Sicurezza di WordPress: 24 suggerimenti per proteggere il tuo sito Web dagli hacker

La sicurezza di WordPress dovrebbe essere la prima priorità nella gestione di un sito web. Progetti il ​​tuo sito Web, pubblichi contenuti, vendi prodotti online, ma se non prendi sul serio la sicurezza di WordPress, il tuo sito può essere violato in qualsiasi momento.

Ogni giorno 30.000 siti web vengono violati e più di 2.000 siti web vengono inseriti nella lista nera di Google. Non sei un'eccezione. Se un sito web del governo può essere violato, perché non il tuo?

Una mattina, ti sei svegliato e vedi che il tuo sito WordPress è inaccessibile e vedi messaggi casuali come,

" il tuo sito web è stato violato da xyz " - il sito è stato violato

“ il sito in avanti contiene malware ” – inserito nella lista nera di Google

Questa è la cosa peggiore che potresti mai affrontare con il tuo sito web.

Ma perché WordPress?

WordPress alimenta oltre il 31% (80 milioni) del totale dei siti web sul web. Secondo W3Techs, WordPress detiene il 60% della quota di mercato dei CMS in più rispetto ad altre piattaforme, il che è un motivo abbastanza valido per attirare gli hacker.

Ma niente panico. Rafforzare la sicurezza di WordPress è molto semplice e puoi farlo anche tu.

In questo articolo, condividerò i 24 migliori suggerimenti per la sicurezza di WordPress per proteggere il tuo sito Web da hacker e malware.

"Perché non far sparire il cancello del tuo palazzo prima che lo scoprano?" – WPMyWeb

Problemi di sicurezza comuni di WordPress

Prima di approfondire le migliori pratiche di sicurezza di WordPress, comprendiamo innanzitutto alcuni problemi comuni di sicurezza di WordPress.

Molti utenti credono che WordPress non sia una piattaforma sicura da utilizzare per un'azienda, il che non è affatto vero. Ciò è dovuto alla mancanza di conoscenza della sicurezza di WordPress, alla scarsa amministrazione del sistema, all'utilizzo di software e plug-in WordPress obsoleti, ecc.

Molti principianti di WordPress presumono che la creazione di un sito Web sia la fine e non richieda alcuna manutenzione della sicurezza. Questo è il modo in cui lasci il tuo sito vulnerabile.

Una volta che gli hacker trovano vulnerabile nel tuo sito, possono facilmente sfruttare il tuo sito.

Diamo un'occhiata ad alcuni dei comuni problemi di sicurezza di WordPress.

1. Attacchi di forza bruta:

Nell'attacco di forza bruta, viene utilizzato uno script automatizzato per generare varie combinazioni di nomi utente e password. L'hacker utilizza la pagina di accesso di WordPress per eseguire attacchi di forza bruta.

Se stai utilizzando un nome utente e una password semplici, potresti essere la prossima vittima di questo attacco.

2. Scripting tra siti (XSS):

Cross Site Scripting è un tipo di attacco in cui gli aggressori iniettano codice/script dannoso in un sito Web attendibile. Questo metodo di hacking è totalmente invisibile agli utenti che navigano nel sito.

Questi script dannosi si caricano in modo anonimo e rubano informazioni dal browser degli utenti. Anche se un utente inserisce dati in qualsiasi forma, i dati potrebbero essere rubati.

3. Iniezioni SQL:

WordPress utilizza un database MySQL per memorizzare le informazioni del blog.

L'iniezione SQL si verifica quando gli hacker accedono al database di WordPress. Attaccando il database di WordPress, gli hacker possono creare un nuovo account amministratore con accesso completo al tuo sito.

Possono anche inserire dati nel database MySQL e aggiungere collegamenti a siti Web dannosi o spam.

4. Backdoor:

Con il nome "Back-door", puoi capire cosa significa.

Backdoor è un metodo di hacking che consente agli hacker di accedere a un sito Web ignorando il normale processo di autenticazione e persino rimanendo inosservati dal proprietario del sito Web.

Dopo aver violato un sito Web, gli hacker di solito lasciano la loro impronta, in modo che possano riaccedere al sito Web anche se l'hacking viene rimosso.

5. Hack farmaceutici:

Gli hack di WordPress Pharma sono una sorta di spam del sito Web che riempie i risultati dei motori di ricerca con contenuti di farmacie spam che sono vietati sul Web come Viagra, Nexium, Cialis ecc.

A differenza di altri hack di WordPress, i risultati degli hack farmaceutici sono visibili solo ai motori di ricerca. Quindi non puoi individuare l'hacking semplicemente visualizzando il tuo sito Web o il codice sorgente.

Vai su Google e digita site:domain.com. Se i risultati della ricerca mostrano il contenuto del tuo sito web (non il contenuto della farmacia), il tuo sito non è interessato da hack farmaceutici.

L'obiettivo di questo hack è sfruttare le tue pagine più preziose sovrascrivendo il tag del titolo con collegamenti dannosi. Per non parlare del fatto che se non esamini la questione in anticipo, i motori di ricerca come Google, Bing possono inserire nella lista nera il tuo sito Web per fornire contenuti dannosi.

6. Reindirizzamenti dannosi:

Il reindirizzamento dannoso di WordPress è una specie di hack in cui i visitatori del tuo sito vengono automaticamente reindirizzati a siti di spam come giochi d'azzardo, pornografia, siti di incontri. Questo hack si verifica quando un codice dannoso viene iniettato nel file o nel database del tuo sito web.

Se il tuo sito reindirizza i visitatori a siti illegali o dannosi, è possibile che il tuo sito venga inserito nella lista nera di Google.

Perché la sicurezza di WordPress è importante?

Il tuo sito web rappresenta il tuo marchio, la tua attività e, soprattutto, il primo contatto con i tuoi clienti.

Probabilmente ci sono voluti diversi anni con molti sforzi per sostenere la tua attività e far crescere il tuo traffico. Il tuo pubblico ama i tuoi articoli e si fida dei tuoi prodotti, ecco perché si tiene in contatto con te.

Se il tuo sito WordPress non è sicuro, ci sono molti modi in cui sia il tuo sito che i tuoi clienti saranno interessati. Gli hacker possono rubare le informazioni personali dell'utente, le password, i dettagli della carta di credito, le informazioni sulle transazioni e possono distribuire malware ai tuoi utenti.

Se il tuo sito viene violato, noterai che il tuo traffico sta diminuendo drasticamente. Inoltre, Google inserirà nella lista nera il tuo sito web.

Secondo il blog di Google, il numero di siti Web compromessi è in aumento di circa il 20% nel 2016 rispetto al 2015.

In uno studio, Securi riporta che Google inserisce nella blacklist oltre 10.000 siti web ogni giorno.

Se prendi sul serio la tua attività, devi prestare particolare attenzione alla sicurezza di WordPress.

La migliore guida alla sicurezza di WordPress

1. Ottieni un buon hosting WordPress
2. Mantieni aggiornata la versione di WordPress
3. Non utilizzare alcun tema o plug-in annullato/craccato
4. Usa password complesse
5. Aggiungi (2FA) Autenticazione a due fattori
6. Modifica l'URL di accesso di WordPress
7. Limita i tentativi di accesso
8. Esegui regolarmente il backup del tuo sito
9. Usa un plugin di sicurezza per WordPress
10. Disconnetti automaticamente gli utenti inattivi
11. Aggiungi domande di sicurezza alla pagina di accesso di WordPress
12. Modifica il nome utente "admin" predefinito
13. Assegna gli utenti al ruolo più basso possibile
14. Monitora le modifiche ai file e le attività degli utenti
15. Installa certificato SSL
16. Elimina temi e plugin inutilizzati
17. Disabilita la modifica dei file nella dashboard di WordPress
18. Proteggi con password la pagina di accesso di WordPress
19. Disabilita la navigazione nelle directory
20. Rimuovi il tuo numero di versione di WordPress
21. Modifica il prefisso della tabella del database di WordPress
22. Usa solo temi e plugin WordPress affidabili
23. Disabilita la segnalazione degli errori PHP
24. Aggiungi intestazioni HTTP sicure a WordPress

Pronto? Iniziamo.

1. Ottieni un buon hosting WordPress

L'hosting di WordPress gioca un ruolo importante quando si tratta di migliorare la sicurezza di WordPress.

Stai pagando per il servizio di hosting e il tuo sito web rimane sotto il loro controllo. Quindi dovresti stare attento prima di scegliere un buon hosting WordPress per il tuo sito web.

L'hosting condiviso come A2Hosting, Bluehost ecc. Sono la migliore opzione di hosting per gestire un blog a basso traffico. Ma nell'hosting condiviso, ci sarà sempre una possibilità di contaminazione tra siti.

La contaminazione tra siti si verifica quando un hacker è in grado di accedere al server Web tramite un sito Web vulnerabile e quindi sfruttare tutti gli altri siti Web sullo stesso server Web.

Ti consigliamo di utilizzare un provider di hosting WordPress gestito. Le società di hosting WordPress gestite forniscono opzioni di sicurezza multilivello per i siti Web. Le loro piattaforme di hosting sono altamente sicure e offrono una scansione quotidiana del malware e prevengono qualsiasi attacco esterno. Se comunque trovano malware sul loro server, si assumono la responsabilità e lo rimuovono all'istante.

Offrono anche backup giornalieri, certificato SSL gratuito, supporto di esperti 24 ore su 24, 7 giorni su 7.

Consigliamo la società di hosting WordPress gestita da WPEngine. Offrono più livelli di sicurezza per proteggere il tuo sito WordPress. Con il loro piano, riceverai backup giornalieri, SSL gratuito, CDN globale e supporto di esperti 24 ore su 24, 7 giorni su 7.

Visita WPEngine . [Codice sconto aggiunto in questo link]

Torna in cima

2. Mantieni aggiornata la versione di WordPress

Mantenere aggiornato il tuo sito WordPress è una buona pratica di sicurezza per rafforzare la sicurezza di WordPress. Questo aggiornamento include la versione di WordPress, i plugin e i temi.

In uno studio recente, Securi ha analizzato che il 56% del totale dei siti Web infetti da WordPress non era ancora aggiornato. Se sei uno di loro, sei in pericolo.

Ogni giorno vengono scoperte nuove vulnerabilità e non c'è modo di fermarle. Software e plug-in obsoleti possono contenere vulnerabilità che gli hacker possono utilizzare per sfruttare un sito.

Con ogni aggiornamento, gli sviluppatori includono nuove funzionalità, riparano buchi di sicurezza, correggono bug ecc. Come il software WordPress, anche tu devi aggiornare i tuoi temi e plugin WordPress.

La cosa buona è che WordPress lancia automaticamente i suoi aggiornamenti e notifica ai suoi utenti.

L'aggiornamento della versione, dei plug-in e dei temi di WordPress è molto semplice e puoi farlo tramite la dashboard di amministrazione di WordPress.

Come aggiornare WordPress, plugin e temi?

Per prima cosa accedi alla dashboard di WordPress e vai su Dashboard> Aggiornamenti . Lì puoi vedere se è disponibile un nuovo aggiornamento.

Nota: prima di aggiornare la tua versione di WordPress, fai un backup completo dei tuoi file e database. In caso di errore, puoi ripristinare facilmente il tuo sito alla versione precedente. Puoi facilmente eseguire il backup e ripristinare il tuo sito utilizzando BlogVault con un solo clic.

Dalla pagina, puoi vedere "È disponibile una versione aggiornata di WordPress" . Fai clic sul pulsante Aggiorna ora per aggiornare la tua versione di WordPress, questo processo potrebbe richiedere alcuni secondi.

Una volta completato l'aggiornamento, scorri verso il basso per aggiornare i plugin di WordPress. Ti consigliamo di aggiornare i plugin uno per uno. Innanzitutto, seleziona un plug-in e fai clic su Aggiorna plug -in .

Allo stesso modo, aggiorna i tuoi temi di seguito.

Tuttavia, il processo di aggiornamento è un po' complicato per alcuni utenti, specialmente quelli che non sono esperti di tecnologia.

Alcuni provider di hosting WordPress gestiti come SiteGround, Kinsta, FlyWheel forniscono funzionalità di aggiornamento automatico . Quindi, se hai un programma fitto di appuntamenti o sei pigro per aggiornare, questo potrebbe essere utile.

Leggi anche Come aggiornare manualmente la versione di WordPress, i plugin e i temi

Torna in cima

3. Non utilizzare mai temi e plugin annullati/craccati

Non c'è da stupirsi che i plugin e i temi premium includano più funzionalità e abbiano un aspetto professionale. Ma nessuno dei prodotti premium è gratuito. Viene fornito con un prezzo e dopo aver acquistato qualsiasi prodotto premium, gli utenti devono inserire il codice Product Key per attivare il prodotto.

Tuttavia, sono disponibili molti siti Web dannosi che forniscono gratuitamente temi e plug-in premium. Quei temi e plug-in crackati non richiedono una chiave seriale per l'attivazione e non vengono mai aggiornati.

Ecco cosa intendo:

Quei temi e plugin annullati sono molto pericolosi per il tuo sito. Gli hacker iniettano appositamente codici dannosi e creano una backdoor per il tuo sito. In questo modo possono accedere facilmente al tuo sito Web e hackerare il tuo sito Web incluso il database.

Quindi non utilizzare mai temi e plug-in WordPress annullati o craccati.

Ti consigliamo vivamente di scaricare solo temi o plugin gratuiti solo da WordPress.org.

Comprendiamo che il tema o il plug-in gratuito ha funzioni molto limitate. Ma quei temi o plugin gratuiti sono sicuri da usare e vengono aggiornati regolarmente.

Leggi anche, 7 migliori temi di blogging premium per WordPress

Torna in cima

4. Usa password complesse

Una password è una chiave primaria per accedere al tuo sito WordPress. Se è semplice e breve, gli hacker possono facilmente decifrare la tua password. Oltre l' 80% delle violazioni legate all'hacking si verifica a causa di password deboli o password rubate.

In un recente studio, SplashData ha rivelato le 100 peggiori password del 2017.

Eccone alcuni:

1. 123456
2. parola d'ordine
3. 12345678
4. qwerty
5. 12345
6. 123456789
7. Fammi entrare
8. 1234567
9. calcio
10. Ti voglio bene
11. amministratore
12. Benvenuto
13. scimmia (lol)

Se la tua password è semplice come sopra, cambiala immediatamente. Una password di buona sicurezza deve essere composta da almeno 10 cifre e contenere lettere maiuscole, minuscole, numeri e caratteri speciali.

Puoi utilizzare uno strumento di generazione di password online per creare istantaneamente migliaia di password protette.

È inoltre necessario salvare la password sul computer.

Per semplificare, puoi utilizzare il software di gestione delle password per gestire tutte le tue password come LastPass, Dashlane ecc.

Applica una password complessa agli utenti

Per impostazione predefinita, WordPress non viene fornito con una funzione che impedisce agli utenti di inserire password deboli. La maggior parte delle volte gli utenti impostano una password debole per il proprio account e difficilmente la cambiano.

Se gestisci un blog WordPress multiutente, dovresti forzare gli utenti a utilizzare una password complessa.

Per semplificare questo processo, puoi utilizzare un plug-in. Installa e attiva il plug-in Force Strong Passwords e il gioco è fatto. Ciò impedirà agli utenti e persino all'amministratore di inserire una password debole.

Torna in cima

5. Aggiungi l'autenticazione a due fattori (2FA)

Un altro metodo semplice per rafforzare la sicurezza di WordPress è aggiungere l'autenticazione a due fattori (2FA) alla pagina di accesso di WordPress. Fondamentalmente, l'autenticazione a due fattori o la verifica in due passaggi è un processo di sicurezza che richiede due metodi per verificare la tua identità.

Per impostazione predefinita, di solito inseriamo nome utente e password per accedere a un sito Web. L'aggiunta dell'autenticazione a due fattori richiederà un processo di verifica aggiuntivo come un'app per smartphone per approvare il processo di autenticazione.

Quindi, se qualcuno conosce il tuo nome utente e password, ha bisogno del tuo smartphone per ottenere il codice di verifica per l'accesso al tuo sito.

Aggiungendo l'autenticazione a due fattori, non solo proteggi la tua pagina di accesso di WordPress, ma previeni anche gli attacchi di forza bruta.

Puoi abilitare facilmente l'autenticazione a due fattori utilizzando il plug-in WordPress dell'autenticatore a due fattori di Google.

Una volta attivato, vai su Utenti > Profilo utente e attiva il plugin.

Quindi scarica l'app di autenticazione di Google dal tuo telefono e scansiona il codice a barre o inserisci il codice segreto (vedi lo screenshot sopra) dal tuo sito per aggiungere il tuo sito web.

Una volta aggiunto, esci dal tuo sito. Nella pagina di accesso, vedrai un campo aggiuntivo in cui devi inserire il codice di verifica dall'app mobile Google Authenticator.

Per istruzioni dettagliate, consulta la guida su come aggiungere l'autenticazione a due fattori di Google nella pagina di accesso di WordPress.

Torna in cima

6. Modifica l'URL della pagina di accesso di WordPress

Per impostazione predefinita, chiunque può accedere alla tua pagina di accesso semplicemente aggiungendo “wp-admin” o “wp-login.php” alla fine del tuo nome di dominio come: “domain.com/wp-admin” o “domain.com/ wp-login.php” .

Indovina un po! Gli hacker possono eseguire attacchi di forza bruta utilizzando la tua pagina di accesso. Se stai utilizzando una password molto semplice, gli hacker possono facilmente decifrare la tua password e accedere al tuo sito web.

Ma cosa succede se non sanno dove attaccare? Sì, hai indovinato.

Se nascondi o rinomini l'URL della tua pagina di accesso, gli hacker non sarebbero in grado di eseguire un attacco di forza bruta.

In WordPress, puoi facilmente nascondere o rinominare la tua pagina di accesso utilizzando un plug-in. Dalla galleria dei plugin di WordPress, installa e attiva il plugin WPS Hide Login.

Una volta attivato, vai su Impostazioni> Generali e in basso puoi trovare l' opzione WP Hide Login .

Basta cambiare l'URL di accesso "login" con qualcos'altro che è difficile da indovinare e fare clic su Salva modifiche .

Una volta terminato, aggiungi la nuova pagina di accesso ai segnalibri e il gioco è fatto.

Torna in cima

7. Limita i tentativi di accesso

Per impostazione predefinita, WordPress non limita il numero di tentativi di accesso tramite il modulo di accesso. Ciò significa che chiunque conosce il tuo URL di accesso può provare la funzione di accesso tutte le volte che vuole. In questo modo gli hacker eseguono un attacco di forza bruta per decifrare il tuo "nome utente" e "password" per accedere al tuo sito web.

Limitando i tentativi di accesso, puoi rafforzare la sicurezza di WordPress e proteggere la tua pagina di accesso dagli attacchi di forza bruta.

È possibile impostare un numero massimo di tentativi di accesso errati che un utente può effettuare dallo stesso indirizzo IP. Se l'utente supera i limiti, l'IP dell'utente verrà bloccato per un determinato periodo di tempo.

Per limitare i tentativi di accesso in WordPress, installa il plug-in Login LockDown. Una volta attivato, vai su Impostazioni> Login LockDown per configurare il plugin.

Per istruzioni dettagliate, consulta la nostra guida su come limitare i tentativi di accesso in WordPress

Torna in cima

8. Effettua regolarmente il backup del tuo sito

I backup sono come Time Machine. Se ce l'hai, il tuo sito web è sicuro.

Tuttavia, i backup dei siti Web non proteggono il tuo sito dagli hacker, ma ti aiutano a recuperare il tuo sito.

Ad esempio, se qualcosa va storto con il tuo sito durante l'aggiornamento o il tuo sito web viene violato, come farai a riparare nuovamente il tuo sito? Probabilmente perderai il tuo sito.

Ma se disponi di backup del tuo sito, puoi facilmente ripristinare il tuo sito prima del punto in cui è stato violato o arrestato in modo anomalo.

Ecco perché ti consigliamo vivamente di utilizzare un plug-in di backup WordPress affidabile. Tuttavia, molte società di hosting offrono il backup gratuito del sito Web, ma possono garantire la disponibilità del tuo sito in caso di guasto catastrofico. Quindi è necessario salvare i backup in una posizione remota come Google Drive, Amazon S3, Dropbox ecc.

Per fortuna, questo può essere fatto utilizzando BlogVault o BackUpBuddy WordPress Backup Plugin. Entrambi offrono backup giornalieri e ripristino con un clic. Puoi anche creare un sito di staging senza costi aggiuntivi.

Torna in cima

9. Usa il plugin di sicurezza di WordPress

La prossima cosa di cui hai bisogno per rafforzare la sicurezza di WordPress è un plug-in di sicurezza. Sono disponibili molti plug-in di sicurezza di WordPress che bloccheranno il tuo sito da hacker e malware.

I plugin di sicurezza di WordPress rileveranno ed elimineranno il malware se è presente nel tuo sito. Inoltre, monitorano l'attività degli utenti in tempo reale, ti avvisano se qualcosa è cambiato, se un plugin contiene un malware, bloccano il traffico di spam e molto altro.

Consigliamo il plugin di sicurezza di Securi WordPress. Securi Security offre un diverso tipo di funzionalità di sicurezza come il controllo delle attività di sicurezza, il monitoraggio del sito Web, il firewall del sito Web e molti altri.

La cosa migliore di Securi è che se il tuo sito viene violato o inserito nella lista nera da Google durante l'utilizzo del loro servizio, garantisce che risolverà il tuo sito.

La maggior parte degli esperti di sicurezza di WordPress addebita più di $ 300 per riparare un sito compromesso, mentre otterrai tutti i servizi di sicurezza a soli $ 199 all'anno. È un buon investimento per rafforzare la sicurezza di WordPress.

Torna in cima

10. Disconnetti automaticamente gli utenti inattivi

Se un utente rimane inattivo o inattivo sul tuo sito per troppo tempo, ciò può causare un attacco di forza bruta.

Quando un utente rimane inattivo per troppo tempo, gli hacker possono utilizzare cookie o metodi di dirottamento della sessione per ottenere l'accesso non autorizzato al tuo sito web. Ecco perché la maggior parte dei siti Web relativi all'istruzione e alla finanza, come i siti Web di banche e gateway di pagamento, utilizzano la funzione di timeout della sessione dell'utente. Pertanto, quando un utente si allontana dalla pagina e non interagisce dopo un periodo di tempo, il sito Web disconnette automaticamente l'utente inattivo.

La stessa funzione che puoi aggiungere al tuo sito WordPress per migliorare la sicurezza di WordPress. L'aggiunta automatica del logout degli utenti inattivi su WordPress è estremamente semplice. Tutto ciò che serve per installare un plugin.

Innanzitutto, scarica e installa il plug-in di logout inattivo per WordPress. Quindi attivalo e vai su Impostazioni> Logout inattivo per configurare il plug-in.

Dalle impostazioni è possibile modificare il timeout di inattività. Quindi, dopo il tempo, tutti gli utenti del tuo sito verranno automaticamente disconnessi.

È inoltre possibile modificare il messaggio di timeout di inattività e modificare altre impostazioni, se necessario.

Al termine, fare clic su Salva modifiche per memorizzare le impostazioni.

Per istruzioni dettagliate, consulta la nostra guida su come disconnettere automaticamente gli utenti inattivi in ​​WordPress

Torna in cima

11. Aggiungi domande di sicurezza alla pagina di accesso di WordPress

Aggiungendo domande di sicurezza alla tua pagina di accesso di WordPress, non solo proteggerai la tua pagina di accesso di WordPress, ma rafforzerai anche la sicurezza di WordPress.

La domanda di sicurezza aggiunge un ulteriore livello di sicurezza per autenticare ulteriormente la tua identità durante l'accesso. Questo è molto utile se stai gestendo un blog WordPress con più autori.

Se qualcuno dei tuoi utenti o della tua password è stato rubato, la domanda di sicurezza può salvarti la vita.

Perché nome utente e password possono essere violati facilmente, ma optare per la domanda e la risposta di sicurezza giuste è quasi impossibile. In questo modo puoi salvare la tua pagina di accesso di WordPress da hacker e attacchi di forza bruta.

Per aggiungere una domanda di sicurezza nella pagina di accesso di WordPress, installa il plug-in WP Security Question.

Una volta attivato, vai su WP Security Questions > Plugin Settings per configurare il plugin.

Per impostazione predefinita, il plug-in ha molte domande comuni aggiunte. Tuttavia, puoi aggiungere o rimuovere qualsiasi domanda di sicurezza dall'elenco.

In basso, puoi abilitare la domanda di sicurezza nella pagina di accesso, registrazione e password dimenticata. Dopo aver configurato il plug-in, non dimenticare di fare clic su Salva impostazioni .

Nota: solo i nuovi utenti possono impostare la propria domanda di sicurezza e rispondere durante la registrazione. Quindi gli utenti registrati devono impostare manualmente la propria domanda e risposta di sicurezza. Puoi anche impostare una domanda di sicurezza e rispondere per loro. Questo può essere fatto dalla pagina del profilo utente .

Per istruzioni dettagliate, consulta la nostra guida su come aggiungere domande di sicurezza alla pagina di accesso di WordPress

Torna in cima

12. Modificare il nome utente "amministratore" predefinito

Dopo aver installato WordPress, puoi cambiare la tua password tutte le volte che vuoi. Ma puoi cambiare il tuo nome utente una volta impostato? Nessun diritto?

Per impostazione predefinita, WordPress non consente agli utenti di modificare il nome utente. Ma perché dovresti cambiarlo?

Se stai utilizzando un nome utente molto comune come "admin", gli hacker possono eseguire attacchi di forza bruta con l'aiuto del tuo nome utente.

Ma niente panico. Esistono diversi modi per modificare facilmente il tuo WordPress.

Tuttavia, per semplificare il processo, utilizzeremo un plug-in. Innanzitutto, scarica e installa il plug-in per la modifica del nome utente. Quindi vai su Utenti> Il tuo profilo e trova l'opzione nome utente. Lì troverai l'opzione " Modifica nome utente ".

Fai clic sul pulsante Modifica nome utente e inserisci il tuo nuovo nome utente. Al termine, fai clic su Aggiorna profilo .

Se desideri modificare il tuo nome utente manualmente (senza plug-in), dai un'occhiata all'articolo 3 diversi modi per cambiare il nome utente di WordPress.

Torna in cima

13. Assegnare gli utenti al ruolo più basso possibile

Se gestisci un sito WordPress con più autori, devi prestare attenzione prima di assegnare un ruolo a un utente.

Molte volte i proprietari di siti WordPress assegnano un ruolo utente più elevato ai nuovi utenti, in questo modo si danno tutti i privilegi agli utenti e, di conseguenza, qualsiasi utente può eseguire qualsiasi attività come preferisce.

Ad esempio, se non sai cosa può svolgere un ruolo utente Editor e assegni il ruolo a un utente normale, l'utente può eliminare tutti i tuoi post, modificare link, creare post di spam, aggiungere link dannosi nel tuo blog messaggi. Questo è il modo in cui un utente può facilmente rovinare il tuo sito web.

Per impostazione predefinita, WordPress viene fornito con 5 diversi ruoli utente.

• Amministratore
• Editore
• Autore
• Collaboratore
• Abbonato

1. Amministratore: gli amministratori sono il ruolo utente più potente in un sito WordPress. Possono creare, modificare ed eliminare un account utente, possono eseguire qualsiasi attività nel pannello di amministrazione di WordPress, avere il controllo su tutta l'area dei contenuti e anche moderare i commenti.
2. Editor: gli utenti con il ruolo Editor hanno il pieno controllo su tutto il contenuto. Possono creare, modificare ed eliminare qualsiasi post, inclusi i post creati da altri utenti. Possono anche moderare i commenti e modificare i collegamenti.
3. Autore: gli autori possono pubblicare, modificare o eliminare solo i propri post. Possono caricare file multimediali da utilizzare nei loro post. Possono visualizzare i commenti ma non possono approvare o eliminare alcun commento.
4. Collaboratore: gli utenti con il ruolo di Collaboratore possono solo scrivere, modificare o eliminare il proprio post non pubblicato, ma non possono pubblicare il proprio post.
5. Abbonato: gli abbonati possono solo modificare le informazioni del proprio account inclusa la password, ma non hanno accesso al contenuto o alle impostazioni del sito. Hanno le capacità più basse in un sito WordPress.

Comprendendo i ruoli utente di WordPress, puoi gestirli facilmente senza alcun rischio.

Ti consigliamo inoltre di impostare il ruolo predefinito del nuovo utente come abbonato. Vai su Impostazioni> Impostazioni generali e dal loro set Ruolo predefinito nuovo utente - Abbonato e fai clic su Salva modifiche .

Per maggiori dettagli, leggi la Guida per principianti ai ruoli e alle funzionalità degli utenti di WordPress

Torna in cima

14. Monitorare le modifiche ai file e le attività degli utenti

Un altro modo intelligente per rafforzare la sicurezza di WordPress è monitorare le attività degli utenti e le modifiche ai file.

Se gestisci un sito WordPress multiutente, dovresti tenere traccia del comportamento degli utenti per capire meglio quali sono le loro attività nel tuo sito WordPress.

Chissà, se un utente sta facendo un lavoro sospetto o sta tentando di hackerare il tuo sito web? Come puoi saperlo?

L'unico modo per tenere traccia delle attività degli utenti e delle modifiche ai file è utilizzare un plug-in WordPress per le attività degli utenti. Utilizzando un plug-in di attività utente in WordPress, puoi:

• vedere chi ha effettuato l'accesso e cosa stanno facendo in tempo reale
• quando un utente effettua il login e il logout
• quante volte un utente ha tentato di accedere ma non è riuscito

Inoltre, se un editore ha apportato modifiche a un post o a una pagina senza la tua autorizzazione, puoi scoprirlo facilmente e ripristinarlo. La cosa buona di un plug-in per l'attività dell'utente è che ti invia istantaneamente una notifica e-mail se qualcosa va storto.

WP Security Audit Log è il miglior plugin per monitorare le attività degli utenti e le modifiche ai file in tempo reale. Ecco uno screenshot qui sotto come funziona il plugin.

Leggi anche, 5 migliori plugin per monitorare l'attività degli utenti in WordPress (plugin alternativi)

Torna in cima

15. Implementa SSL e HTTPS

La sicurezza di WordPress non può essere migliorata senza un certificato SSL. Un SSL (Secure Socket Layer) è la spina dorsale della sicurezza del sito web.

SSL è una tecnologia di sicurezza standard che crea collegamenti crittografati tra un server e un browser Web in una comunicazione online come una transazione online. Quindi tutti i dati sensibili come password, dettagli della carta di credito ecc. passano attraverso collegamenti crittografati.

Se gestisci un'attività online o un blog in cui accetti pagamenti, è necessario un certificato SSL. Manterrà i dati dei tuoi clienti al sicuro dagli hacker. Per i negozi online o i siti WooCommerce, il costo del certificato SSL è di circa $ 20- $ 170.

Nel caso tu stia gestendo un blog WordPress, non hai bisogno di un certificato SSL a pagamento. Se stai utilizzando l'hosting cPanel come SiteGround, WPEngine, puoi installare il certificato SSL gratuitamente con un solo clic.

Innanzitutto, accedi al tuo account cPanel di hosting e vai a Sicurezza . (Ecco uno screenshot qui sotto da SiteGround che ospita cPanel.)

Vai al Gestore SSL/TLS e fai clic su Installa certificato SSL . Dalla pagina, seleziona il tuo dominio e clicca su Compilazione automatica per dominio . Il processo è automatico, quindi non è necessario modificare o modificare nulla.

Ora fai clic sul pulsante Installa certificato per completare il processo di installazione.

Una volta terminato, accedi alla dashboard di amministrazione di WordPress per modificare l'URL del tuo sito. Vai su Impostazioni> Generali e aggiungi sostituisci HTTP con HTTPS prima dell'URL del tuo sito. Ecco uno screenshot qui sotto.

Una volta aggiornato, fai clic su Salva modifiche .

Come reindirizzare da HTTP a HTTPS in WordPress

Se hai installato correttamente il certificato SSL, il tuo sito è accessibile con HTTPS.

Ma se qualcuno digita solo il nome del tuo sito web (ad es. dominio.com) sulla barra degli indirizzi del browser, il sito potrebbe mostrare il messaggio " Connessione non sicura ". Ciò significa che il tuo sito è accessibile con HTTP.

Per risolvere il problema, devi forzare HTTPS in WordPress, quindi il tuo sito verrà caricato solo con HTTPS. Puoi facilmente forzare HTTPS in WordPress.

Per prima cosa accedi al tuo cPanel di hosting e vai alla cartella principale del tuo sito Web e trova il file .htaccess . Modifica il file .htaccess e alla fine aggiungi il codice seguente.

RewriteEngine attivato
RewriteCond %{HTTPS} disattivato
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Salva il file e il gioco è fatto. Ora il tuo sito web è accessibile solo con HTTPS.

Se il tuo provider di hosting web non fornisce un certificato SSL gratuito, puoi installare un certificato SSL manualmente. Ecco la guida su come installare il certificato SSL gratuito.

Torna in cima

16. Elimina temi e plugin inutilizzati

Quando si tratta di rafforzare la sicurezza di WordPress, non dovremmo ignorare nessun piccolo passo che può rendere vulnerabile il tuo sito.

Il più delle volte i proprietari di siti WordPress installano diversi temi e plugin per testare quale tema ha un aspetto migliore sul loro sito o quale plugin ha più funzionalità. Va bene. Ma mantenere quei temi e plugin inutilizzati rende il tuo sito vulnerabile.

Perché mantenere molti temi e plugin di WordPress deve essere aggiornato regolarmente come quello che stai utilizzando. Se non li aggiorni, sono diventati vulnerabili e gli hacker possono facilmente sfruttare il tuo sito attraverso i temi e i plug-in vulnerabili. Inoltre, mantenere così tanti temi e plugin rende il sito WordPress più lento.

Quindi dovresti sempre eliminare temi e plug-in inutilizzati per migliorare le prestazioni del sito e la sicurezza di WordPress.

Per eliminare un plug-in inutilizzato, vai su Plugin> Plugin installati . Quindi trova il plug-in di cui non ti serve più. Innanzitutto, disattiva il plug-in e fai clic su Elimina .

Allo stesso modo, per eliminare un tema, vai su Aspetto> Temi e fai clic su Dettagli tema . Quindi, in basso a destra, fai clic su Elimina .

Torna in cima

17. Disabilita la modifica dei file nella dashboard di WordPress

Per impostazione predefinita, WordPress consente agli utenti di modificare il tema e il file del plug-in direttamente dalla dashboard di WordPress. Questa è un'opzione utile per gli utenti che hanno spesso bisogno di modificare il tema e il file del plug-in.

Tuttavia, mantenere questa funzione abilitata può essere un serio problema di sicurezza. Se gli hacker accedono al tuo sito Web, di solito lasciano la loro impronta iniettando codice dannoso nei file del sito Web. Se la tua funzione di modifica dei file di WordPress è abilitata, gli hacker possono facilmente iniettare codice dannoso nel tuo tema o nel file del plug-in che ti sarà sconosciuto.

Per migliorare la sicurezza di WordPress, devi disabilitare la funzione di modifica dei file dalla dashboard di WordPress. Disabilitare l'editor di temi e plugin di WordPress in WordPress è un processo molto semplice.

Innanzitutto, devi accedere al tuo account cPanel di hosting e andare alla cartella principale del tuo sito WordPress. Da lì, trova il file wp-config.php. Fare clic su modifica e aggiungere il codice seguente alla fine.

define('DISALLOW_FILE_EDIT', vero);

Ora salva il file e aggiorna la dashboard di WordPress. Vedrai che l'opzione dell'editor di temi e plugin è scomparsa. Con questo piccolo trucco, puoi facilmente migliorare la sicurezza di WordPress.

Leggi la guida dettagliata su come disabilitare l'editor di temi e plugin in WordPress

Torna in cima

18. Proteggi con password la pagina di accesso di WordPress

Un altro ottimo modo per migliorare la sicurezza di WordPress è proteggere con password la pagina di accesso di WordPress.

Proteggendo con password la tua pagina di accesso (/wp-login.php) o admin (/wp-admin) di WordPress, puoi impedire agli hacker di accedere alla tua pagina di accesso perché richiede una password per accedere alla pagina di accesso. Una volta abilitata questa funzione, il tuo sito chiederà a tutti gli utenti di accedere alla pagina di accesso con una finestra nome utente e password. In breve, tutti gli utenti devono effettuare il login due volte con nome utente e password diversi prima di accedere alla dashboard di amministrazione di WordPress.

In questo modo, puoi rafforzare la sicurezza di WordPress e aggiungere un ulteriore livello di sicurezza alla tua pagina di accesso.

Leggi la nostra guida approfondita su come proteggere con password la pagina di accesso di WordPress.

Torna in cima

19. Disabilita la navigazione nelle directory in WordPress

Per impostazione predefinita, la maggior parte dei server Web come Apache, NGINX e LiteSpeed ​​consente a qualsiasi utente di sfogliare le directory che contengono file e cartelle di WordPress. Possono anche vedere quale tema e plug-in stai utilizzando e saperne di più sulla struttura del tuo sito web.

Queste informazioni possono rendere vulnerabile il tuo sito WordPress e aiutare un hacker quando tenta di compromettere il tuo sito.

Per migliorare la sicurezza di WordPress, ti consigliamo di disabilitare questa opzione. Per disabilitare la navigazione nelle directory in WordPress, aggiungi semplicemente la seguente riga al tuo file .htacces .

Opzioni Tutti -Indici

Per istruzioni dettagliate, leggi la nostra guida su come disabilitare la navigazione nelle directory in WordPress

Torna in cima

20. Rimuovi la tua versione di WordPress

Per impostazione predefinita, WordPress aggiunge automaticamente meta tag in posizioni diverse che mostrano la versione di WordPress che stai utilizzando.

Ecco il punto: se gli hacker sanno che stai eseguendo una versione di WordPress obsoleta, possono sfruttare il tuo sito attraverso le vulnerabilità note presenti nella versione precedente di WordPress.

Quindi è meglio rimuovere la tua versione di WordPress per migliorare la sicurezza di WordPress. Esistono diversi punti in cui WordPress aggiunge i meta tag come, nella dashboard di WordPress, nell'intestazione, nello stile e in javascript e nel feed RSS.

Rimozione della versione di WordPress dall'intestazione e dall'RSS

Per rimuovere la versione dall'intestazione e dall'RSS, aggiungi la seguente riga alla fine del tuo file functions.php .

funzione remove_wordpress_version() {
Restituzione '';
}
add_filter('the_generator', 'remove_wordpress_version');

Rimozione del numero di versione di WordPress da script e CSS

Per rimuovere la versione di WordPress dal CSS e dagli script, aggiungi la seguente riga alla fine del tuo file functions.php .

// Scegli il numero di versione da script e stili
funzione remove_version_from_style_js($src) {
if ( strpos( $src, 'ver=' . get_bloginfo( 'version' ) ) )
$src = remove_query_arg( 'ver', $src );
restituisce $sorgente;
}
add_filter( 'style_loader_src', 'remove_version_from_style_js');
add_filter( 'script_loader_src', 'remove_version_from_style_js');

Al termine, salva il file functions.php .

Questo è tutto. Con questo semplice trucco, puoi sicuramente migliorare la sicurezza di WordPress. Tuttavia, ti consigliamo sempre di aggiornare regolarmente la tua versione di WordPress così come il tema e i plugin.

Per istruzioni dettagliate, leggi la nostra guida su come nascondere o rimuovere la versione di WordPress

Torna in cima

21. Modifica il prefisso della tabella del database di WordPress

Durante l'installazione di WordPress, ti chiede se desideri utilizzare un prefisso del database diverso. Di solito saltiamo questo passaggio, quindi WordPress utilizza automaticamente (WP_) come prefisso di tabella del database predefinito. Ti consigliamo di cambiarlo con qualcosa di forte e unico.

L'utilizzo del prefisso predefinito (WP_) rende il database di WordPress suscettibile agli attacchi di SQL injection. Tali attacchi possono essere prevenuti modificando il prefisso del database (WP_) in qualcosa di unico.

Dopo aver installato WordPress, puoi facilmente modificare il prefisso della tabella del database predefinito utilizzando i plug-in o manualmente. Plugin come BackupBuddy, Brozzme DB Prefix ti consentono di modificare il prefisso della tabella con un semplice clic.

Per il bene del tutorial, sto mostrando come cambiarlo usando il plug-in Brozzme DB Prefix.

Nota: prima di eseguire qualsiasi operazione con il database, assicurati di eseguire un backup del sito e del database. Nel caso qualcosa vada storto, puoi ripristinare il tuo sito.

Innanzitutto, installa e attiva il plug-in Brozzme DB Prefix. Dalla dashboard di WordPress, vai su Strumenti> Prefisso DB e inserisci un nuovo nome univoco per il prefisso del database.

Una volta inserito il nuovo prefisso, fare clic su Modifica prefisso DB .

Per il processo manuale, leggi come modificare il prefisso della tabella del database utilizzando phpMyAdmin

Torna in cima

22. Usa solo plugin WordPress affidabili

WordPress viene fornito con oltre 48.000 plugin. Ciò non significa che tutti i plugin siano utili e sicuri da usare.

Perché ci sono molti plugin disponibili nella galleria dei plugin di WordPress che non vengono aggiornati da molto tempo e di solito diventano vulnerabili. Inoltre, non otterresti alcun supporto se il plug-in interrompe il tuo sito.

Prima di utilizzare qualsiasi plugin gratuito, due cose importanti che devi controllare,

• Controlla l'ultimo aggiornamento del plug-in: se il plug-in non viene aggiornato frequentemente o non viene più gestito dallo sviluppatore del plug-in, dovresti evitare il plug-in.

• Verifica se il plug-in ha valutazioni positive massime: la prossima cosa che devi verificare se il plug-in ha valutazioni positive o negative massime. Se il plug-in ha valutazioni negative massime, non dovresti usarlo.

Puoi anche controllare la pagina Recensioni e supporto del plug-in per vedere cosa dicono gli altri utenti sul plug-in.

Ma non preoccuparti. Ci sono molti plugin simili disponibili che puoi trovare nella galleria dei plugin di WordPress.

Se desideri utilizzare un plug-in premium, non devi preoccuparti. I plug-in Premium vengono aggiornati regolarmente e riceverai supporto 24x dallo sviluppatore del plug-in.

Torna in cima

23. Disabilita Segnalazione errori PHP

Un altro ottimo modo per rafforzare la sicurezza di WordPress è disabilitare il rapporto di errore PHP in WordPress. Molte volte, quando installi un plugin o un tema obsoleto, potresti visualizzare l'avviso di errore PHP.

Tuttavia, può rendere vulnerabile il tuo sito se gli hacker lo ottengono poiché mostra il codice e la posizione del file. Per ridurre al minimo il rischio, puoi disabilitare la segnalazione degli errori PHP in WordPress.

Disabilitare l'avviso di errore PHP in WordPress è molto semplice. Per prima cosa, modifica il tuo file wp-config.php e trova quella riga che ha questo codice:

define('WP_DEBUG', false);

Potresti vedere "vero" invece di "falso". Ora sostituisci la riga con il codice seguente.

ini_set('display_errors','Off');
ini_set('segnalazione_errore', E_ALL );
define('WP_DEBUG', false);
define('WP_DEBUG_DISPLAY', false);

Salva il file e il gioco è fatto.

Ti consigliamo inoltre di utilizzare plug-in aggiornati e ben valutati per evitare questo tipo di problemi.

Torna in cima

24. Aggiungi intestazioni HTTP sicure a WordPress

Un altro ottimo modo per rafforzare la sicurezza di WordPress è aggiungere intestazioni HTTP sicure al tuo sito WordPress.

Quando qualcuno accede al tuo sito web, il browser effettua una richiesta al tuo server web. Quindi il server Web risponde con le richieste insieme alle intestazioni HTTP. Queste intestazioni HTTP trasmettono informazioni come codifica del contenuto, controllo della cache, tipo di contenuto, connessione ecc.

Aggiungendo intestazioni di risposta HTTP sicure, puoi migliorare la sicurezza di WordPress e anche prevenire attacchi di mitigazione e vulnerabilità della sicurezza.

Ecco le intestazioni HTTP di seguito:

• HTTP Strict Transport Security (HSTS) : HTTP Strict Transport Security (HSTS) impone al browser Web di utilizzare solo connessioni sicure (HTTPS) durante la comunicazione con un sito Web. Ciò impedisce l'hacking del protocollo SSL, il dirottamento dei cookie, lo stripping SSL ecc.
• X-Frame-Options : X-Frame-Options è una specie di intestazione HTTP che specifica se un browser è autorizzato o meno a eseguire il rendering di un sito Web in un frame. Ciò previene gli attacchi di clickjacking e garantisce che il tuo sito Web non sia incorporato in altri siti Web utilizzando <frame>.
• Protezione X-XSS : la protezione X-XSS è una funzionalità integrata nei browser Internet Explorer, Google Chrome, Firefox e Safari che blocca il caricamento delle pagine se è stato inserito uno script dannoso da un input dell'utente.
• X-Content-Type-Options : X-Content-Type-Options è una sorta di intestazione di risposta HTTP con il valore nosniff che impedisce ai browser Web di annusare una risposta MIME dal tipo di contenuto dichiarato.
• Referrer-Policy: la policy del referrer è un'intestazione di risposta HTTP che impedisce la perdita di referrer tra domini.

Per aggiungere intestazioni HTTP sicure in WordPress, aggiungi semplicemente le seguenti righe di codice nel tuo file .htaccess .

Set di intestazione Strict-Transport-Security "max-age=31536000" env=HTTPS
L'intestazione aggiunge sempre X-Frame-Options SAMEORIGIN
Set di intestazione Protezione X-XSS "1; modalità=blocco"
Intestazione set X-Content-Type-Options nosniff
Intestazione Referrer-Policy: no-referrer-quando-downgrade

Ora vai su securityheaders.com per verificare se i codici funzionano o meno. Non abbiamo aggiunto "Norme sulla sicurezza dei contenuti" perché potrebbero danneggiare il tuo sito. Tuttavia, è sufficiente per rendere sicuro il tuo sito WordPress.

Torna in cima

Conclusione

Esistono molti modi per rafforzare la sicurezza di WordPress, ad esempio: utilizzare un hosting WordPress gestito, utilizzare password complesse per gli account, monitorare le attività degli utenti, utilizzare un plug-in di sicurezza di WordPress, implementare SSL e HTTPS e molti altri.

La sicurezza di WordPress non è una scienza missilistica. Puoi facilmente proteggere il tuo sito WordPress implementando le migliori pratiche di sicurezza di WordPress che abbiamo condiviso in questo articolo. Implementandoli, non solo proteggerai il tuo sito WordPress, ma impedirai anche agli hacker di accedere al tuo sito.

Una volta fatto, non dovresti preoccuparti della sicurezza di WordPress. Inoltre, puoi essere più produttivo e libero da tensioni.

ORA tocca a te . Leggi attentamente l'articolo e implementali nel tuo sito. Sarai felice di averlo fatto.

Abbiamo perso qualche importante suggerimento sulla sicurezza di WordPress da menzionare qui? sentiti libero di farcelo sapere nella sezione commenti.

Infografica sulla sicurezza di WordPress