se hai difficoltà a ricordarlo. I gestori di password possono aiutarti a generare password sicure per tutti i tuoi account e a mantenerli al sicuro.

Per maggiore sicurezza, ti consigliamo di modificare periodicamente le tue password. In questo modo, in caso di fuga di credenziali, il tuo account sarà al sicuro.

4. Implementare l'autenticazione a due fattori (2FA)

Come molti altri siti Web, WordPress richiede un nome utente e una password per accedere. Ciò significa che la sicurezza dell'accesso dipende in gran parte da quanto sono forti le tue credenziali.

Schermata di accesso di WordPress

Anche con la password più complessa, esiste la possibilità che qualcuno possa accedere al tuo account o ad altri sul tuo sito. Un modo efficace per evitare questa violazione è utilizzare l’autenticazione a due fattori (2FA).

Quando abiliti 2FA, il tuo sito richiederà un ulteriore metodo di verifica per consentire agli utenti di accedere. In genere, si tratta di un codice monouso inviato tramite SMS, e-mail o un'app di autenticazione.

Poiché gli hacker non hanno accesso al tuo dispositivo mobile o alle tue e-mail, non saranno in grado di accedere al tuo account. Alcuni siti web offrono la possibilità di utilizzare la 2FA, mentre altri la applicano.

Se utilizzi Jetpack, puoi consentire agli utenti di accedere con i loro account WordPress.com. C'è anche un'opzione per utilizzare la funzionalità 2FA di WordPress.com.

attivare l'autenticazione a due fattori in WordPress.com

Puoi trovare queste impostazioni accedendo a Jetpack → Impostazioni e individuando la sezione di accesso di WordPress.com . Quindi, è sufficiente attivare l'interruttore corrispondente.

5. Utilizza la crittografia HTTPS tramite un certificato SSL

Un certificato Secure Sockets Layer (SSL) consente al tuo sito web di caricarsi su HTTPS, che è la versione sicura di HTTP. Il certificato verifica che il tuo sito web sia autentico e che la comunicazione tra il browser e il server sia crittografata.

Puoi ottenere un certificato SSL gratuitamente da diverse autorità, come Let's Encrypt. Molti host web WordPress imposteranno automaticamente un certificato SSL per il tuo sito web. Altri host web ti consentiranno di impostare manualmente un certificato tramite cPanel.

6. Installa un plugin di sicurezza affidabile

I plugin di sicurezza di WordPress spesso sono dotati di una raccolta di funzionalità e strumenti che ti aiutano a proteggere il tuo sito web. Questi in genere includono:

  • Protezione da spam
  • Protezione dagli attacchi Denial of Service (DDoS).
  • Un firewall per applicazioni Web (WAF)
  • Scansione e pulizia malware
  • Backup automatici

Puoi trovare singoli plugin WordPress che svolgono ciascuna di queste attività separatamente. Ma se opti per uno strumento di sicurezza completo, sarai in grado di gestire più funzionalità dallo stesso posto, il che può semplificare il tuo lavoro.

In effetti, l’utilizzo del plugin giusto può aiutarti a spuntare diversi elementi in questo elenco delle migliori pratiche di sicurezza di WordPress. Jetpack Security include tutte le funzionalità appena menzionate e molte altre.

7. Esegui regolarmente il backup del tuo sito web

Eseguire regolarmente il backup dei dati è probabilmente la cosa più importante che puoi fare per mantenerli al sicuro. Quando si tratta di siti Web, un backup completo può essere un vero toccasana in caso di violazione o malfunzionamento della sicurezza.

Se il tuo sito viene violato o smette di funzionare correttamente, il modo più semplice per risolvere il problema potrebbe essere ripristinare un backup recente. Più recente è il backup, minore è la probabilità di perdere informazioni critiche.

Una volta che il sito funzionerà nuovamente correttamente, potrai adottare le misure necessarie per proteggerlo da ulteriori attacchi.

Esistono molte opzioni di backup per WordPress. Alcuni host web offrono backup automatici come parte del tuo piano di hosting (in genere se si tratta di un servizio gestito). Tuttavia, è meglio non fare affidamento esclusivamente su questi backup. Se il tuo server è compromesso, a causa di un errore di codifica, di un errore dell'host o di un attacco hacker, anche i backup possono esserlo.

Un'opzione migliore è utilizzare un plug-in che archivia i backup fuori sede. Jetpack VaultPress Backup è una di queste opzioni. Lo strumento è disponibile come plug-in individuale e come parte del pacchetto Jetpack Security menzionato in precedenza. Esegue automaticamente il backup del tuo sito ogni volta che apporti una modifica.

Home page di backup di Jetpack VaultPress

Questi backup in tempo reale sono ideali se aggiungi costantemente nuovi contenuti al tuo sito web. Significa che avrai sempre una copia della versione più recente. Inoltre, i backup vengono archiviati fuori sede, quindi avrai sempre accesso ad essi, anche se il tuo sito è completamente inattivo.

8. Utilizzare un firewall per applicazioni Web (WAF)

Un WAF è un tipo di firewall progettato per filtrare il traffico da e verso un sito Web. Utilizza regole per filtrare tipi specifici di traffico e può bloccare IP noti dannosi.

I WAF sono progettati per aiutarti a bloccare tipi comuni di attacchi informatici, tra cui SQL injection, cross-site scripting (XSS) e cross-site request forgeries (CSRF). Sono in grado di farlo grazie ai loro complessi sistemi di regole.

Quanto più complete sono le regole del firewall, tanto più efficace è. Molti plugin di sicurezza (incluso Jetpack Security) vantano WAF sofisticati con set di regole progettati in base ad anni di esperienza nella gestione degli attacchi WordPress.

Sebbene sia possibile impostare e configurare manualmente un WAF, la soluzione migliore è utilizzare un host web o un plug-in di sicurezza che ne configuri uno per te. In questo modo, puoi sfruttare il database esistente delle minacce e attivare semplicemente il firewall.

9. Cerca regolarmente malware

La scansione del tuo sito Web alla ricerca di malware implica l'utilizzo di uno strumento di terze parti o di un plug-in di sicurezza. Questo software esamina i file, i plug-in e i temi del tuo sito per cercare infezioni da malware. Se rileva qualcosa che non va, ti farà sapere dove si trova il problema.

Jetpack Scansiona la pagina hmoe

Ricordi quando eseguivi scansioni antivirus sul tuo computer e ci voleva un'eternità? Ora, la maggior parte dei software antivirus viene eseguita in background e ti disturba solo se c'è un problema. Le scansioni malware con Jetpack Security funzionano altrettanto perfettamente.

E, a differenza di altri strumenti che ti dicono solo che c'è un problema, se Jetpack trova qualcosa, solitamente fornisce soluzioni per risolvere il problema, spesso con un solo clic.

Se prendi provvedimenti per proteggere il tuo sito, le infezioni da malware dovrebbero essere estremamente rare. Anche così, non fa mai male impostare scansioni malware automatiche nel caso in cui vieni colpito da un exploit zero-day o da qualche altro tipo di attacco difficile da fermare.

10. Blocca moduli e commenti spam

Qualsiasi sito WordPress con sezioni o moduli di commenti aperti potrebbe riscontrare spam. Ciò può variare dai concorrenti che pubblicano collegamenti ai propri siti agli aggressori che condividono URL dannosi o tentano di utilizzare script per ottenere un accesso non autorizzato.

La soluzione semplice a questo problema è moderare i commenti sul tuo sito. Ma man mano che il tuo sito cresce, filtrare i commenti spam può diventare un lavoro a tempo pieno. Non è raro avere migliaia di messaggi in attesa di moderazione.

Potresti provare a utilizzare un CAPTCHA per bloccare gli invii di spam robot, ma inevitabilmente infastidirai alcuni utenti e diminuirai il coinvolgimento legittimo e le conversioni di cui il tuo sito ha bisogno per prosperare.

L'opzione migliore è usare Akismet. Questo strumento funziona completamente in background per bloccare gli invii di spam su commenti e moduli, quindi non ti accorgi nemmeno che sta accadendo. Gli utenti legittimi possono continuare senza la necessità di risolvere un puzzle, rispondere a un indovinello o persino fare clic su una casella.

Tutto ciò avviene con una precisione del 98%.

Akismet è anche personalizzabile, per eliminare immediatamente determinati commenti e conservarne altri affinché tu possa rivederli, approvarli o rifiutarli manualmente.

Puoi ottenere Akismet come plug-in separato, ma se ti impegni a migliorare la tua sicurezza generale e l'esperienza utente con il minimo sforzo (e spesa) puoi anche ottenerlo come parte del piano Jetpack Security.

11. Implementare autorizzazioni sicure per i file utilizzando FTP

Ogni file e cartella in un sistema basato su UNIX dispone di una serie di autorizzazioni. Queste autorizzazioni sono rappresentate da gruppi di tre numeri. Ad esempio, "777" significa che ogni utente dispone di autorizzazioni complete di scrittura, lettura ed esecuzione per un file o una directory.

Il primo dei tre numeri rappresenta chi possiede il file o la directory. Il secondo numero indica gli account di un gruppo proprietario e il terzo ogni altro utente.

Nell'esempio precedente, ogni sette significa che ciascuno di questi tipi di utenti dispone delle autorizzazioni di lettura (quattro), scrittura (2) ed esecuzione (1). Se sommi questi valori ottieni un sette.

Le autorizzazioni che assegni ai file e alle directory di WordPress determineranno chi può accedervi, leggerli e modificarli. I permessi file consigliati per WordPress sono 755 per le directory e 644 per i file.

Per impostare queste autorizzazioni, dovrai connetterti al tuo sito web tramite uno strumento FTP (File Transfer Protocol) come FileZilla. Puoi ottenere le tue credenziali FTP dal tuo account di hosting.

Una volta connesso al tuo sito, vai alla directory principale (di solito è etichettata public_html ). All'interno di questa cartella, puoi selezionare qualsiasi sottodirectory o file desiderato, fare clic con il pulsante destro del mouse su di esso e scegliere l'opzione che dice Autorizzazioni file .

modificare i permessi dei file in FileZillal

Verrà visualizzata una nuova finestra in cui potrai impostare i permessi per il file o la directory selezionata tramite il campo Valore numerico .

modificare i permessi dei file per wp-include

Se modifichi le autorizzazioni per le directory, vedrai anche un'opzione che dice Recurse into subdirectories . Ciò ti consentirà di impostare le stesse autorizzazioni per tutte le sottodirectory o file.

Tieni presente che esistono alcune eccezioni alla regola quando si tratta delle autorizzazioni ottimali per i file WordPress. Uno di questi è il file wp-config.php , di cui parleremo nella prossima sezione.

12. Proteggi il tuo file wp-config.php

Il file wp-config.php include informazioni critiche sul tuo sito web e sul suo database. È uno dei file core di WordPress più importanti, il che significa che dovresti adottare ulteriori misure per proteggerlo.

In termini di permessi, è meglio impostare wp-config.php su 400 o 440. Se ricordi la ripartizione della sezione precedente, saprai che i valori dei permessi si traducono in:

  • 400: Solo il proprietario può leggere il file.
  • 440: Solo il proprietario e gli utenti del gruppo del proprietario possono leggere il file.

Ciò rimuove del tutto i permessi di scrittura da wp-config.php . Questa è solitamente una scelta sicura, poiché impedisce a chiunque di modificare le impostazioni del file.

Un altro modo per proteggere wp-config.php è spostarsi di un livello sopra la directory root. WordPress cercherà il file nella directory più in alto se non riesce a trovarlo nella posizione predefinita.

Ciò significa che WordPress continuerà a funzionare normalmente, ma gli aggressori potrebbero essere ingannati dal fatto che non riescono a trovare il file.

13. Disabilita la modifica del file nel tuo file wp-config.php

WordPress offre diverse opzioni per la modifica dei file. Uno di questi utilizza il plugin e gli editor di file del tema, disponibili dalla dashboard.

Questi editor di file ti consentono di apportare modifiche al codice del tuo sito senza doverti connettere tramite FTP. Lo svantaggio di questo approccio è che se un hacker riesce ad accedere a un account autorizzato a utilizzare questi editor, può causare danni al tuo sito web.

Pertanto, potresti prendere in considerazione la possibilità di disabilitare la modifica dei file in WordPress. Puoi farlo aprendo il file wp-config.php e aggiungendovi la seguente riga di codice:

 define('DISALLOW_FILE_EDIT', true);

Tieni presente che alcuni temi e plugin disabiliteranno automaticamente la modifica dei file. Se non vedi gli editor di file o temi nella dashboard, è probabile che tu stia utilizzando uno di questi strumenti.

14. Limita la navigazione nelle directory nel tuo file .htaccess

Se l'esplorazione delle directory è abilitata, puoi visitare il tuo sito web.com/content/ . Invece di ricevere un errore proibito 403, vedrai un elenco delle sottodirectory e dei file all'interno di quella cartella.

Disabilitare la navigazione nelle directory è obbligatorio se vuoi proteggere il tuo sito. Se qualcuno può vedere il contenuto delle cartelle del tuo sito, può ottenere molte informazioni, ad esempio quale tema e plug-in utilizzi. Saranno anche in grado di navigare tra i file multimediali senza restrizioni, il che è terribile dal punto di vista della privacy.

La maggior parte degli host web WordPress disabilita la navigazione nelle directory per impostazione predefinita. Se il tuo non offre questa funzionalità, puoi abilitarla tu stesso modificando il file .htaccess nella directory principale .

Per fare ciò, apri il file e aggiungi la seguente riga di codice:

 Options -Indexes

Salva le modifiche e chiudi il file. Ora, se provi a navigare in una directory tramite un browser, riceverai un errore che ti informa che non hai accesso ad essa.

15. Limitare l'accesso alla directory wp-admin

wp-admin è il percorso predefinito per la directory WordPress. Se visiti la home page del tuo sito web e aggiungi /wp-admin alla fine dell'URL, arriverai alla dashboard di WordPress (dopo aver attraversato la pagina di accesso).

Questa struttura è standard per i siti Web WordPress. Ciò semplifica la ricerca e l'accesso alla dashboard, sia per te che per gli aggressori.

Un modo per proteggere l'amministratore di WordPress è proteggerlo con una password. In questo modo, gli utenti dovranno inserire una password diversa dopo aver effettuato la pagina di accesso.

Se il tuo host web utilizza cPanel, puoi aggiungere una password alla directory wp-admin utilizzando la Directory Privacy attrezzo.

trovare "privacy della directory" in cpanel

Una volta entrato in questo strumento, sfoglia le cartelle finché non trovi la directory wp-admin . Fare clic su MODIFICA accanto ad esso e, nella pagina successiva, seleziona l'opzione che dice Proteggi con password questa directory .

opzione per proteggere con password una directory

Ora lo strumento per la privacy della directory ti chiederà di impostare una password per wp-admin . Dopo aver salvato la password, prova ad accedere alla dashboard di WordPress. Un popup per la password dovrebbe apparire direttamente nel browser.

16. Nascondi il tuo URL di accesso wp-admin

Un altro modo per proteggere l'amministratore di WordPress è modificare l'URL che porta alla pagina di accesso. Se combini questa strategia con la protezione aggiuntiva tramite password descritta nella sezione precedente, nessun utente malintenzionato dovrebbe essere in grado di accedere alla dashboard del tuo sito.

Puoi modificare manualmente l'URL di accesso wp , ma l'utilizzo di un plug-in può semplificare il processo. WPS Hide Login è un semplice strumento che ti consente di impostare un nuovo URL di accesso senza dover modificare il codice del tuo sito.

WPS Nascondi plug-in di accesso

Una volta installato il plugin, vai su Impostazioni → WPS Nascondi accesso e cerca la sezione che dice URL di accesso. Utilizza il campo accanto a tale opzione e sostituisci l'URL di accesso predefinito con uno personalizzato.

Potresti voler utilizzare un mix casuale di lettere e numeri. Ciò renderà più difficile indovinare per gli aggressori. Assicurati solo di aggiungere ai segnalibri la nuova pagina di accesso o di impostare un URL che puoi ricordare.

17. Limita i tentativi di accesso

Come accennato in precedenza, gli aggressori possono accedere al tuo sito provando più combinazioni di nomi utente e password. L'impostazione di password complesse può essere un modo efficace per bloccare i loro tentativi, ma c'è un'altra cosa che puoi fare per fermare gli attacchi di forza bruta.

Ciò comporta la limitazione del numero di tentativi di accesso che gli utenti possono effettuare in un determinato periodo di tempo. Questa limitazione non influenzerà gli utenti regolari, ma dovrebbe essere sufficiente per sventare gli attacchi di forza bruta che utilizzano i bot. Limitando la frequenza con cui possono provare nuove credenziali, puoi ridurre al minimo le possibilità di successo.

Esistono molti strumenti che puoi utilizzare per limitare i tentativi di accesso in WordPress. Se usi Jetpack, hai accesso alla sua funzionalità di protezione dalla forza bruta. Ciò limita automaticamente i tentativi di accesso che Jetpack identifica come dannosi.

opzione per attivare la protezione dagli attacchi di forza bruta con Jetpack

Jetpack può anche aiutarti a inserire nella lista consentita gli indirizzi IP, in modo che non vengano bloccati dallo strumento di protezione dalla forza bruta. Puoi usarlo per il tuo indirizzo IP e quello dei tuoi colleghi per prevenire false flag.

Esplora i vantaggi di Jetpack

Scopri come Jetpack può aiutarti a proteggere, velocizzare e far crescere il tuo sito WordPress. Ottieni fino al 50% di sconto sul tuo primo anno.

Esplora i piani

18. Disconnettere automaticamente gli utenti inattivi

Molti siti Web ti disconnetteranno dal tuo account dopo un determinato periodo di tempo. Questa è una misura di sicurezza progettata per impedire ad altre persone di prendere il controllo della tua sessione se riescono ad accedere al tuo computer.

Questo potrebbe non essere un problema a seconda di dove accedi, ma è comunque una misura di sicurezza che vale la pena implementare. Ciò vale soprattutto se ci sono altre persone che hanno accesso alla dashboard del tuo sito.

WordPress non disconnette gli utenti automaticamente. Per aggiungere questa funzionalità, dovrai utilizzare un plug-in come Inactive Logout.

Plug-in di disconnessione inattivo

Una volta installato il plugin, vai su Impostazioni → Logout inattivo → Impostazioni generali . Cerca l'opzione Timeout inattività e imposta il valore su qualsiasi timer desideri, in minuti.

impostando il timeout di inattività in minuti

Ora, gli utenti verranno automaticamente disconnessi se rimangono inattivi per quel periodo di tempo. Il plugin ti consente anche di configurare un messaggio che li informa del motivo per cui la loro sessione è chiusa, in modo che non siano confusi quando ritornano.

19. Modifica il prefisso del database WordPress predefinito

Ogni database WordPress ha un nome. Per impostazione predefinita, quel nome è wp_qualcosa, con "qualcosa" che sostituisce il nome effettivo del database.

Ciò che è veramente importante qui è il prefisso. Per impostazione predefinita, WordPress utilizza il prefisso wp_ , il che significa che gli aggressori possono facilmente indovinare il nome completo del database.

La semplice modifica del prefisso può rendere questo compito molto più difficile per gli aggressori. Sfortunatamente, non è così semplice cambiare il prefisso del database WordPress.

Questo processo richiede di modificare entrambi i file principali e apportare modifiche al database stesso. Quindi, prima di fare qualsiasi altra cosa, dovrai eseguire un backup completo del sito web, che includa tutti i file e il database. In questo modo, se qualcosa va storto, puoi ripristinare il backup.

Per iniziare, accedi al sito Web tramite FTP e vai al file wp-config.php . Apri il file e cerca questa riga al suo interno:

 $table_prefix = 'wp_';

Puoi andare avanti e sostituire il prefisso "wp_" con qualcos'altro, come "newprefix_". Questo è solo un esempio, però. Ti consigliamo di scegliere qualcosa che sia difficile da indovinare.

Ora salva il file e accedi al database utilizzando phpMyAdmin. Seleziona il database WordPress dall'elenco a sinistra e fai clic su SQL nel menu nella parte superiore dello schermo sopra l'elenco delle tabelle.

Si aprirà una pagina in cui è possibile eseguire comandi SQL che influenzano il database. Ciò che devi fare ora è sostituire i prefissi delle tabelle esistenti per tutte le tabelle nel database. Per impostazione predefinita, ciò significa le seguenti tabelle:

  • wp_opzioni
  • wp_postmeta
  • wp_posts
  • wp_term_relationships
  • wp_term_tassonomia
  • wp_terms
  • wp_commentmeta
  • wp_commenti
  • wp_links

Tieni presente che alcuni plugin potrebbero anche aggiungere nuove tabelle al database. Dovrai aggiornare anche i prefissi di queste tabelle.

Per ogni tabella, dovrai eseguire il seguente comando SQL:

 RENAME table wp_xxxx TO newname_xxxx;

I segnaposto "xxxx" rappresentano il nome di ciascuna tabella dopo il carattere di sottolineatura. Allo stesso modo, dovrai cambiare il prefisso newname_ con quello impostato in precedenza durante la modifica di wp-config.php .

Ripetere questo processo secondo necessità per ogni tabella nel database. Quando sei pronto, puoi tornare alla dashboard.

La modifica del prefisso del database può interrompere eventuali plugin e temi attivi sul tuo sito. Questi strumenti non riconosceranno il database aggiornato finché non li disattivi e riattivi.

Pertanto, dovrai esaminare ogni plug-in e tema sul tuo sito e seguire tale processo. Una volta terminato, controlla il tuo sito per assicurarti che tutto funzioni come dovrebbe.

20. Nascondi la tua versione di WordPress

In passato, WordPress mostrava nel footer la versione del software utilizzata da un sito. L'idea era che queste informazioni potessero essere utili per la risoluzione dei problemi e che sarebbero state molto più facili da trovare se fossero state prontamente disponibili per i visitatori front-end.

Il problema con questo approccio è che visualizzare il numero di versione significa che gli aggressori possono cercare vulnerabilità specifiche di quella versione. Ciò fornisce agli autori malintenzionati molte informazioni che possono utilizzare per sferrare un attacco al tuo sito web.

Inoltre, questa funzione non ha alcun vantaggio pratico per te. Dopotutto, puoi sempre controllare la versione WordPress del tuo sito dalla dashboard.

Le versioni più recenti di WordPress non visualizzano più tali informazioni nel front-end. Se riesci a vedere il numero di versione nel piè di pagina, significa che il tuo sito web è in ritardo per un aggiornamento di WordPress.

21. Mantieni aggiornata la tua versione PHP

Come probabilmente saprai, WordPress è basato in gran parte su PHP. Si basa su questo linguaggio di programmazione per eseguire la maggior parte delle attività di amministrazione.

PHP è anche un software. Ciò significa che riceve aggiornamenti regolari con nuove caratteristiche e funzioni e prestazioni migliorate.

WordPress richiede che il tuo server esegua PHP versione 7.4 o successiva. Esistono versioni più recenti di PHP e ognuna di esse apporta aggiornamenti in termini di prestazioni e sicurezza al software. Tali aggiornamenti vengono trasferiti anche a WordPress stesso.

Gli host web più affidabili aggiornano PHP sui propri server non appena escono nuove versioni. Alcuni provider ti consentono persino di passare da una versione all'altra manualmente (il che può essere necessario per la risoluzione degli errori sul tuo sito WordPress).

Puoi verificare quale versione di PHP è in esecuzione sul tuo sito accedendo a Impostazioni → Salute del sito → Informazioni → Server nella dashboard di WordPress. Qui vedrai una panoramica della configurazione del tuo server, inclusa la versione di PHP che utilizza.

informazioni sul server in WordPress

Se quella versione è obsoleta, potresti voler contattare il tuo host web. Potrebbero essere in grado di aggiornare PHP per te. Anche così, questo è qualcosa che non dovresti devi fare se utilizzi un provider di hosting affidabile, poiché se ne prenderanno cura per te.

22. Disattiva la segnalazione degli errori PHP

WordPress viene fornito con uno strumento di debug che consente al CMS di registrare gli errori PHP. Puoi utilizzare questi rapporti sugli errori per risolvere i problemi tecnici sul tuo sito web.

Sfortunatamente, queste segnalazioni possono anche portare a problemi di sicurezza. Se gli aggressori riescono ad accedere ai log degli errori PHP, possono ottenere molte informazioni su come funziona il tuo sito. Potrebbero essere in grado di vedere quali plugin sono attivi sul tuo sito (se visualizzano errori), nonché file importanti sul tuo sito con problemi PHP.

A meno che tu non stia attivamente risolvendo un errore in WordPress, non è necessario abilitare la segnalazione degli errori PHP. Se lo stai utilizzando per diagnosticare un problema, ti consigliamo di disattivare la modalità di debug di WordPress non appena ottieni le informazioni di cui hai bisogno.

La disabilitazione della segnalazione degli errori PHP richiede la modifica del file wp-config.php , che si trova nella root di WordPress directory. È possibile accedere alla directory tramite FTP, come mostrato in precedenza.

Quindi, apri il file wp-config.php e aggiungi la seguente riga di codice:

 define ( 'WP_DEBUG', true );

Cambia il vero valore su falso e salvare il file. Ciò disabiliterà i log degli errori in WordPress.

Puoi riattivarli in qualsiasi momento, se necessario. Dovrai solo riportare il valore su true .

23. Rimuovi plugin e temi non necessari

Plugin e temi sono ciò che rende WordPress una piattaforma così versatile. Aggiungono nuove funzionalità al tuo sito e ti consentono di personalizzarne il design.

Il problema è che alcune persone installano dozzine di plugin e temi, ma ne usano solo alcuni. Ad esempio, potresti provare molti temi diversi prima di scegliere il tuo preferito, ma non disinstallare mai il resto.

Ogni plugin attivo sul tuo sito web presenta un rischio per la sicurezza. In genere, questo rischio è minimo per i plugin che ricevono aggiornamenti regolari e hanno alle spalle un team di sviluppo affidabile. Per i plugin obsoleti o che non ricevono più aggiornamenti, il rischio aumenta drasticamente.

Lo stesso vale per i temi. Avere temi che non usi sul tuo sito può portare a vulnerabilità.

Se non stai utilizzando attivamente un tema o un plug-in specifico, la soluzione più sicura è disinstallarlo (non semplicemente disattivarlo). Questa operazione richiede solo pochi minuti, ma può fare un'enorme differenza per la sicurezza del tuo sito. Inoltre, se cambi idea, puoi sempre reinstallare un plugin o un tema eliminato.

Tuttavia, qui c'è un'eccezione. Potresti voler mantenere un tema predefinito come Twenty Twenty-Three installato, ma inattivo, ai fini della risoluzione dei problemi.

24. Rimuovere gli account utente non necessari

Come regola generale, nessuno dovrebbe avere accesso al tuo sito web a meno che non sia assolutamente necessario. Se hai bisogno di concedere l'accesso a qualcuno (per pubblicare contenuti, eseguire la manutenzione o aggiornare il sito), ti consigliamo di assicurarti di non assegnargli un ruolo utente con più autorizzazioni di quelle di cui ha bisogno.

Una volta che una persona non ha più bisogno di accedere al sito Web, puoi procedere ed eliminare il suo account. Ciò impedirà loro di alterare il sito web senza la tua approvazione.

Questi account utente rappresentano un altro rischio. Alcune persone potrebbero riutilizzare le credenziali dei propri account personali per accedere al tuo sito web. Se queste credenziali vengono divulgate in una violazione della sicurezza, gli aggressori saranno in grado di utilizzarle per ottenere l'accesso al tuo sito web.

Eliminare gli account utente in WordPress è semplice. Per fare ciò, vai su Utenti → Tutti gli utenti e seleziona un account. Una volta identificato l'account che desideri rimuovere, passa il mouse sopra di esso e fai clic su Elimina .

Tieni presente che questa opzione verrà visualizzata solo se sei l'amministratore. Finché nessun altro ha accesso all'account amministratore, dovresti essere l'unica persona con la possibilità di eliminare gli account utente.

25. Monitorare l'attività dell'utente

Se gestisci un sito Web WordPress in cui altre persone hanno accesso alla dashboard per pubblicare contenuti, apportare modifiche al sito e aggiornarlo, prima o poi probabilmente incontrerai problemi di sicurezza. Ad esempio, qualcuno potrebbe farsi rubare le credenziali o installare un plug-in che introduce un rischio per la sicurezza del sito.

Per questo motivo è una buona idea che l'amministratore tenga d'occhio ciò che fanno gli altri quando utilizzano il sito.

I registri delle attività sono strumenti che monitorano eventi specifici e prendono nota di quando si verificano. Puoi accedere a quel registro e vedere chi ha fatto cosa e quando. Ciò ti consente di individuare eventi e azioni che possono avere un impatto negativo sulla sicurezza del tuo sito.

Questa funzionalità non è disponibile in WordPress per impostazione predefinita, ma puoi aggiungerla con un plug-in. Jetpack Security include un registro delle attività che memorizza i dati degli ultimi 30 giorni.

Il registro è ospitato fuori sede. Pertanto, se perdi l'accesso al sito, puoi controllare il registro per vedere cosa è successo, prima di ripristinare un backup recente.

26. Utilizza una CDN per ridurre il rischio di un attacco DDoS

Le reti di distribuzione dei contenuti (CDN) possono aiutarti a ridurre drasticamente i tempi di caricamento. Lo fanno memorizzando nella cache il tuo sito web utilizzando una rete di data center distribuiti in tutto il mondo. Quando qualcuno visita il sito, la CDN intercetta la richiesta e carica una copia dal server più vicino.

L'utilizzo di una CDN offre numerosi vantaggi oltre alla riduzione dei tempi di caricamento. Ad esempio, c'è meno sforzo sul tuo server, il che significa che il tuo sito web sarà posizionato meglio per gestire grandi picchi di traffico. Inoltre una CDN può fungere da barriera in caso di attacco.

Se il tuo sito web è il bersaglio di un attacco DDoS, la CDN può chiuderlo rapidamente. Molti CDN potrebbero chiedere ai visitatori di verificare se sono umani se la rete rileva qualcosa di strano con la connessione. Poiché gli attacchi DDoS si basano sui bot, spesso non riescono a bypassare questo tipo di controlli di sicurezza.

Anche se l’attacco DDoS riesce a raggiungere la CDN, i suoi data center sono costruiti per gestire massicci afflussi di traffico. Nel frattempo, il tuo sito web stesso sarà protetto dalla CDN.

Puoi integrare qualsiasi CDN che desideri con WordPress. Jetpack CDN è molto semplice da configurare. Puoi abilitarlo gratuitamente nel plugin Jetpack e il CDN inizierà a memorizzare nella cache i file multimediali dal tuo sito web.

27. Migrare a un provider di hosting incentrato sulla sicurezza

Ogni host web ha il proprio punto di forza. Ad esempio, alcuni provider di hosting si concentrano maggiormente sulla sicurezza e sulle prestazioni, mentre altri danno priorità a prezzi accessibili.

Idealmente, sceglierai un host web che promette prestazioni e sicurezza di prim'ordine (e non addebita una tariffa ingiusta per questo). Esistono molti host web che soddisfano questi criteri e gestiscono attività di sicurezza essenziali per te. Tali compiti possono includere:

  • Backup
  • Impostazione di un WAF
  • Proteggerti dagli attacchi DDoS
  • Scansione e pulizia del malware

Se vuoi dedicare più tempo ed energia a gestire il tuo sito Web e meno per proteggerlo dagli attacchi, ti consigliamo di scegliere un host che valorizza la sicurezza. Per iniziare, potresti voler prendere un elenco di host WordPress consigliati.

Gli host web che forniscono piani di hosting gestiti tendono a offrire di più in termini di sicurezza. Naturalmente, questi servizi saranno un po 'più costosi dei piani non gestiti, ma possono aiutarti a mettere a proprio agio la tua mente.

28. Prendi in considerazione una soluzione di sicurezza aziendale

Se si esegue un sito Web a livello aziendale, le tue misure di sicurezza dovrebbero andare oltre l'aggiornamento dei plug-in e fare backup. Avrai bisogno di una soluzione di sicurezza che fornisca protezione end-to-end per il tuo sito Web.

WPSCAN ha il più grande database di vulnerabilità di sicurezza di WordPress sul mercato.

WPSCAN offre una soluzione di sicurezza incentrata sull'impresa. Questo può essere adattato alle esigenze della tua azienda e al tipo di sito Web che hai. Puoi contattare direttamente WPSCAN per ottenere una valutazione della sicurezza del tuo sito e richiedere un preventivo.

Domande frequenti

Questo elenco di suggerimenti per la sicurezza di WordPress ha coperto le misure più importanti per proteggere il tuo sito. Se hai ancora domande su come migliorare la sicurezza del tuo sito Web, questa sezione mirerà a rispondere.

Quali minacce comuni possono essere mitigate da queste migliori pratiche di sicurezza di WordPress?

Questa guida copre tutto, dalle misure di protezione di base alle pratiche di sicurezza più avanzate. Se prendi il tempo per implementare ogni misura delineata in questo articolo, il tuo sito Web dovrebbe essere protetto dalle minacce più comuni. Questi includono attacchi di forza bruta, furto di dati e malware.

L'obiettivo finale di queste misure è garantire che nessun attore dannoso possa accedere al tuo sito e causare danni. Possono anche prevenire errori da parte di utenti inesperti, come l'installazione di un plug -in cattivo.

Qual è il modo più semplice per migliorare la sicurezza di WordPress?

Se non hai tempo per implementare ogni misura in questa guida, la cosa migliore che puoi fare è impostare un plug -in di sicurezza WordPress. Questi strumenti consentiranno automaticamente una miriade di funzionalità che aiutano a proteggere il tuo sito Web.

Jetpack Security è una soluzione all-in-one che automatizza molte attività essenziali. Esegue backup in tempo reale, crea un firewall, scansioni e fornisce correzioni rapide per malware, protegge il tuo sito dallo spam e altro ancora. Ti fornisce inoltre l'accesso ai registri delle attività, in modo da poter identificare qualsiasi azione sul tuo sito che potrebbe aver causato un problema di sicurezza (e chi li ha eseguiti).

Qual è il miglior plug -in di sicurezza per WordPress?

Ci sono molti plug -in di sicurezza WordPress tra cui scegliere, ma Jetpack Security è una delle soluzioni più complete sul mercato. Gestisce la maggior parte delle pratiche di sicurezza discusse in questo post, inclusi backup, scansione e rimozione di malware e protezione dello spam.

Come faccio a eseguire il backup del mio sito WordPress e dove dovrei archiviare i backup?

Esistono diversi modi per eseguire il backup di un sito Web WordPress. È possibile eseguire il backup di tutti i file e il database manualmente, utilizzare un plug -in che lo fa o iscriverti a un piano di hosting che include alcuni backup limitati.

Nella maggior parte dei casi, non si desidera archiviare backup a livello locale o in una sola posizione. Questo è il motivo per cui in genere non si consiglia di fare affidamento solo sull'hosting di backup. I backup del cloud tendono ad essere più sicuri, dal momento che la maggior parte dei provider memorizza più copie per la ridondanza.

Jetpack Security include backup cloud in tempo reale. Tutto viene archiviato fuori sede e un nuovo backup viene fatto ogni volta che apporti un cambiamento al tuo sito web.

Quante volte dovrei aggiornare il mio sito WordPress?

Idealmente, dovresti aggiornare WordPress e i suoi componenti non appena sono disponibili aggiornamenti. L'uso dell'ultima versione di qualsiasi software aumenterà la sicurezza e le prestazioni del tuo sito. Inoltre, ti offre l'accesso alle ultime funzionalità.

Molti aggiornamenti sono focalizzati sul patching di vulnerabilità di sicurezza. Idealmente, ti consigliamo di controllare il tuo sito per gli aggiornamenti quotidianamente. È persino abilitato le aggiornamenti automatici per i plugin. Tutto questo e altro è possibile con Jetpack Security, il plug-in di sicurezza e backup in tempo reale.

Quante volte dovrei scansionare il mio sito WordPress per malware?

Se puoi, dovresti scansionare il tuo sito Web per malware ogni giorno. Poiché questo è un compito così critico, ha senso automatizzarlo. In questo modo, il tuo plug -in di sicurezza o scanner di malware sarà comunque alla ricerca di vulnerabilità anche se non sei disponibile.

Jetpack Security include la scansione automatizzata del malware. Il plugin scruta periodicamente il tuo sito e ti avvisa se trova qualcosa di sospetto.

Jetpack Security: protezione e backup WordPress di tutto il giorno

Proteggere un sito Web WordPress può essere molto lavoro. Dovrai eseguire backup regolari, eseguire aggiornamenti, scansionare il tuo sito per malware e altro ancora. Inoltre, ti consigliamo di assicurarti che chiunque abbia accesso al tuo sito stia utilizzando nomi utente e password forti.

Una soluzione all-in-one come Jetpack Security può gestire la maggior parte di queste attività per te. Otterrai backup e scansioni automatizzate, protezione da spam, un potente firewall e altro ancora. Tutto quello che devi fare è installare il plug -in e abilitare queste funzionalità.

Sei pronto per aumentare la sicurezza del tuo sito? Inizia oggi con Jetpack Security!