Una guida per principianti per proteggere il tuo sito WordPress
WordPress è uno dei sistemi di gestione dei contenuti più popolari.
Infatti, questa piattaforma di pubblicazione è ora utilizzata da oltre il 27,5% dei primi 10 milioni di siti. Altre piattaforme come Joomla e Drupal semplicemente impallidiscono al confronto. Ciò che rende WordPress così ampiamente supportato è la sua facilità d’uso, che consente di creare un sito completamente funzionale in un breve periodo di tempo.
Ma il fatto che WordPress sia così diffuso lo rende anche un bersaglio per gli hacker.
Eventuali vulnerabilità di sicurezza potrebbero rendere il tuo sito vulnerabile ad attacchi dannosi e persino compromettere i dati degli utenti nel processo. Questo tipo di attacco può essere assolutamente devastante per qualsiasi azienda.
Un sito compromesso non solo riduce la fiducia dei tuoi visitatori, ma potrebbe anche inserire le tue pagine nella lista nera di Google. Infatti, un passo che Google sta già compiendo verso un Web più sicuro è la visualizzazione di un avviso per gli utenti di Chrome se stanno tentando di visitare un sito potenzialmente pericoloso o ingannevole (ad esempio phishing o malware).
Chiunque visiti il tuo sito (se è stato attaccato) potrebbe incontrare quanto segue:
L’importanza della sicurezza del sito Web non può essere sottolineata abbastanza.
Tutto ciò che serve è un singolo attacco per fermare completamente le vendite e potenzialmente inserire il tuo sito nella lista nera di Google. La rimozione del tuo sito è certamente possibile, ma dovrai richiedere una revisione manuale che può richiedere diversi giorni o addirittura settimane per essere risolta a seconda del problema. Una soluzione molto migliore quindi è adottare misure per proteggere il tuo sito.
Qui diamo uno sguardo approfondito a come proteggere e mantenere sicuro il tuo sito WordPress.
Mantieni WordPress aggiornato
Gli aggiornamenti per WordPress sono fondamentali.
Una valutazione di oltre 11.000 siti infetti ha rilevato che il 75% era su WordPress. Più sorprendente, però, è il fatto che oltre il 50% di quei siti web non fosse aggiornato. L’aggiornamento all’ultima versione non solo ti dà accesso alle funzionalità più recenti, ma corregge anche i difetti di sicurezza noti che gli aggressori potrebbero sfruttare.
In effetti, queste vulnerabilità di sicurezza diventano note quando sono disponibili nuovi aggiornamenti. Ecco un esempio di registro di sicurezza per una versione aggiornata di WordPress:
Queste informazioni sono apertamente disponibili man mano che vengono rilasciati nuovi aggiornamenti. Ma se non aggiorni immediatamente, lasci il tuo sito esposto agli attacchi. Aggiorna sempre all’ultima versione per proteggere il tuo sito dalle nuove vulnerabilità scoperte. Se sono disponibili aggiornamenti, vedrai una notifica nella parte superiore della dashboard:
Le versioni più recenti di WordPress ti consentono di aggiornare facilmente con un clic di un pulsante. Tieni presente che il tuo sito verrà messo in modalità di manutenzione per un breve periodo fino al completamento dell’aggiornamento. L’aggiornamento richiede solo pochi minuti, ma una volta terminato non dovrai fare nient’altro.
Non hai voglia di aggiornare manualmente il tuo sito ogni volta?
Le notifiche possono essere piuttosto fastidiose. Ma aggiornare il tuo WordPress è uno dei modi più semplici per proteggere il tuo sito. Se non vuoi preoccuparti se il tuo sito ha l’ultima versione, puoi configurare gli aggiornamenti automatici con alcune semplici modifiche.
Apri il file wp-config.php e aggiungi la seguente riga:
define('WP_AUTO_UPDATE_CORE', true);
Puoi anche abilitare gli aggiornamenti automatici dei plugin aggiungendo la seguente riga allo stesso file:
add_filter( 'auto_update_plugin', '__return_true' );
E aggiungi questa riga per abilitare gli aggiornamenti per i temi:
add_filter( 'auto_update_theme', '__return_true' );
L’aggiunta di queste righe assicurerà che il tuo sito sia mantenuto aggiornato senza richiedere altre azioni. Se sei qualcuno che non può essere disturbato da aggiornamenti o notifiche, vorrai sicuramente configurare gli aggiornamenti automatici per assicurarti che il tuo sito sia sempre aggiornato.
Proteggi l’area amministrativa
Non importa quanto sia sicuro qualcosa, chiunque può facilmente accedervi se ha gli strumenti giusti o se i proprietari sono negligenti. Con WordPress, l’area di amministrazione è un obiettivo primario per gli hacker.
Segui questi passaggi per proteggere questa pagina:
Usa una password complessa
Se utilizzi una password debole (ad es. “12345”, “password”, ecc.), esponi il tuo sito a un rischio maggiore poiché gli aggressori possono utilizzare script automatici per forzare l’accesso. Ciò significa tentare ripetutamente una password finché una non funziona Ma l’utilizzo di una password complessa che contenga una combinazione di numeri e simboli rende quasi impossibile la decifratura anche per i programmi più sofisticati.
Usa uno strumento come Strong Password Generator per creare una password forte e sicura per il tuo sito WordPress:
La forzatura bruta di una password come questa richiederebbe anni o addirittura decenni a un programma per computer per decifrarla. Lo svantaggio però è che una password complessa è difficile da ricordare. Ma ne vale sicuramente la pena se significa impedire agli aggressori di accedere al tuo sito. Fortunatamente, sono disponibili numerosi gestori di password che puoi utilizzare per memorizzare la tua password.
Cambia il tuo nome utente
Quando installi WordPress per la prima volta, ti verrà chiesto di inserire un nome utente.
Gli aggressori non saranno in grado di accedere alla tua dashboard a meno che non abbiano sia il tuo nome utente che la tua password. Puoi facilmente bloccare i tentativi di forza bruta semplicemente utilizzando un nome utente più univoco. Quindi non usare “admin” quando scegli un nome utente.
Limita i tentativi di accesso
Come accennato in precedenza, gli aggressori possono utilizzare programmi per penetrare nel tuo sito con la forza bruta. Tuttavia, sono disponibili plug-in come Login LockDown che consentono di limitare i tentativi di accesso da un indirizzo IP specifico. Se più di alcuni tentativi falliscono, quell’utente viene bloccato.
Rinomina la tua pagina di accesso
Infine, un altro modo per proteggere l’area di amministrazione è spostare del tutto la pagina di accesso. In genere si accede al dashboard da www.yoursite.com/wp-admin
. Un problema evidente però è che gli hacker sanno che semplicemente aggiungendo ” /wp-admin
” a un sito WordPress darà loro accesso alla pagina di amministrazione.
Protect WP-Admin risolve questo problema consentendo ai webmaster di personalizzare l’URL del pannello di amministrazione:
Proteggere l’area di amministrazione seguendo questi passaggi può ridurre e bloccare notevolmente gli attacchi automatici al tuo sito.
Abilita l’autenticazione a due fattori
L’autenticazione a due fattori aggiunge un ulteriore livello di sicurezza rendendo ancora più difficile per gli aggressori ottenere l’accesso al tuo account. L’accesso non richiede solo un nome utente e una password, ma anche un codice di autorizzazione aggiuntivo che viene generalmente inviato tramite SMS a un dispositivo mobile.
Anche se un utente malintenzionato indovinasse in qualche modo il tuo nome utente e la tua password, non sarebbe in grado di accedere al tuo account senza il codice di autorizzazione. Scarica e installa il plug-in di Google Authenticator per configurare facilmente l’autenticazione a due fattori sul tuo sito:
Oltre a poter utilizzare l’app Google Authenticator per la verifica, il plug-in offre anche opzioni aggiuntive per l’autenticazione a due fattori come la verifica tramite e-mail e telefonata. L’autenticazione a due fattori può essere utilizzata anche se il tuo sito ha più utenti.
Usa .htaccess per limitare l’accesso ai file cruciali
Puoi rafforzare ulteriormente la sicurezza del tuo sito WordPress con il file .htaccess. Questo file viene utilizzato principalmente in WordPress per l’ottimizzazione del sito Web come la riscrittura degli URL per renderli più user friendly e per i motori di ricerca. Ma può anche essere utilizzato per migliorare la sicurezza del tuo sito.
Il file .htaccess si trova in genere nella cartella principale ed è possibile accedervi tramite un client FTP o cPanel. Sono inoltre disponibili diversi plugin tra cui SEO by Yoast che consente l’accesso diretto dalla dashboard.
Ecco diversi modi per proteggere il tuo sito utilizzando il file .htaccess:
Nascondi wp-config.php
Il file wp-config.php è standard con ogni installazione ma contiene anche informazioni sensibili come le chiavi di sicurezza e i dettagli di connessione del database al tuo sito. Questi sono dettagli che di certo non vuoi nelle mani sbagliate. La soluzione migliore quindi è nascondere completamente questo file e renderlo inaccessibile.
Nascondi il file wp-config.php aggiungendo il seguente codice al file .htaccess:
order allow,deny
deny from all
A causa del modo in cui WordPress implementa la sua struttura di file, è del tutto possibile per i visitatori accedere alle cartelle e ai file del tuo sito semplicemente navigando su yoursite.com/wp-content/uploads. Quindi ti consigliamo di impedire la navigazione nelle directory poiché gli aggressori potrebbero utilizzare queste informazioni per scopi nefasti.
Aggiungi la seguente riga al tuo file .htaccess:
Options All -Indexes
I file PHP sono incredibilmente importanti da proteggere poiché gli hacker possono utilizzare questi file per iniettare codice dannoso per infettare un sito. Aggiungi il seguente codice al tuo file .htaccess per impedire l’accesso ai file PHP del tuo plugin e del tema:
RewriteCond %{REQUEST_URI} !^/wp-content/plugins/file/to/exclude.php
RewriteCond %{REQUEST_URI} !^/wp-content/plugins/directory/to/exclude/
RewriteRule wp-content/plugins/(.*.php)$ - [R=404,L]
RewriteCond %{REQUEST_URI} !^/wp-content/themes/file/to/exclude.php
RewriteCond %{REQUEST_URI} !^/wp-content/themes/directory/to/exclude/
RewriteRule wp-content/themes/(.*.php)$ - [R=404,L]
La semplice aggiunta di queste modifiche al tuo file .htaccess migliorerà la sicurezza del tuo sito WordPress e renderà ancora più difficile per gli aggressori ottenere l’accesso al tuo sito. Indipendentemente da ciò, non esiste un sito completamente sicuro poiché vengono costantemente scoperte e sfruttate nuove vulnerabilità.
Ecco perché è necessario disporre di un piano di riserva nel caso in cui le cose prendano una brutta piega.
Esegui regolarmente il backup del tuo sito Mantieni backup regolari
Non importa quante misure di sicurezza prendi, il tuo sito potrebbe comunque essere vulnerabile.
Anche se WordPress esiste da oltre un decennio, il team di sviluppo identifica e risolve costantemente i problemi di sicurezza. Per non parlare del fatto che eventuali nuovi temi o plug-in che installi potrebbero anche avere exploit che non sono stati ancora corretti.
Ecco perché è una buona idea eseguire regolarmente il backup del tuo sito. In questo modo puoi ripristinare rapidamente il tuo sito e ridurre al minimo eventuali perdite se il tuo sito viene rimosso da un attacco.
Ti consigliamo di assicurarti che il backup del tuo sito venga eseguito regolarmente e anche salvato nel cloud. Se il tuo computer è compromesso, potrai accedere al backup e ripristinarlo da un altro dispositivo. Ti consigliamo di utilizzare una soluzione automatizzata come BackupBuddy.
La maggior parte delle soluzioni di backup richiede un abbonamento a pagamento. Ma se ti affidi al tuo sito web per la tua attività, vale la pena pagare solo per la tua tranquillità. Nel caso in cui il tuo sito venga rimosso a causa di un attacco, puoi collaborare con il tuo provider di hosting e ripristinare facilmente il tuo sito a una versione precedente con un backup.
Conclusione
Sebbene WordPress stesso sia relativamente sicuro, l’aggiunta di temi, plug-in e codice personalizzato aumenta la probabilità di una vulnerabilità di sicurezza che gli hacker possono (e fanno) sfruttare. A meno che tu non adotti subito determinate misure di sicurezza, il tuo sito potrebbe essere un potenziale bersaglio.
È importante notare che nessun sistema è completamente sicuro. Ma ci sono precauzioni che puoi prendere che ridurranno notevolmente le possibilità di essere colpiti da un attacco dannoso.
Segui i passaggi descritti qui per rafforzare la sicurezza del tuo sito WordPress.