23 Suggerimenti essenziali per la sicurezza di WordPress
La sicurezza informatica è un campo in continua evoluzione. Mentre i tecnici di sistema lavorano per correggere buchi e punti deboli per prevenire problemi di sicurezza, gli hacker trovano più modi per aggirarli. Per questo motivo, nessun sito Web è al sicuro dall’assalto.
Alcune persone credono erroneamente che se utilizzano un servizio di hosting di siti Web affidabile, come WordPress, saranno esenti da questi rischi. Comunque, l’opposto è vero.
Quando si tratta di web design in WordPress, c’è molto di più a cui pensare che ottenere molto su plugin o modelli. WordPress, come tutti i servizi di hosting, presenta problemi di sicurezza unici che devono essere affrontati se si desidera garantire la sicurezza di un sito Web o di un blog. Queste funzionalità di protezione non possono essere ignorate ed è qualcosa su cui ogni designer dovrebbe lavorare per il concetto del proprio web design.
1 Usa l’hosting sicuro
Sì, puoi utilizzare WordPress gratuitamente, ma ciò significa solo che avrai meno funzionalità di sicurezza e supporto. Quando si esplorano le opzioni, non è sempre vantaggioso scegliere l’opzione più economica. Dai un’occhiata più da vicino alle opzioni di sicurezza offerte da ognuna, alle recensioni e alle valutazioni e al rapporto tra costo e rischio per aiutarti a essere intelligente nella tua scelta definitiva.
2 Schermata prima dell’installazione dei plug-in
Alcuni plug-in possono essere dotati di codice dannoso che può sbriciolare il tuo sito Web e aprire la porta agli hacker. Controlla sempre le valutazioni e leggi le recensioni dei plugin prima di installarli. Questo è particolarmente importante da notare per i plugin gratuiti che non sono stati creati da uno sviluppatore fidato.
Inoltre, assicurati di aggiornare regolarmente anche i tuoi plugin di WordPress. Questi aggiornamenti vengono effettuati per mantenere il corretto funzionamento dei plug-in e proteggerli da vulnerabilità note.
3 Limitare l’accesso
Prestare attenzione alla condivisione delle informazioni di accesso. Troppi accessi che fluttuano tra gli utenti possono creare confusione molto rapidamente, rendendo difficile ricordare chi ha accesso. Allo stesso modo, non sempre sai di chi puoi fidarti tra dipendenti e colleghi designer. Mantieni l’accesso solo a poche persone e modifica spesso i nomi utente e le password per evitare di concedere l’accesso a più persone del necessario.
4 Assumere un esperto
Che tu sia un designer o un uomo d’affari che cerca di creare un sito Web, quando si tratta di sicurezza del sito Web, non puoi essere troppo attento. È sempre una buona idea assumere un esperto che ti aiuti a determinare le tue specifiche di sicurezza. Vai con qualcuno che conosce bene il campo, ha molta esperienza nell’installazione di funzionalità di sicurezza e ha recensioni entusiastiche e testimonianze di clienti precedenti. Il tuo esperto può anche eseguire test per garantire una protezione adeguata per il tuo design WordPress.
5 Cambia spesso le password
Più a lungo la password rimane invariata, più facile sarà per gli hacker impossessarsene. Tra le fasi di sviluppo e le fasi operative, assicurati di cambiare le tue password più volte. Ciò contribuirà anche a ridurre il numero di persone non necessarie che hanno accesso al tuo sito WordPress.
6 Rendi le password forti
Secondo un riepilogo di I-Sight.com, un hacker impiega solo 10 minuti per decifrare una password composta da sei lettere minuscole. Se aggiungi solo poche lettere maiuscole, numeri e un simbolo, la quantità di tempo salta a 44.530 anni. In breve, è meglio scegliere una password più complessa di una facile da ricordare.
7 Proteggi il tuo computer
A volte trojan e virus possono intrufolarsi nel tuo computer attraverso un’installazione senza che tu te ne accorga. Quindi consentirà agli hacker di accedere alle informazioni sensibili memorizzate sul tuo computer. Mantieni il tuo computer bloccato con software aggiornato, protezione antivirus e cronologia di navigazione sicura.
Altre volte questi virus debiliteranno il tuo computer. Una volta che non funziona correttamente, l’hacker sarà in grado di recuperare preziose informazioni dal disco rigido e non sarai in grado di fare nulla per fermare l’attacco.
8 Mantieni il software aggiornato
Gli aggiornamenti vengono effettuati per un motivo. Sono lì per creare protezione e correggere i punti deboli nel software che è vulnerabile al codice difettoso. Come precauzione, scarica solo gli aggiornamenti da WordPress.org per annullare l’installazione di qualcosa che si trasformerà in un virus o peggio.
9 Assegna un nome utente reale
Per rendere più difficile ai visitatori indesiderati l’accesso al tuo sito web, scegli un nome utente diverso da "admin". Questo è il nome utente predefinito per tutti i siti WordPress, ma è rischioso da usare. Gli hacker robotici spesso iniziano i loro attacchi su siti Web che utilizzano ancora il nome utente "admin" perché è più facile da decifrare.
Ci sono stati molti tentativi di hacking che prendono di mira il nome utente "admin" e lo associano a password comuni per hackerare migliaia di account WordPress. È una debolezza troppo comune rispetto a quanto sia facile da risolvere.
10 Separa il tuo nome utente dall’URL del sito
Se il tuo nome utente si trova nell’URL dell’archivio dell’autore sul tuo sito, sarà più facile per loro accedere alla tua pagina. È meglio nascondere il tuo nome utente nel database.
11 Aggiungi un Captcha nella pagina di accesso
I captcha sono fastidiosi, ma fanno un buon lavoro nel proteggere la tua pagina dai robot. Può anche aiutare a proteggere il tuo sito Web da un attacco di forza bruta. Un captcha è un ottimo modo per aggiungere un altro livello di difesa su un sito WordPress.
12 Tenere un audit di sicurezza
Un audit di sicurezza è il modo migliore per trovare punti deboli e vulnerabilità e offrire alcuni suggerimenti per risolverli. Esporrà falle di sicurezza software e hardware che altrimenti influenzerebbero il sistema di gestione dei contenuti stesso.
13 Utilizzare gli strumenti online
Da quando il web è venuto a conoscenza delle minacce alla sicurezza informatica, è esploso con soluzioni per risolverle. Sebbene non tutti gli strumenti online siano utili, gli strumenti più noti con valutazioni elevate contribuiranno a proteggere un sito. Leggi le recensioni e controlla le valutazioni prima di scaricare qualsiasi strumento.
14 Protezione da richieste di URL dannosi
Gli URL dannosi vengono creati con l’intento di abbattere un sito web. Sono spesso contenuti in messaggi di spam o phishing e possono intrufolarsi nel tuo sito Web a tua insaputa. Trova soluzioni per snippet, strumenti e altri software formulati per proteggere il tuo sito Web da richieste di URL dannosi.
15 Diffidare dei temi gratuiti
Come accennato in precedenza, la parola "libero" non è sempre un buon segno per i web designer. Ci sarà una buona qualità e un’elevata sicurezza associate a molti dei temi, ma spesso è difficile dire quale di questi temi proteggerà completamente il tuo sito. Quando possibile, evita di utilizzare temi gratuiti, in particolare quelli non creati da uno sviluppatore affidabile.
Molti temi gratuiti conterranno contenuti di spam come la codifica base64, che possono essere allegati con collegamenti spam e codice dannoso. Uno studio ha mostrato che l’80% di tutti i temi gratuiti aveva questo tipo di codice. Per evitare il mal di testa, acquista temi con valutazioni elevate e recensioni entusiastiche.
16 Disporre di spazio di archiviazione e backup adeguati
Troppi sviluppatori e aziende rimandano il backup di un sito Web fino a quando non è troppo tardi. A causa dei rischi associati a Internet e alla sicurezza della rete, semplicemente non sai mai se un hacker avvierà un attacco di forza bruta sul tuo sito web.
Mantenere i dati archiviati e sottoposti a backup correttamente è parte integrante del successo aziendale e del sito web. Uno studio ha rilevato che il 60% delle aziende che perdono dati dal proprio sito Web fallisce entro sei mesi dall’incidente. Sii proattivo e installa un sistema di backup che manterrà registrazioni costanti di dati importanti.
17 Aggiungere con attenzione i plugin di sicurezza
I plug-in di sicurezza sono un modo eccellente per proteggere il tuo sito Web da eventuali danni, ma possono anche causare danni se non vengono aggiunti correttamente. Potrebbe sembrare facile aggiungere un plug-in di sicurezza, ma se non sai cosa stai facendo, puoi altrettanto facilmente sviluppare più vulnerabilità nel tuo sito web. Se hai poca esperienza con l’installazione di plug-in di sicurezza, è meglio cercare l’aiuto di un professionista.
18 Evitare caricamenti di file
Come regola generale, proibisci il caricamento di file dal tuo sito web. Anche se i tuoi utenti stanno semplicemente caricando un’immagine del profilo o un avatar diverso, i file hanno una maggiore possibilità di mettere a rischio il tuo sito Web da file dannosi o inconsapevolmente bug. Allo stesso modo, fai attenzione quando carichi cose sul tuo sito personalmente. Carica solo contenuti autentici per evitare attacchi al tuo codice.
Molti blogger e web designer non pensano a proteggere l’accesso alla loro directory dei plugin di WordPress, il che lascia il sito vulnerabile. È come lasciare la porta aperta quando vai a dormire la notte in modo che i ladri possano vagare liberamente. Blocca l’accesso a queste directory utilizzando un "file .htaccess" o caricando un file "index.html" vuoto nella directory. Questo dovrebbe tenere la porta chiusa per sempre agli intrusi.
20 Utilizza la crittografia SSL
La maggior parte dei siti Web e dei blog invia e riceve dati e, se tali dati non sono protetti, possono restituire virus, codici difettosi e spyware dannosi. Allo stesso modo, se stai trasferendo dati sensibili e non sono protetti, chiunque può accedervi. Di solito la funzione di crittografia SSL di WordPress è completamente gratuita e facile da installare, il che significa che non hai davvero scuse per non proteggere le trasmissioni.
21 Elimina account aggiuntivi
È importante fare frequentemente l’inventario degli account collegati al tuo sito Web ed eliminare tutti gli extra. In effetti, se possibile, è meglio utilizzare un solo account amministratore a tenuta d’aria che condividi con coloro che hanno bisogno dell’accesso piuttosto che utilizzare più account. Per lo meno, elimina sempre gli account obsoleti e inutilizzati. Lasciarli seduti inutilizzati renderà più facile per gli altri rubare informazioni.
22 Individuare i file compromessi
Se sospetti che i tuoi file WordPress siano stati violati, è una buona idea utilizzare alcuni strumenti per eliminare il problema. Exploit Scanner, Sucuri, Wordfence e WordPress File Monitor Plus sono tutte opzioni eccellenti per recuperare i file e aggiungere ulteriore protezione.
23 Modificare il prefisso del database
La creazione di un sito WordPress di base è molto conveniente, ma questa comodità può essere la rovina di un web designer. Incoraggia la pigrizia e, di conseguenza, è più probabile che tu perda cose come cambiare il prefisso del database, che è un punto di hacking comune. Ricordati sempre di controllare che il prefisso del database sia cambiato per proteggere i nomi delle tabelle del database del tuo sito. Questo semplice passaggio non fermerà gli hacker più esperti, ma fermerà almeno gli attacchi robotici.
Contrariamente alla convinzione di molti web designer, l’installazione di determinate funzionalità di sicurezza e l’adozione di determinate misure per proteggere un sito WordPress è tua responsabilità come web designer. Ci sono troppe minacce per ignorare i rischi della rete informatica. È vero che un reparto IT esperto o un guru della sicurezza può intervenire in un secondo momento e aggiungere ciascuna delle funzionalità elencate qui, ma nel complesso è meglio avere semplicemente queste funzionalità installate all’inizio. Se ogni web designer si prendesse il tempo per proteggere i propri siti WordPress prima di rilasciarli, il numero di tentativi di hacking riusciti sarebbe facilmente dimezzato.