Una guida pratica alla sicurezza di WordPress

Con l’aumento delle violazioni della sicurezza Web, è fondamentale adottare misure preventive per proteggere il tuo sito Web dagli intrusi. Quindi, se hai un sito WordPress, continua a leggere. Ti forniremo numerosi suggerimenti e strumenti che puoi utilizzare per rendere il tuo sito Web WordPress sicuro e protetto.


“Non può succedere al mio sito!” Questo è il pensiero generale che molti di noi hanno quando sentiamo che un hacker ha violato la sicurezza di un sito.

Forse, la persona con il sito Web compromesso crede di aver fatto qualcosa di terribilmente sbagliato per perdere informazioni vitali. Forse la persona ha commesso il terribile errore di dare per scontata la sicurezza del suo sito web.

Potresti sentirti al sicuro usando un CMS e una piattaforma di blog molto popolari come WordPress per il tuo sito. Tuttavia, farai bene a notare che l’immensa popolarità globale di WordPress è uno dei motivi principali per cui gli hacker prendono di mira i siti basati su questa piattaforma.

WordPress è una piattaforma altamente user-friendly e questo lo rende ancora più vulnerabile agli attacchi di hacker e spammer. Fin dall’inizio, dovresti fare della sicurezza una priorità assoluta per il tuo sito web insieme all’hosting e al web design.

Ecco uno studio approfondito sulle varie misure che devi adottare per migliorare la sicurezza del tuo sito WordPress. Vedremo anche i migliori suggerimenti per proteggere un sito WordPress, i migliori plug-in di sicurezza di WordPress e gli strumenti di test.

È necessario rendersi conto che nessun sito Web può mai essere sicuro al 100 percento e anche le informazioni condivise qui non renderanno il tuo sito totalmente sicuro. L’obiettivo finale è aiutarti a prendere tutte le precauzioni necessarie per proteggere il tuo sito Web WordPress dalla maggior parte degli attacchi.

Nozioni di base sulla sicurezza Web

Potresti pensare che sia altamente improbabile che il tuo sito venga violato in futuro perché non ha mai affrontato problemi di sicurezza in passato relativi a malware, codice dannoso o persino commenti spam.

Ma una delle cose più fondamentali da ricordare sulla sicurezza Web è che devi rimanere attivo e non reattivo. Ciò significa che dovresti prendere alcune misure precauzionali fin dall’inizio, piuttosto che credere che qualcuno non possa hackerare il tuo sito e lavorare per migliorarne la sicurezza.

Inoltre, prima di saltare ai passaggi per la sicurezza di WordPress, è necessario rendersi conto dell’importanza di disporre di questa sicurezza.

Molte persone visitano il tuo sito web. Alcuni di essi possono iscriversi alle newsletter del tuo sito e alcuni possono registrarsi come membri dei forum del tuo sito. I dati condivisi dai tuoi visitatori sono anche vulnerabili agli attacchi se il tuo sito viene violato. Pertanto, è tua responsabilità garantire la sicurezza dei dati del tuo sito Web, che a sua volta proteggerà i dati dei tuoi visitatori.

Se il tuo sito WordPress attira poco traffico, potresti obiettare che non c’è motivo per un hacker di attaccare il tuo sito quando ci sono migliaia di altri siti Web più popolari disponibili online. In tal caso, probabilmente è tempo che tu capisca i motivi per cui un hacker può tentare di violare il tuo sito web.

Gli hacker non si preoccupano se il tuo sito attira solo pochi visitatori perché, una volta ottenuto l’accesso al tuo sito, possono utilizzare il tuo server per inviare email di spam. Lo fanno per aiutarli a commercializzare i loro servizi, prodotti o siti.
Con un aumento di questo tipo di attività di spamming dal tuo server compromesso, le possibilità che il tuo indirizzo IP venga inserito nella lista nera aumentano immensamente. In alternativa, gli hacker potrebbero preferire l’uso del server per le proprie attività sul sito Web poiché i loro indirizzi IP sono già nella lista nera.

Oltre a comprendere le ragioni dell’hacking, devi anche capire i diversi modi in cui un hacker o uno spammer può attaccare il tuo sito web. Ciò ti aiuterà ulteriormente a pianificare le attività del tuo sito in modo tale che il tuo sito diminuisca vulnerabile alle minacce alla sicurezza.

Possono attaccare attraverso qualsiasi plugin o tema di WordPress. In effetti, ci sono casi in cui i problemi con un plug-in di sicurezza hanno consentito agli hacker di attaccare un sito Web che utilizzava il plug-in. Inoltre, gli hacker possono sfruttare qualsiasi vulnerabilità di sicurezza sulla piattaforma di hosting e utilizzare qualsiasi parametro URL per accedere al database.

In questo modo, possono modificare i tuoi dati, cambiare la tua password o persino eliminare i dati. È sorprendente sapere che molti attacchi si verificano anche a causa di una password debole per accedere al pannello di amministrazione di WordPress o anche per accedere al pannello di controllo dell’hosting.

Avendo sviluppato una conoscenza di base della necessità di rendere sicuro il tuo sito WordPress, ora puoi leggere ulteriormente per scoprire come puoi aumentare la sicurezza del tuo sito Web.

9 consigli di sicurezza per proteggere il tuo sito WordPress dagli hacker

Tieni aggiornato il tuo sito WordPress

Se continui a ritardare l’aggiornamento del tuo sito WordPress perché temi di perdere i dati a causa di un aggiornamento errato, devi immediatamente iniziare a fare i backup. Una volta effettuato il backup del tuo sito, puoi facilmente andare avanti e aggiornare la tua versione di WordPress alla più recente. Devi farlo perché WP corregge i bug di sicurezza della versione precedente con ogni nuova versione che diventa disponibile.

Inoltre, le informazioni WordPress informano il pubblico su queste correzioni, il che rende il tuo sito obsoleto ancora più vulnerabile. Quindi, prendi l’abitudine di utilizzare regolarmente l’opzione “Aggiorna disponibile” una volta effettuato l’accesso alla dashboard di amministrazione di WordPress.

Aggiorna temi e plugin che usi ed elimina quelli inutilizzati

Devi mantenere il tuo Plugin di WordPress e temi aggiornati per gli stessi motivi per cui è necessario aggiornare la versione generale di WordPress. Un hacker può facilmente manipolare un plug-in o un tema obsoleto (attraverso falle di sicurezza) per ottenere l’accesso all’amministratore del tuo sito web.

Quindi, non preoccuparti della compatibilità del tuo plug-in con il tuo tema attuale, ma assicurati di utilizzare sempre le ultime versioni di entrambi.

Lungo linee simili, assicurati che la sezione del tuo plugin nella dashboard di amministrazione di WordPress contenga solo quei plugin che usi. Elimina quelli che non usi perché hai meno probabilità di aggiornare tali plugin e questo aumenta ancora la loro vulnerabilità agli attacchi alla sicurezza.

Tieni presente che è importante “eliminare” i plug-in non utilizzati e non solo “disattivarli”.

Evita di scaricare temi o plugin da fonti sconosciute

Potresti essere tentato di scaricare gratuitamente alcuni plugin o temi premium anche se provengono da fonti sconosciute.

Mentre potresti sentirti elettrizzato all’idea di ottenere funzionalità avanzate a costo zero, potresti dimenticare di prestare attenzione alla minaccia alla sicurezza che queste funzionalità possono comportare. Un plugin da una fonte sconosciuta può introdurre malware o inserire codice dannoso nel tuo sito. Invece di correre un rischio così grande, è sempre consigliabile scaricare solo temi e plugin da fonti ben note.

Puoi utilizzare Plugin-Check o Theme-Check per controllare rispettivamente il codice dei tuoi plug-in e temi. Un codice scritto male può facilitare agli hacker l’accesso al tuo sito web.

Se non sei completamente sicuro della fonte e non sai come controllare la qualità del codice, puoi semplicemente optare per i design gratuiti di WordPress dalla piattaforma WordPress.org.

Avere un nome utente e una password di amministratore WordPress forti

Per creare il tuo sito utilizzando la piattaforma WordPress, accedi alla dashboard back-end. Per impostazione predefinita, WP genera un nome utente (admin) e una password complessa per accedere a questo pannello di amministrazione durante l’installazione di WordPress. Ma, dopo l’installazione, è necessario modificare il nome utente dell’amministratore di WordPress in qualcosa di unico per te.

Oltre a ciò, devi ricordare di cambiare la password in qualcosa che è sconosciuto alle persone che ti circondano o ai visitatori del tuo sito web. Ad esempio, se il tuo sito rivela la tua data di nascita o il nome del coniuge, assicurati che la password non contenga neanche. Questo rende difficile per qualsiasi hacker indovinare la tua password. Dovresti anche conservare una password sicura per l’account del tuo pannello di controllo.

Inoltre, puoi provare ad aggiungere un CAPTCHA alla tua pagina di accesso di WordPress per aumentare ulteriormente la sicurezza del tuo sito. Ciò assicurerà che un bot o uno script non possano accedere al tuo sito Web attraverso un attacco di forza bruta.

Aggiungi un’autenticazione di sicurezza WordPress in due passaggi

Quante password manterrò e continuerò ad aggiornare regolarmente? Potresti avere questa domanda relativa al mantenimento di password complesse per vari punti di accesso al tuo pannello WordPress o pannello di controllo.

Bene, puoi goderti un accesso senza password al tuo pannello WordPress usando qualcosa come il Plugin di autenticazione a due fattori Clef. Con questo plugin, puoi utilizzare il tuo telefono cellulare per autenticare il tuo accesso sicuro alla dashboard di amministrazione di WordPress insieme a un PIN o un’impronta digitale. Pertanto, anche se il telefono viene perso, i dettagli dell’account Clef rimangono al sicuro.

Oppure puoi usare il Google Authenticator per garantire un’autenticazione in due passaggi. Con questo, è necessario utilizzare la password e inserire un codice di accesso generato in modo univoco che viene fornito come SMS sul telefono.

Cerca una società di hosting sicura

Avere l’ultima versione del sito WordPress non importa se l’hacker può decifrare la vecchia versione PHP della piattaforma che ospita il tuo sito. Pertanto, è necessario utilizzare i servizi di hosting di un provider di hosting Web estremamente affidabile.

Il tuo host dovrebbe avere la possibilità di estendere il supporto per le ultime versioni di MySQL e PHP. Dovrebbe inoltre disporre di un efficiente sistema di rilevamento delle intrusioni per identificare eventuali attacchi in tempo e offrire al tuo sito un firewall per applicazioni Web per una maggiore sicurezza.

Limitare il numero di tentativi di accesso

Gli hacker usano attacchi di forza bruta per decifrare la password utilizzata per accedere al pannello di WordPress. Tentano continuamente tentativi di accesso casuali fino a quando non riescono.

Anche se la tua password è forte, aiuta a identificare tali quantità irragionevoli di tentativi di accesso e limitare gli indirizzi IP che effettuano questi tentativi. È quindi possibile vietare tali indirizzi IP per un periodo definito. Puoi farlo usando plugin come Blocco accesso o Soluzione di sicurezza di accesso.

Pianifica backup frequenti del tuo sito web

Questo è un passo importante poiché ti aiuta anche quando qualcuno hackera o compromette il tuo sito. Quando qualcuno hackera il tuo sito, puoi facilmente tornare alla versione precedente del tuo sito Web che non è stata compromessa. È inoltre possibile utilizzare una delle soluzioni automatizzate per i backup, ad esempio VaultPress o BackupBuddy.

Mantieni il tuo spazio di amministrazione di WordPress ben protetto

Solo un numero selezionato di persone deve avere accesso alla dashboard dell’amministratore. Inoltre, ove possibile, prova a limitare l’autorizzazione a coloro che accedono alla dashboard. Ciò ti aiuterà a ridurre la minaccia di attacchi da fonti sconosciute.
Devi anche assicurarti che altri abbiano un accesso limitato o nullo alla cartella WordPress / wp-admin / o al file wp-login.php. Puoi consentire l’accesso al tuo indirizzo IP aggiungendo la seguente parte di codice nel file .htaccess:

l’ordine nega, consenti
Negato da tutti
Consenti da zz.zz.zz.zz

Nel codice sopra, devi semplicemente sostituire “zz.zz.zz.zz” con il tuo set di indirizzi IP per posizioni o dispositivi diversi.

Se non gestisci indirizzi IP statici, questo metodo potrebbe non funzionare per te. In tali casi, è possibile utilizzare i plug-in discussi sopra per limitare i tentativi di accesso.

Plugin di sicurezza di WordPress per rilevare codice dannoso sul tuo sito

Se un hacker attacca il tuo sito, ti aiuterà a limitare il danno o ad agire tempestivamente se ne venissi a conoscenza immediatamente. Quindi, diamo un’occhiata ad alcuni dei migliori plugin di sicurezza di WordPress in grado di rilevare il codice dannoso inserito nel tuo sito web.

WP AntiVirus Site Protection

Questo popolare plugin, offerto da SiteGuarding.com, aiuta a rilevare e rimuovere eventuali virus o codici dannosi trovati sul tuo sito WordPress. Esegue la scansione di elementi come i file dei plug-in, i file dei temi e tutti i caricamenti per rilevare rapidamente minacce alla sicurezza, tra cui backdoor, adware, spyware, rootkit, worm, trojan e strumenti antifrode.

Se continui a scaricare temi e plugin da siti torrent (invece di acquistare le copie originali dagli sviluppatori), devi avere questo tipo di plugin per una migliore sicurezza.

Sicurezza di Wordfence

Questo plug-in offre sicurezza gratuita di livello aziendale proteggendo il tuo sito da malware e potenziali hack. Verifica se il tuo sito ha già un’infezione e esegue una scansione approfondita sul lato server del codice sorgente del tuo sito.
Confronta il codice con il repository ufficiale di WordPress per plugin, core e temi. Non solo protegge il tuo sito Web dalla maggior parte delle minacce, ma lo rende anche 50 volte più veloce di prima.

Wordfence consente inoltre il blocco in tempo reale di attacchi noti. Ciò significa che se un hacker attacca questo plugin in un altro sito, anche quell’hacker viene bloccato automaticamente dal tuo sito.

Può bloccare un’intera rete di indirizzi IP dannosi quando esiste una minaccia di codici dannosi inseriti nel tuo sito. Aiuta inoltre a bloccare le minacce sotto forma di scraper, crawler e bot identificati durante le scansioni di sicurezza. Esegue inoltre la ricerca di trojan, codice sospetto, backdoor, URL di phishing, malware, vulnerabilità di HeartBleed e così via.

Se sei un utente premium, puoi anche bloccare i Paesi e puoi pianificare spesso scansioni per periodi specifici.

Exploit Scanner

Exploit Scanner è sempre alla ricerca di qualcosa di sospetto nei file e nel database del tuo sito WordPress, inclusi post e tabelle di commenti.

Esegue inoltre la scansione dei plug-in utilizzati per nomi di file fuorvianti o insoliti. Se trova codice o file dannoso, questo plugin fornisce un rapporto dettagliato all’amministratore del sito e lo lascia a lui o lei per rimuovere il codice dannoso.

Sucuri Security

Si tratta di un set completo di strumenti di sicurezza da utilizzare per il rilevamento di malware, protezione avanzata e monitoraggio dell’integrità della sicurezza. È un ottimo supporto per le funzionalità di sicurezza del tuo sito esistente.

Alcune funzioni chiave di questo plug-in includono il monitoraggio dell’integrità dei file, il monitoraggio della blacklist, il controllo delle attività di sicurezza, la scansione del malware remoto, il rafforzamento della sicurezza e le azioni di sicurezza intraprese dopo l’hacking, le notifiche di sicurezza e il firewall del sito Web.

Come scansionare il tuo sito WordPress per malware nascosto?

Poiché WordPress è una piattaforma open source, è facilmente suscettibile alle infezioni da malware o iniezioni da parte di hacker. Alcuni dei modi più comuni in cui gli hacker possono iniettare malware nel tuo sito includono:

  • Pharma Hacks (iniezioni di spam nel database o nei file)
  • Phishing (acquisizione di informazioni riservate, come indirizzi e-mail, password e nomi utente)
  • Reindirizzamenti dannosi (reindirizzamento dei visitatori del tuo sito a un’altra pagina del sito in cui è presente un file infetto scaricato o un codice dannoso)
  • Iniezioni di file e database (aggiunta di codice dannoso nel database o nei file del tuo sito)
  • Backdoor (ottenere l’accesso all’area di amministrazione o all’account FTP)
  • Tutti gli hacker vogliono assicurarsi che il proprietario del sito non apprenda di aver violato il suo sito. Ciò consente agli hacker di infettare i visitatori del sito attraverso lo spamming continuo per un periodo più lungo.

Quindi, il tuo obiettivo è quello di continuare a cercare eventuali malware nascosti sul tuo sito che non conosci e di eliminare i file o le cartelle infetti.

Puoi farlo usando i popolari plugin di WordPress per la scansione di malware come quelli elencati di seguito:

Usa il Scanner Sucuri SiteCheck per cercare potenziali malware. Basta andare sul sito Qui e inserisci l’URL del tuo sito web. Questo scanner gratuito eseguirà una scansione completa del tuo sito alla ricerca di malware, errori del sito Web, stato della lista nera e software obsoleto.

L’unico svantaggio è che è necessario eseguire questa scansione manualmente con la versione gratuita. Puoi eseguire l’upgrade ai piani premium e ricevere avvisi via Twitter, e-mail o RSS, ogni volta che rileva malware.

Rimuovi il tuo sito Web da qualsiasi lista nera se un hacker ha utilizzato il tuo server per molto tempo. I servizi premium aiutano anche a rimuovere il malware. Puoi persino provare il plug-in di sicurezza Sucuri precedentemente discusso per una migliore protezione da malware.

Usa il Scanner anti-malware per cercare malware, virus, backdoor e minacce conosciute simili e rimuoverli automaticamente. Una caratteristica chiave di questo plug-in è correggere la tua pagina wp-login.php per fermare gli attacchi di forza bruta.

Inoltre, puoi utilizzare uno qualsiasi dei plug-in di sicurezza di WordPress discussi sopra per identificare il codice dannoso.

Strumenti di test della sicurezza dei siti Web

Al fine di proteggere il tuo sito Web dagli attacchi, devi ottenere costantemente il livello di sicurezza del tuo sito testato utilizzando alcuni strumenti di test come:

Wapiti individua le vulnerabilità (divulgazione di file, iniezione di database, iniezione di script tra siti, configurazioni .htaccess deboli e altro) sul tuo sito web. Questo strumento utilizza l’approccio di scansione della scatola nera.

Ciò significa che non studia il codice sorgente dell’applicazione ma verifica la presenza di moduli e script nelle pagine Web in cui è possibile immettere dati. Inietta payload per identificare gli script vulnerabili. Fornisce report in vari formati, come HTML, XML, testo e JSON.

Google Nogotofail verifica il traffico di rete di un sito per rilevare e correggere connessioni TLS o SSL deboli e traffico di testo in chiaro sensibile su vari dispositivi. Puoi anche configurarlo come server VPN o server proxy o persino come router.

Puoi provare lo scanner e il tester open source di nome Vega. Questa piattaforma basata su GUI è in Java e funziona con piattaforme OS X, Windows e Linux. Consiste in un proxy intercettante per eseguire l’ispezione tattica e uno scanner automatizzato per eseguire test rapidi.

Questo strumento può essere utilizzato per identificare script tra siti (XSS), iniezione SQL e vulnerabilità simili.
Ci auguriamo che questi suggerimenti e informazioni sulla sicurezza di WordPress ti aiuteranno a migliorare la sicurezza del tuo sito in larga misura.

Hai già provato alcuni plugin o metodi che aumentano considerevolmente la sicurezza del tuo sito Web WordPress? Condividi la tua esperienza e continua a diffondere la consapevolezza dell’importanza della sicurezza del sito Web nella tua rete.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map