WordPress in sicurezza

Una delle prime cose da fare se hai un blog è quello di pensare a proteggerlo, ti starai chiedendo perché e da cosa. Mettere WordPress in sicurezza è fondamentale, non bisogna mai abbassare il livello di allerta.

Ti stari chiedendo perché il tuo piccolo blog innocente di WordPress viene costantemente violato , lo so,  sembra assurdo, ma capita ogni giorno e chi gestisce un blog ne è consapevole.

Quindi, è meglio che tu prenda seriamente questo e metta in sicurezza maggiore il tuo sito Web, devi prestare attenzione alle migliori pratiche per rendere alti i livelli di security di WordPress.

Per proteggere il tuo sito Web da hacker e malware devi costantemente controllare alcune cose importanti, non puoi fare queste cose una volta ogni sei mesi, questo è il primo punto: 

AGGIORNARE COSTANTEMENTE

WordPress è un software open source che viene regolarmente mantenuto e aggiornato. Per impostazione predefinita, WordPress installa automaticamente aggiornamenti minori. Per le versioni principali, è necessario avviare manualmente l’aggiornamento.

WordPress include anche migliaia di plugin e temi che puoi installare sul tuo sito web. Questi plugin e temi sono gestiti da sviluppatori di terze parti che rilasciano regolarmente anche aggiornamenti.

Questi aggiornamenti di WordPress sono fondamentali per la sicurezza e la stabilità del tuo sito WordPress. Devi assicurarti che il core, i plugin e il tema di WordPress siano aggiornati. SEMPRE AGGIORNATI, segnalo sul calendario perché è importante. Insisterò più volte su questo punto.

Perché vengono Hackerati i siti WordPress?

I siti WordPress vengono costantemente violati per i tre principali motivi:

1. WordPress come piattaforma è molto famoso e attira molta attenzione in quanto presenta un ampio campo di siti Web da sfruttare.
2. Poiché WordPress è abbastanza accessibile e facile da configurare, gli hacker sono consapevoli del fatto che la maggior parte degli utenti in materia di sicurezza non è così esperta.
3. Un sito WordPress hackerato, può servire per reindirizzamenti del traffico, robot spam e gestione del codice in modo dannoso e fraudolento.

Un sito WordPress violato può causare seri danni alle entrate e alla reputazione della tua attività. Gli hacker possono rubare informazioni sugli utenti, password, installare software dannoso e persino distribuire malware ai tuoi utenti.

Peggio ancora, potresti ritrovarti a pagare ransomware agli hacker solo per riottenere l’accesso al tuo sito web.

Livelli base di sicurezza di WordPress

Ci sono più elementi a cui prestare attenzione, non basta caricare i plugin specifici, la manutenzione è necessariamente da fare in modo costante.

Aggiungilo alla tua to-do list e non dimenticartene.

Hosting

Il tuo servizio di hosting WordPress gioca il ruolo più importante nella sicurezza del tuo sito WordPress. Un buon provider di hosting condiviso come Bluehost o Siteground adotta misure extra per proteggere i propri server dalle minacce comuni.

Ecco come una buona società di web hosting lavora in background per proteggere i tuoi siti Web e dati:

• Monitorano continuamente la loro rete per attività sospette.Tutte le buone società di hosting dispongono di strumenti per prevenire attacchi DDOS su larga scala
• Mantengono aggiornati il software del server, le versioni php e l’hardware per impedire agli hacker di sfruttare una nota vulnerabilità di sicurezza in una vecchia versione.
• Sono pronti a implementare piani di ripristino di emergenza e incidenti che consentono loro di proteggere i dati in caso di incidente grave.

Aggiorna WordPress

Mantieni sempre aggiornato il tuo WordPress, ogni volta che esce una nuova versione di WordPress, aggiornala immediatamente, ogni volta. Ogni rilascio di nuove versioni è principalmente per motivi di sicurezza.

Aggiorna i plugin

Evita di utilizzare plug-in che non hanno una buona reputazione, utilizza solo plug-in con una reputazione consolidata di affidabilità e promesse. Ogni volta che viene rilasciata una nuova versione del plugin, assicurati di aggiornarla. Le vulnerabilità dei plug-in sono uno dei motivi più comuni per cui i siti WordPress vengono violati.

 I vecchi plugin vanno eliminati

Eventuali plugin inutilizzati non devono essere conservati, poiché fungono da potenziale cancello per lo sfruttamento del tuo sito web. Anche i vecchi plug-in non sono sicuri, se non sono supportati da nuovi aggiornamenti, trovane un altro equivalente che serva allo stesso scopo ma è supportato da nuove versioni di sicurezza e aggiornamenti.

Plugin anti-spam

Lo spamming è un problema di sicurezza di lunga durata, usa plug-in come Aksimet per prevenire problemi di spamming assicurati di mantenere aggiornati tali plugin.

Installa solo temi affidabili

Assicurati sempre di mantenere aggiornato il tema installato e le sue dipendenze dal plug-in. Come buona pratica di sicurezza, installa solo temi sviluppati da aziende rispettabili. Generalmente i temi premium sono leggermente più sicuri e hanno un migliore supporto per il backup quando si tratta di aggiornamenti e nuove versioni.

Evita i nomi utente comuni

Fai del tuo meglio per utilizzare parole non comuni per i nomi utente, evita di usare parole vagamente associate al tuo sito Web o alle tue informazioni pubbliche, non utilizzare mai nomi utente come “Admin” – che sono facilmente intuibili.

Poiché WordPress non ti consente di modificare i nomi utente per impostazione predefinita, ci sono tre metodi che puoi utilizzare per cambiare il nome utente:

• Crea un nuovo nome utente amministratore ed elimina quello vecchio.
• Usa il plug-in Modifica nome utente.
• Aggiorna il nome utente da phpMyAdmin.

Implementa password complesse e modificale frequentemente

Imposta sempre password complesse, lunghe o complesse o utilizza generatori di password, e se necessario segnati sul calendario quando cambiarle.

Plugin di sicurezza

– Installa sempre uno o più dei seguenti plugin:

• Word fence
• WP Security Firewall
• iThemes security
• Sucuri security
• Bulletproof security
• Acunetix WP SecurityScan
• All-in-one WP protection and firewall
• 6Scan Security
• BruteProtect

Cambia il prefisso del database di WordPress

Per impostazione predefinita, WordPress utilizza wp_ come prefisso per tutte le tabelle nel database di WordPress. Se il tuo sito WordPress utilizza il prefisso del database predefinito, è più facile per gli hacker indovinare qual è il nome della tua tabella. Per questo ti consigliamo di cambiarlo.

Puoi modificare il prefisso del database seguendo il nostro tutorial passo passo su come modificare il prefisso del database di WordPress per migliorare la sicurezza. Questo passaggiopuò danneggiare il tuo sito se non viene eseguito correttamente, quindi presta attenzione, procedi solo se ti senti a tuo agio con le tue capacità di programmazione. Ricorda che puoi sempre affidarti ad un esperto.

Proteggi il tuo computer con un Antivirus specifico

È necessario avere un antivirus installato sul tuo computer, in quanto impedirà agli hacker di ottenere informazioni riservate dal disco rigido del tuo computer che portano all’hacking del tuo sito.

Fai attenzione alle e-mail

Evita di fare clic su collegamenti e allegati sospetti inviati tramite e-mail. Non aprire qualsiasi link senza averlo analizzato in modo corretto.

Fai attenzione al tuo browser

I browser moderni utilizzano molti plugin ed estensioni che possono portare all’hacking del tuo sito WordPress. Non installare estensioni non necessarie sui tuoi browser, assicurati almeno di mantenerli aggiornati e di installare solo quelli con buona reputazione. Tieni sempre aggiornato il tuo browser.

Disabilita la modifica dei file

WordPress viene fornito con un editor di codice integrato che ti consente di modificare il tema e i file dei plug-in direttamente dalla tua area di amministrazione di WordPress. Nelle mani sbagliate, questa funzione può essere un rischio per la sicurezza, motivo per cui consigliamo di disattivarla.

Installa un firewall

Per tenere gli hacker lontani dal tuo sito Web o server, considera sempre un firewall. Il firewall può essere ottenuto come servizio acquistato o come plug-in premium. Considera “Sicurezza e firewall WP all-in-one”.

Modifica gli URL standard (/wp-admin /wp-login)

I plug-in di sicurezza come All-in-One hanno funzionalità in cui ti consentono di modificare gli URL standard come “/wp-admin” in “/mamiapasswordsegretissmaesempio” (puoi impostarlo come desideri).

Imposta l’autenticazione password e l’autenticazione a due fattori 

Puoi impostare l’autenticazione della password per il tuo sito WordPress. Puoi utilizzare Google Authenticator o Clef Authenticator, ci sono anche diversi tipi di plugin per la verifica in due passaggi di WordPress.

L’aggiunta di una domanda di sicurezza alla schermata di accesso di WordPress rende ancora più difficile per qualcuno ottenere un accesso non autorizzato.

Puoi aggiungere domande di sicurezza installando il plug-in WP Security Questions. Dopo l’attivazione, è necessario visitare la pagina Impostazioni »Domande di sicurezza per configurare le impostazioni del plug-in.

Blocca gli IP fraudolenti

Tutti gli indirizzi IP elencati come sospetti attraverso il monitoraggio degli attacchi di forza bruta da parte dei plug-in di sicurezza, possono essere incollati nei moduli plug-in pertinenti o negati nel file .htaccess.

Modifica ‘User_Nicename’ nel database PhpMyAdmin

Modificando ‘user_nicename’ nel tuo database, eviti che il tuo nome utente trapeli. Dopo che la modifica “/author/” non mostrerà il tuo nome utente, un visualizzatore vedrà un nome diverso.

Modificare l’ID utente amministratore

Se generalmente “autore=1” – modificando l’ID utente su un valore non comune come “4490”, renderai più difficile per gli hacker indovinare il tuo nome utente indovinando il valore “autore”.

Modifica i SALT (wp-config)

È una buona pratica di sicurezza modificare le password crittografate di SALT relative al tuo sito web. Puoi eseguire questa azione manualmente o tramite un plug-in di sicurezza.

Utilizzare prefissi database univoci

– È buona norma cambiare il ‘wp_prefix’ dei nomi delle tue tabelle in PhpMyAdmin, per evitare che gli hacker tengano traccia/individui il tuo database.

Evita le “iniezioni “di PHP

Proteggi sempre il tuo file di upload dalle “iniezioni” di php.

Disabilita l’esecuzione di file PHP in alcune directory di WordPress.

Un modo utile per rafforzare la sicurezza di WordPress è disabilitare l’esecuzione di file PHP nelle directory in cui non è necessario, come /wp-content/uploads/.

Puoi farlo aprendo un editor di testo come Blocco note e incollando questo codice:

<Files *.php>
deny from all
</Files>

Inoltre, doevrai salvare questo file come .htaccess e caricarlo nelle cartelle /wp-content/uploads/ sul tuo sito Web utilizzando un client FTP.

Verifica le autorizzazioni dei file

Avere i permessi dei file appropriati è necessario per una maggiore sicurezza. Le directory dovrebbero avere i permessi di 755 o 750. I file dovrebbero avere i permessi di 644 o 640, escluso ‘wp-config.php’, che dovrebbe essere 440 o 400.

Non tutte le azioni malevole vengono intercettate dai plugin

Anche se  la maggior parte degli attacchi più comuni vengono rilevati ed accettati, purtroppo ci sono operazioni che non vengono tracciate. Quindi, Il monitoraggio effettuato dal plugin non si può considerare completo, infatti, non tutti gli attacchi o le azioni di hackeraggio, infatti, possono essere prevenuti da un software.

Il plugin generalmente sono in grado di intercettare:

• un account admin aggiunto dopo un hack
• Script o codici malevoli.
• modifiche a dati sensibili avvenute in seguito a un accesso malevolo

Ad esempio , per farti capire meglio a cosa devi stare attento: prendi nota che può capitare che non i plugin non si accorgano di  alterazioni riguardanti metodi di pagamento, specialmente nei casi in cui si appoggiano a piattaforme esterne.

Ad esempio, se un hacker cambiasse l’indirizzo email del conto PayPal impostato sul sito, non è detto che il plugin rilevi immediatamente o in futuro questo “furto”  ed è probabile che non lo identifichi come azione come malevola.

Database di backup

 Esegui sempre il backup del tuo database, puoi utilizzare i plug-in per eseguire il backup dei dati sul tuo account di hosting del server relativo a WordPress.È una delle migliori pratiche avere un backup del database sul disco rigido del computer e uno sulla memoria di posta elettronica.

L’importanza dei BACKUP

I backup sono la tua prima difesa contro qualsiasi attacco di WordPress. Ricorda, niente è sicuro al 100%. Se i siti web del governo possono essere violati, allora anche il tuo può farlo.

I backup ti consentono di ripristinare rapidamente il tuo sito WordPress nel caso dovesse accadere qualcosa di grave.

Esistono molti plugin di backup WordPress gratuiti ea pagamento che puoi utilizzare. La cosa più importante che devi sapere quando si tratta di backup è che devi salvare regolarmente i backup dell’intero sito in una posizione remota (non nel tuo account di hosting).Ti consiglio di archiviarlo su un servizio cloud come Amazon, Dropbox o cloud privati come Stash.

In base alla frequenza con cui aggiorni il tuo sito Web, l’impostazione ideale potrebbe essere una volta al giorno o backup in tempo reale.Per fortuna questo può essere fatto facilmente usando plugin come UpdraftPlus o BlogVault. Sono entrambi affidabili e, soprattutto, facili da usare (non è necessaria alcuna codifica).

Le Risorse Gratuite del #MAgodelPC

Per te Gratis l’Ebook Facebook Marketing per tutti
Se ti può interessare puoi ottenere Gratis  l’Ebook Digital Marketing
Per te Gratis l’Ebook Il CV Perfetto 
Se ti può interessare puoi ottenere Gratis l’Ebook Content Marketing 

Vi ricordiamo che nel nostro sito troverete molte altre Risorse Gratuite

• Manuale di Excel
• Manuale Excel Avanzato
• Manuale di Word
• Kit per velocizzare il Pc
• Kit modulistica
• Kit per rimuovere Cryptoloker e recuperare i file
• Raccolta di CV Professionali e Creativi

Se vuoi rimanere sempre aggiornato puoi seguirci su Facebook .
Al prossimo articolo.
Saluti dal #MAgodelPC