Come proteggere il tuo sito Web WordPress nel 2023 (tutorial dettagliato)
Pubblicato: 2023-07-28WordPress è diventato uno dei sistemi di gestione dei contenuti (CMS) più popolari al mondo, con oltre il 44% dei siti web costruiti su di esso. Come con qualsiasi piattaforma online, la sicurezza dovrebbe essere in cima alla tua lista di preoccupazioni. In questo post, esamineremo i problemi di sicurezza di WordPress e forniremo suggerimenti su come mantenere il tuo sito Web WordPress sicuro e protetto.
Immergiamoci.
- 1 WordPress è sicuro?
- 2 Preoccupazioni per la sicurezza di WordPress
- 3 Come proteggere il tuo sito Web WordPress
- 3.1 Sicurezza WordPress: scegli un buon hosting WordPress
- 3.2 Mantieni sicuro il tuo accesso a WordPress
- 3.3 Utilizzare una suite di plugin di sicurezza di WordPress
- 3.4 Mantenere PHP aggiornato
- 3.5 Scegli password complesse
- 3.6 Sicurezza di WordPress: mantieni il software aggiornato
- 3.7 Installa certificato SSL
- 3.8 Condurre un controllo di sicurezza
- 3.9 Tecniche avanzate di sicurezza di WordPress
- 4 Cosa fare se il tuo sito Web WordPress è stato violato
- 5 considerazioni finali sulla sicurezza di WordPress
WordPress è sicuro?
Per la maggior parte, sì. Gli sviluppatori di WordPress lavorano duramente per mantenere la sicurezza della loro piattaforma attraverso patch e aggiornamenti che si verificano regolarmente. Tuttavia, poiché WordPress è costruito su un framework open source, gli hacker possono analizzare come è costruito e sviluppare frequentemente nuovi modi per ottenere il controllo dei siti Web WordPress. Per questo motivo, la sicurezza di WordPress è fondamentale. Conoscere i rischi associati all'utilizzo di WordPress è importante per capire meglio come proteggere il tuo sito web.
Preoccupazioni per la sicurezza di WordPress
Quando si utilizza un sito Web WordPress, ci sono diversi potenziali rischi di cui essere consapevoli. Una delle maggiori preoccupazioni sono gli hacker. Poiché WordPress è così popolare, attira l'attenzione di attori malvagi che tentano di sfruttare vulnerabilità come plug-in obsoleti o file core per ottenere l'accesso non autorizzato al tuo sito. Possono utilizzare metodi come backdoor, lanciare attacchi di forza bruta, attacchi farmaceutici, attacchi Denial of Service (DoS) o cross-site scripting (XSS).
Se lasciato irrisolto, possono esserci gravi conseguenze, come malware (codice dannoso progettato per rubare le informazioni sui visitatori del tuo sito), inoltrare il tuo sito web a uno completamente diverso, aggiungere contenuti di cui non sei a conoscenza, avvisi di Google che possono danneggiare la tua posizione in le SERP, o peggio, non essere in grado di accedere al tuo sito web.
Come proteggere il tuo sito Web WordPress
La sezione seguente esplorerà le migliori pratiche per migliorare la sicurezza di WordPress per proteggere il tuo sito Web da potenziali minacce.
Iscriviti al nostro canale Youtube
Sicurezza WordPress: scegli un buon hosting WordPress
Il primo passo da compiere è collaborare con una buona società di hosting WordPress. Con così tante scelte disponibili, può essere difficile determinare come scegliere l'host giusto. Se sei un principiante, probabilmente è meglio optare per un buon provider di hosting gestito, come SiteGround, che fornirà tutti gli aggiornamenti di sicurezza per WordPress, pur mantenendo il server su cui è installato. Per coloro che sono più esperti di tecnologia, un provider di cloud hosting, come Cloudways, è una scelta eccellente.
Entrambe le opzioni ti forniranno tutti gli strumenti necessari per garantire che il tuo sito Web sia sicuro e protetto, tra cui:
- Certificato SSL gratuito
- Firewall per applicazioni Web (WAF)
- Accesso SFTP
- Protezione DDoS (Distributed Denial of Service).
- Protezione dai malware
Mantieni sicuro il tuo accesso a WordPress
Un'altra cosa facile che puoi fare per aumentare la sicurezza di WordPress è bloccare le tue credenziali di accesso. Questo può essere fatto in diversi modi, incluso l'utilizzo di un plug-in per modificare l'URL di accesso da /wp-admin a qualcosa di tua scelta. Puoi anche aggiungere l'autenticazione a due fattori (2FA) al tuo accesso e limitare i tentativi di accesso, che ti aiuteranno a respingere i bot.
Un altro modo per proteggere il tuo accesso è collegarlo al tuo account Google utilizzando Google Apps Login per WordPress. Una volta bloccato il tuo accesso, dovresti autorizzare gli indirizzi IP dei tuoi utenti. Ciò garantisce che solo gli utenti registrati possano accedere, anche se sono riusciti a capire la tua password.
Usa una suite di plugin per la sicurezza di WordPress
Un'altra cosa molto utile che puoi fare è installare un buon plugin di sicurezza, come iThemes Security. Ti consentirà di aggiungere 2FA, limitare i tentativi di accesso, pianificare i backup e nascondere il tuo accesso a WordPress.
Oltre a un plug-in di sicurezza di WordPress, considera l'installazione di un buon plug-in di backup, come UpdraftPlus, se il tuo host non offre backup. Un plug-in di backup ti protegge dalla perdita dei file del tuo sito, aiutandoti a evitare di ricostruire WordPress da zero. Puoi facilmente ripristinare il tuo sito con poco sforzo se qualcosa va storto. Infine, l'incorporazione di un plug-in del registro delle attività come WP Activity Log ti consentirà di individuare cosa è andato storto e quando.
Mantieni PHP aggiornato
WordPress richiede tre cose per funzionare correttamente: supporto PHP, MySQL e HTTPS. PHP, o preprocessore ipertestuale, è un popolare linguaggio di scripting open source utilizzato nello sviluppo web ed è la spina dorsale di WP. Come WordPress, essere open source lo lascia aperto a malintenzionati che cercano di trarne vantaggio. Per evitare questi potenziali problemi, è meglio mantenere PHP aggiornato. Non solo aiuta con la sicurezza di WordPress, ma mantiene anche il tuo sito in esecuzione in modo ottimale.
Scegli password complesse
Uno degli aspetti più importanti della sicurezza di WordPress è la scelta di password complesse per l'accesso. Le password deboli o facilmente indovinabili lasciano il tuo sito vulnerabile ad accessi non autorizzati ed espongono il tuo sito a botnet. Le botnet sono una raccolta di computer che sono stati infettati da malware e sono sotto il controllo di un hacker. Sono la causa principale degli attacchi DDoS su Internet, ma puoi evitare che il tuo sito ne sia vittima prendendo le dovute precauzioni.
Ad esempio, puoi proteggere il tuo sito assicurandoti che tutti gli utenti aderiscano a una policy per le password. Un ottimo modo per farlo è installare un plugin come Password Policy Maker.
Sicurezza di WordPress: mantieni aggiornato il software
Un altro semplice passaggio per la sicurezza di WordPress è mantenere aggiornati il core, i plugin e i temi di WordPress. Lasciare il software obsoleto può avere conseguenze negative sul tuo sito Web, tra cui violazioni della sicurezza, lo schermo bianco della morte di WordPress o qualsiasi numero di errori comuni.
Puoi tenere il passo con gli aggiornamenti da solo o abilitare gli aggiornamenti automatici. Ciò che è giusto per te dipende da diversi fattori, tra cui il tempo, l'esperienza e il tipo di software eseguito dall'installazione di WordPress. Indipendentemente dal fatto che tu gestisca gli aggiornamenti o scelga di aggiornare automaticamente, dovresti sempre eseguire un backup prima di eseguire qualsiasi aggiornamento.
Installa certificato SSL
Se collabori con un buon provider di hosting, uno dei vantaggi che ne derivano è un certificato SSL gratuito. Tuttavia, potrebbero esserci situazioni in cui dovrai installarne uno tu stesso. La maggior parte dei provider, come SiteGround, offre un SSL gratuito che si installa in pochi minuti. Mentre leggi questo, potresti chiedere : "Perché ho bisogno di un certificato SSL?". Spieghiamo.
SSL, o secure socket layer, espande il protocollo di trasferimento ipertestuale (HTTP) al protocollo di trasferimento ipertestuale sicuro (HTTPS), aggiungendo crittografia e un ulteriore livello di sicurezza. Ad esempio, un consumatore che effettua un acquisto tramite HTTP rischia di sfruttare i dati della propria carta di credito. D'altra parte, le loro informazioni sarebbero protette se avessero effettuato lo stesso acquisto tramite HTTPS. Il tuo sito e i suoi visitatori sono esposti e vulnerabili senza quella connessione sicura. Ecco perché l'installazione di un certificato SSL su qualsiasi nuovo sito Web è fondamentale.
Condurre un audit di sicurezza
Dopo aver adottato misure per proteggere il tuo sito, è importante condurre occasionalmente un controllo di sicurezza di WordPress. Proprio come la tecnologia cambia ogni giorno, anche l'arsenale di strumenti di un hacker cambia. Malware e altre tattiche vengono sviluppate regolarmente, quindi proteggere il tuo sito Web WordPress non è un affare unico. Pianifica controlli di sicurezza regolari e cerca segnali che indicano che il tuo sito potrebbe essere in difficoltà. Se noti che il tuo sito si carica lentamente, il tuo traffico diminuisce, scopri nuovi link che non hai aggiunto o riscontri un numero eccessivo di tentativi di accesso, potrebbe essere il momento di eseguire una scansione di sicurezza per assicurarti che il tuo sito rimanga sicuro e protetto.
Tecniche avanzate di sicurezza di WordPress
Oltre ai passaggi sopra elencati, ci sono alcune tecniche più avanzate da incorporare nel tuo sito per migliorare la sicurezza di WordPress.
Rafforza il file wp-config.php
Un punto di ingresso comune per gli hacker è il file wp-config.php del tuo sito Web WordPress. Contiene informazioni sul tuo database, inclusi nome, host, nome utente e password. Lasciare aperto questo file importante può rivelarsi dannoso, quindi nasconderlo è sempre una buona idea.
Sposta il tuo file wp-config.php
Per spostare wp-config, puoi trascinarlo nella cartella principale del tuo sito (HTML pubblico) e WordPress lo cercherà ogni volta che viene eseguito il ping del sito. Tuttavia, se la struttura dei file del tuo sito include un file htaccess, puoi proteggerlo ulteriormente aggiungendo una direttiva per negare l'accesso ad esso utilizzando il seguente codice:
<FilesMatch "wp-config/.php"> Require all denied </FilesMatch">
Nota: prima di farlo, assicurati che il tuo provider di hosting non abbia già provveduto a spostare il tuo file wp-config per te. Alcuni host, come Kinsta, lo fanno automaticamente per proteggere il tuo sito.
Cambia le chiavi salt di WordPress
Un altro modo per proteggere il tuo file wp-config è alterare le chiavi salt del tuo sito. Queste chiavi aggiungono un ulteriore livello di protezione durante il salvataggio delle password nel database, l'accesso ai cookie e altri importanti aspetti della sicurezza di WordPress. Se gli hacker riescono a ottenere le tue chiavi salt, possono accedere al database e ai file del tuo sito, inclusi i dati della carta di credito memorizzati, le password e altre informazioni importanti. Pertanto, si consiglia di cambiarli periodicamente.
Cambia i permessi dei file
Per impostazione predefinita, i file nella directory principale sono impostati su 644, il che significa che sono sia leggibili che scrivibili, lasciandoli vulnerabili ai malintenzionati. Secondo WordPress, questi non dovrebbero essere lasciati alle autorizzazioni predefinite. Piuttosto, dovrebbero essere cambiati in 440 o 400 per impedire ad altri sullo stesso server di leggerli. Tuttavia, è importante verificare con il provider di hosting prima di apportare modifiche alle autorizzazioni dei file. Potrebbero disporre di un sistema unico, quindi la modifica delle autorizzazioni potrebbe causare interruzioni al tuo sito.
Disattiva XML-RPC
XML-RPC è un'API di WordPress che ti consente di connettere il tuo sito Web ad app e strumenti di terze parti. Negli ultimi anni è stato sfruttato da attacchi di forza bruta, consentendo l'accesso ai siti WordPress. Viene utilizzato principalmente per stabilire connessioni Zapier o accedere al tuo sito da remoto tramite un'app. Dovresti disabilitare XML-RPC sul tuo server se non stai usando nessuna di queste connessioni.
Esistono diversi modi per farlo, inclusa la disabilitazione tramite htaccess, utilizzando uno snippet di codice o con un plug-in. Il metodo più avanzato, htaccess, può essere complicato per i principianti, quindi l'approccio più consigliato è utilizzare uno snippet di codice.
Per il metodo htaccess, usa un client FTP per accedere ai file del tuo sito, quindi aggiungi il seguente codice al tuo file htaccess:
# Block WordPress xmlrpc.php requests <Files xmlrpc.php> order deny, allow deny from all allow from 123.123.123.123 </Files>
Nota: assicurarsi di modificare l'IP 123.123.123.123 con il proprio.
In alternativa, puoi utilizzare la scheda htaccess degli strumenti del plug-in AIOSEO per inserire il codice:
Se preferisci disabilitare XML-PRC utilizzando uno snippet di codice, puoi farlo facilmente utilizzando il plug-in WPCode. Ha uno snippet integrato che puoi utilizzare per disabilitare l'API.
Nascondi la versione di WordPress
Questo è un passaggio spesso trascurato quando si parla di sicurezza di WordPress, ma importante. Per impostazione predefinita, WordPress lascia un'impronta nel codice del tuo sito che mostra quale versione è installata. Questo potrebbe sembrare innocuo, ma accedendo al codice sorgente del sito Web, gli hacker possono determinare quale versione di WordPress stai utilizzando. Se è obsoleto, possono utilizzare tali informazioni per hackerare il tuo sito iniettando malware o script dannosi.
Quindi, come misura di sicurezza aggiuntiva per WordPress, nascondi la versione di WordPress del tuo sito per rendere più difficile per gli hacker assumere il controllo del tuo sito. Ci sono buoni modi per farlo. Puoi implementare un plug-in di frammenti di codice che rimuoverà la riga nel codice sorgente o creare un tema figlio e inserirlo nel tuo file functions.php.
function elegantthemes_remove_version() { return ''; } add_filter('the_generator', 'elegantthemes_remove_version');
In alternativa, se desideri rimuovere la versione WP nel meta tag, nelle stringhe di query del database e nei feed RSS, utilizza questo codice:
/* Hide WP version strings from scripts and styles * @return {string} $src * @filter script_loader_src * @filter style_loader_src */ function elegantthemes_remove_wp_version_strings( $src ) { global $wp_version; parse_str(parse_url($src, PHP_URL_QUERY), $query); if ( !empty($query['ver']) && $query['ver'] === $wp_version ) { $src = remove_query_arg('ver', $src); } return $src; } add_filter( 'script_loader_src', 'elegantthemes_remove_wp_version_strings' ); add_filter( 'style_loader_src', 'elegantthemes_remove_wp_version_strings' ); /* Hide WP version strings from generator meta tag */ function wordpress_remove_version() { return ''; } add_filter('the_generator', 'elegantthemes_remove_version');
Cosa fare se il tuo sito Web WordPress è stato violato
Anche se fai tutto bene, potresti trovarti in una situazione in cui il tuo sito web è stato violato. Per fortuna, ci sono passaggi che puoi eseguire, tra cui mettere il tuo sito in modalità di ripristino, ripristinare dal backup più recente o reimpostare le password. Se tutto il resto fallisce, il tuo provider di hosting potrebbe essere in grado di aiutarti.
Considerazioni finali sulla sicurezza di WordPress
Adottando le misure necessarie per aumentare la sicurezza di WordPress, puoi assicurarti che il tuo sito continui a funzionare normalmente pur essendo sicuro per i tuoi visitatori. Sebbene WordPress offra enormi vantaggi e facilità d'uso, è importante comprenderne i difetti. Per fortuna, ci sono un certo numero di plugin di sicurezza di WordPress come iThemes che possono aiutare a mantenere le cose sotto controllo.
Cerchi maggiori informazioni su WordPress? Dai un'occhiata ad alcuni dei nostri articoli approfonditi che ti trasformeranno in un esperto di WordPress in pochissimo tempo:
- Come installare WordPress: la guida definitiva
- 10 migliori opzioni di hosting WordPress nel 2023 (scelte con cura)
- 31 migliori plugin per WordPress nel 2023 (tutto ciò di cui hai bisogno)
- 10 migliori temi WordPress nel 2023 (confrontati e classificati)
Immagine in primo piano tramite Pikovit / shutterstock.com