10 chiavi potenti per proteggere il tuo sito Web WordPress nel 2023

Troppo spesso, i proprietari di siti Web WordPress scoprono che i loro siti sono stati compromessi. Data la sua popolarità come CMS, WordPress è la piattaforma più presa di mira dagli hacker e, di conseguenza, ottiene una brutta reputazione in quanto insicuro.

Ma non è proprio così.

La natura open source di WordPress significa che chiunque può usarlo e la grande maggioranza di coloro che lo utilizzano non sono esperti nelle pratiche di sicurezza informatica di base. Questo è ciò che crea l'illusione che WordPress sia in qualche modo meno sicuro di altre opzioni di creazione di siti Web.

Le persone che utilizzano solide pratiche di sicurezza raramente hanno problemi con i siti che vengono violati. Quindi cosa rende sicuro un sito Web WordPress?

 

Protezione del tuo sito Web WordPress

Ecco 10 cose da tenere a mente quando si tratta di proteggere il tuo sito Web WordPress.

 

Usa un host sicuro

Se non esci con nient'altro da questo post, almeno presta attenzione a questo. Il tuo sito Web WordPress è sicuro solo quanto il server su cui vive.

La maggior parte dei siti Web WordPress sono basati su hosting condiviso, il che significa che il tuo sito vive sullo stesso server dei siti Web di altri clienti. Scegli una società di hosting che ingabbia correttamente le autorizzazioni dell'account sui propri server.

Check this out: I migliori servizi di hosting WordPress a confronto

Non è raro che un sito Web compromesso infetti altri sullo stesso server. Se scegli un host in cui le autorizzazioni sono adeguatamente separate per ciascun account, il rischio di contaminazione tra siti è ridotto al minimo.

Contrariamente all'opinione popolare, VPS Hosting è anche suscettibile alla propagazione del malware. Gli attacchi VMescape, in cui il malware utilizza le vulnerabilità nelle piattaforme di virtualizzazione, possono consentire al malware di sfuggire a un VPS e passare a un altro VPS che risieda sullo stesso hardware fisico.

Gli host sicuri avranno anche altre mitigazioni in atto. Questi includono l'utilizzo della sicurezza mod nella configurazione del server Web, pacchetti anti-malware come Imunify360 e protezione DDoS per evitare che i siti vengano sopraffatti dai bot.

 

Mantieni aggiornati core, temi e plugin

La maggior parte dei siti WordPress viene violata perché il codice è scaduto. Non è un'opinione, è un fatto documentato.

I ricercatori di sicurezza che eseguono analisi forensi su migliaia di siti Web WordPress compromessi hanno determinato senza dubbio che i plugin e i temi non aggiornati sono responsabili di oltre l'80% di essi.

Immagina, semplicemente mantenendo aggiornati i tuoi temi e plugin, potresti eliminare l'80% delle possibilità che il tuo sito venga compromesso. Ora, questa è una chiave per proteggere WordPress che vale la pena prendere in considerazione.

 

Abilita autenticazione a 2 fattori

Mentre i temi e i plug-in obsoleti sono responsabili della grande maggioranza dei siti Web WordPress compromessi, gli attacchi di forza bruta a nomi utente e password sono i metodi più comuni tentati per ottenere l'accesso non autorizzato ai siti Web.

Sebbene la percentuale di successo sia generalmente bassa, circa l'8% dei siti Web compromessi è stato violato semplicemente indovinando la password di un utente.

Un modo per proteggere il tuo sito Web è abilitare l'autenticazione a 2 fattori (2FA). Oltre al tuo nome utente e password, 2FA ti richiederà di inviare anche un passcode monouso dal tuo dispositivo mobile o da un messaggio e-mail.

Se un hacker ha il tuo nome utente e password per il tuo sito Web, ma non ha il tuo telefono o l'accesso alla tua e-mail, non sarà in grado di accedere.

Esistono diversi plug-in che aggiungono l'autenticazione a 2 fattori al tuo sito Web e molti plug-in di sicurezza completi di cui parleremo nella prossima sezione lo aggiungono anche come parte delle numerose funzionalità che includono.

 

Installa un plugin di sicurezza

Ci sono persone che dicono che tutta la sicurezza dovrebbe essere eseguita dal tuo host, ma nel mondo della sicurezza informatica crediamo che la sicurezza avvenga a strati. Avere un plugin di sicurezza sul tuo WordPress il sito Web è solo un altro di quei livelli.

Quando si tratta di plug-in di sicurezza, ci sono una varietà tra cui scegliere. Ecco alcuni dei plugin di sicurezza più popolari. Dovresti provarli e vedere quale si adatta meglio alle tue esigenze.

 

Wordfence

Anche se questo post non spiega quale plug-in di sicurezza è il migliore, il più popolare lo è Wordfence – e ci sono ottime ragioni per questo.

Per uno, Wordfence è un'azienda dedicata alla sicurezza in quanto la sicurezza è tutto ciò che fanno. Non sono alcuni sviluppatori di plugin per WordPress che hanno un plugin di sicurezza nel loro portafoglio, vivono e respirano sicurezza.

Il plug-in Wordfence viene fornito con un firewall per applicazioni Web gratuito che controlla ogni richiesta rispetto a un elenco di exploit noti e li blocca se trova una corrispondenza. Hanno anche uno scanner di malware che cerca segni rivelatori di attività e file dannosi. Un'altra grande caratteristica è la possibilità per lo scanner di controllare tutti i tuoi temi e file di plugin rispetto a quelli nel repository di WordPress.org per assicurarsi che corrispondano.

Wordfence registra tutte le attività relative alla sicurezza per impostazione predefinita in modo che tu possa esaminarle e assicurarti che il tuo sito sia sicuro.

Un'altra caratteristica interessante di Wordfence è che hanno un modulo di autenticazione a 2 fattori in modo da poter eliminare la raccomandazione n. 3 in questo post. Nella stessa linea di protezione, hanno anche una protezione dalla forza bruta per bloccare gli indirizzi IP che tentano di accedere più volte, fermando efficacemente i bot nelle loro tracce.

 

Sucuri

Sucuri è un altro ottimo plugin di sicurezza che può aiutare a proteggere il tuo sito Web WordPress. Ha molte delle stesse fantastiche funzionalità offerte da Wordfence con una notevole eccezione: non esiste un firewall gratuito, è disponibile solo su un piano premium a pagamento.

Una nota importante su Sucuri è che il plug-in è stato recentemente acquistato da GoDaddy, quindi la loro capacità di supportarlo correttamente deve ancora essere dimostrata. Nei circoli di web hosting, GoDaddy non è considerato favorevolmente, quindi solo il tempo dirà se quella reputazione si estenderà a Sucuri o se saranno in grado di affrontare la sfida.

Sucuri ha anche un registro di controllo in modo da poter rivedere le attività relative alla sicurezza sul tuo sito Web come accessi non riusciti.

 

All in One WP Security & Firewall

All in One WP Security & Firewall è l'unico plugin che si avvicina alla popolarità di Wordfence. Offre molti degli stessi vantaggi tra cui un firewall gratuito basato su regole .htaccess, protezione dalla forza bruta e uno scanner di sicurezza.

Una cosa che non include è un modulo di autenticazione a 2 fattori, quindi dovrai aggiungere un plug-in autonomo per quella funzionalità.

Si potrebbe sostenere che All in One WP Security & Firewall fornisce effettivamente il firewall più robusto di tutti i plug-in di sicurezza. Poiché il firewall è basato su .htaccess, viene elaborato prima dell'esecuzione di qualsiasi script, il che lo rende molto affidabile.

All in One WP Security & Firewall include anche una simpatica funzionalità per aiutare a proteggere dallo spam automatizzato nei commenti. In alternativa, puoi sostituire il sistema di commenti predefinito di WordPress con Deeper Commenti per funzionalità e protezione aggiuntive.

 

Usa Cloudflare

Cloudflare ha guadagnato popolarità tra gli utenti di WordPress grazie al loro eccellente (e gratuito) servizio CDN che aiuta a velocizzare il tuo sito web. Ma Cloudflare offre anche una serie di strumenti gratuiti che aiutano a rafforzare il tuo sito contro gli attacchi.

Per uno, quando punti i tuoi server dei nomi su Cloudflare, ottieni il vantaggio di uno dei servizi DNS più veloci e sicuri disponibili e certificati SSL gratuiti.

I server di Cloudflare controllano tutto il traffico prima che arrivi al tuo server per attacchi DDoS e il loro firewall è altamente configurabile anche nella versione gratuita (con un numero limitato di regole) che ti permette di filtrare il traffico in base al Paese, all'ASN o anche al URL o stringa di query.

Ad esempio, se accedi al tuo sito Web solo da un singolo indirizzo IP o da un numero limitato di indirizzi IP fissi, potresti creare una regola in Cloudflare che blocchi tutti gli altri IP anche dall'accesso a wp-admin o wp-login.php . Ciò bloccherebbe tutti i robot che cercano di eseguire quegli attacchi di forza bruta di cui abbiamo parlato nella sezione 3. Puoi anche limita l'accesso a wp-admin usando il tuo file .htaccess invece di Cloudflare. Puoi implementare entrambi se desideri più livelli di protezione (altamente consigliato).

 

Non utilizzare temi o plugin annullati

Vuoi quel tema premium ma non vuoi pagarlo? Bene, se lo ottieni da uno di quei siti imprecisi che offre temi e plug-in annullati, puoi ottenerlo gratuitamente. Ma c'è ancora un prezzo...

Quando utilizzi un tema o un plug-in annullato, perdi la garanzia che il prodotto sia uguale a quello offerto dal fornitore ufficiale. Ciò significa che perdi l'integrità del codice.

I temi e i plug-in annullati sono una fonte significativa di malware perché a volte chi ha annullato il plug-in, ha aggiunto il proprio malware per impossessarsi del tuo sito o eseguire altre azioni dannose come rubare le tue risorse per il mining di criptovalute.

I temi e i plug-in annullati sono il malware che installi volontariamente sul tuo sito Web senza nemmeno accorgertene. Solo per risparmiare qualche soldo? Non ne vale la pena. Se hai bisogno di una funzione premium, paga per essa uno sviluppatore rispettabile.

 

Disabilita la modifica dei file

La dashboard di amministrazione di WordPress ha un editor integrato molto conveniente che ti consente di modificare i contenuti del tuo tema e dei file del plug-in. Sfortunatamente, questo editor rende anche conveniente per gli hacker modificare il codice del tuo sito web se capita di entrare nel tuo account.

La realtà è che ci sei quasi mai utilizzerà questa funzionalità. Se modifichi un file principale, probabilmente lo farai direttamente tramite il file manager del tuo host o utilizzando un client FTP.

Puoi disabilitare la possibilità di modificare i file dalla dashboard di amministrazione aggiungendo questa riga al tuo file wp-config.php:

define('DISALLOW_FILE_EDIT', true);

Dopo aver aggiunto questa riga, i menu di modifica non sono più disponibili per i file di plugin e temi nella dashboard di amministrazione di WordPress.

 

Sposta e rinomina il tuo file wp-config.php

Mentre stiamo parlando del file wp-config.php, molte persone sanno già che puoi spostare il file wp-config.php su una directory dalla tua installazione di WordPress e il tuo sito funzionerà perfettamente. Ma facciamo un passo avanti.

Sapevi che puoi effettivamente rinominare il file wp-config.php come vuoi e spostarlo completamente dall'installazione di WordPress in una cartella non pubblica? Ci vuole un po' più di lavoro da fare, ma ne vale la pena.

Mentre il file stesso generalmente restituisce una pagina vuota quando viene chiamato in un browser web, in rari casi quando il gestore PHP non riesce, l'intero contenuto del file potrebbe essere visibile come testo normale direttamente in un browser web.

Il file wp-config.php contiene informazioni sensibili sul tuo sito Web, inclusi nome utente e password del database. Queste informazioni nelle mani sbagliate potrebbero essere catastrofiche. Rinominare il file in qualcosa di casuale aiuta a nasconderlo da bot e hacker.

By spostare wp-config.php in una cartella non pubblica, elimini la possibilità per qualcuno di ottenere le informazioni tramite un browser durante un errore del gestore PHP.

 

Attività di audit sul tuo sito

Se non tieni traccia di ciò che sta accadendo sul tuo sito Web, potresti perdere informazioni chiave che potrebbero avvisarti di tentativi di attività dannose o persino scoprire attività dannose se il tuo sito è già stato compromesso.

Oltre ai vantaggi in termini di sicurezza, se hai un sito con più utenti, avere un buon plug-in di controllo può anche aiutarti a monitorare le attività legittime. Come agenzia, è un ottimo strumento per sapere se il tuo cliente potrebbe aver sbagliato qualcosa anche se dice di non averlo fatto!

Ci sono molti buoni plugin per controllare l'attività del sito. Alcuni dei plug-in di sicurezza menzionati in precedenza hanno un certo livello di capacità di registrazione dell'audit, ma quelli seguenti lo portano al livello successivo controllando tutte le attività dell'utente piuttosto che solo gli eventi relativi alla sicurezza. Ecco i primi 3.

 

Cronologia semplice: registro attività utente, strumento di controllo

Storia semplice è il plugin più popolare per l'auditing ed è ottimo per iniziare a testare. Registra tutte le cose che ti aspetteresti come aggiornamenti dei contenuti, installazioni e attivazioni di plug-in e praticamente qualsiasi altro tipo di attività dell'utente.

Il plug-in ha una valutazione a 5 stelle e il team di sviluppatori è piuttosto attivo nei forum di supporto e risponde regolarmente alle domande di supporto in un lasso di tempo ragionevole.

 

Registro attività WP

I Registro attività WP plug-in è un'altra grande opzione da utilizzare per il tuo sito. Ha alcune opzioni più configurabili rispetto al plug-in precedente, come la possibilità di abilitare e disabilitare il controllo di determinati eventi e un periodo di conservazione configurabile per la registrazione. Ha anche un sacco di componenti aggiuntivi per estendere il monitoraggio a plugin speciali come WooCommerce e WPForms.

Il plug-in ha una valutazione di 4.5 stelle e lo sviluppatore principale risponde personalmente a quasi ogni singola domanda del forum di supporto.

Se gestisci un'agenzia, WP Activity Log si integra bene con il popolare strumento di gestione MainWP in modo da poter visualizzare i registri di controllo di tutti i siti dei tuoi clienti in un'unica interfaccia. Tra le agenzie, WP Activity Log è la scelta n. 1 per la registrazione degli audit.

 

Registro attività

Un'altra opzione popolare con una valutazione di 4.5 stelle. Registro attività cattura tutto ciò che ti aspetteresti e ha un buon numero di installazioni attive.

Sfortunatamente, lo sviluppatore non risponde spesso alle richieste di supporto nei forum con la maggior parte delle domande di supporto senza risposta a tempo indeterminato.

 

Utilizzare il principio del privilegio minimo

Nel mondo della sicurezza informatica, il principio del privilegio minimo è un concetto in cui un utente ha solo i permessi necessari per svolgere il proprio lavoro.

Nel mondo di WordPress, non è raro vedere un'azienda con 10 utenti che sono tutti impostati su Administrator. Potrebbero esserci ragioni legittime per questo livello di accesso, ma è raro che siano necessari più di 1 o 2 account con un livello così alto di autorizzazioni.

Una cosa che non puoi controllare è cosa fanno i tuoi utenti quando non stanno eseguendo attivamente il lavoro sul tuo sito Web WordPress. Ciò significa che se non riescono a farlo proteggere i propri dati dagli hacker, ci sono buone probabilità che la sciatteria si riversi nel tuo sito web.

Limitando il loro accesso, sarai in grado di mitigare eventuali danni che un utente potrebbe fare involontariamente, come fare clic su un collegamento dannoso mentre sei ancora connesso al tuo sito web. Anche se sei l'amministratore del sito, dovresti utilizzare un account editor separato con autorizzazioni limitate quando non esegui attività amministrative di alto livello.

È noioso farlo? Sicuro. Ma è molto meno noioso che dover ripulire un sito Web infetto.

 

Bonus: esegui backup frequenti

Nel peggiore dei casi in cui il tuo sito è stato compromesso, a volte l'unica opzione è ripristinarlo da un backup pulito; uno che è stato preso prima dell'infezione. La maggior parte delle società di web hosting decenti eseguirà il backup del tuo sito una volta al giorno, ma di solito conservano questi backup solo per un paio di settimane.

Questo è problematico se hai un'infezione che è passata inosservata per un po'. Molte infezioni si nascondono efficacemente dagli amministratori che hanno effettuato l'accesso per evitare il rilevamento il più a lungo possibile.

Poiché ora sai che la sicurezza è la migliore a livelli, puoi applicare lo stesso concetto ai tuoi backup eseguendo i tuoi backup oltre al tuo host web.

Sono disponibili alcuni fantastici plugin di backup gratuiti, tra cui UpdraftPlus, BackWPupe Migrazione WP all-in-one. Ognuno ha i propri punti di forza e di debolezza, ma sono tutti molto affidabili e ti consentono di eseguire il backup del tuo sito più regolarmente. In alcuni casi, puoi persino eseguire automaticamente il backup su un archivio cloud remoto come Dropbox o OneDrive.

 

Considerazioni finali

La sicurezza di WordPress è una parte importante del possedere un sito web. Può anche essere un processo che richiede tempo e risorse se eseguito in modo errato o trascurato. Implementando le chiavi in ​​questo post, puoi impostare la maggior parte delle tue esigenze di sicurezza in automatico in modo da poterti concentrare su ciò che è importante: la tua attività.