{"id":255676,"date":"2023-10-09T07:58:00","date_gmt":"2023-10-09T04:58:00","guid":{"rendered":"https:\/\/inform.click\/10-innovativi-trucchi-di-sicurezza-per-wordpress-per-proteggere-il-tuo-sito-web\/"},"modified":"2023-10-09T07:58:00","modified_gmt":"2023-10-09T04:58:00","slug":"10-innovativi-trucchi-di-sicurezza-per-wordpress-per-proteggere-il-tuo-sito-web","status":"publish","type":"post","link":"https:\/\/inform.click\/it\/10-innovativi-trucchi-di-sicurezza-per-wordpress-per-proteggere-il-tuo-sito-web\/","title":{"rendered":"10 innovativi trucchi di sicurezza per WordPress per proteggere il tuo sito web"},"content":{"rendered":"

\n Indipendentemente dal fatto che tu possieda un blog personale o un sito Web aziendale critico con dati sensibili, devi dare la dovuta enfasi alla loro protezione nella massima misura possibile. Per impedire a un visitatore malintenzionato di accedere al tuo sito Web, \u00e8 fondamentale preparare una check-list di sicurezza ed eseguire controlli di sicurezza periodici.\n<\/p>\n

\n Detto questo, un sistema sicuro al cento per cento \u00e8 praticamente impossibile da configurare poich\u00e9 c'\u00e8 sempre la probabilit\u00e0 che nuove “minacce” emergano dal nulla. Anche se potrebbe non essere possibile eliminare completamente il rischio di violazioni della sicurezza, seguire una serie di best practice pu\u00f2 aiutarti a ridurre al minimo le potenziali vulnerabilit\u00e0.\n<\/p>\n

\n Quando si tratta di proteggere un<\/a> sito Web WordPress, avrai l'imbarazzo della scelta per quanto riguarda la disponibilit\u00e0 delle risorse. Ci sono un sacco di suggerimenti, modifiche e tutorial pubblicati su una miriade di siti Web e blog. Tuttavia, quando dai un'occhiata pi\u00f9 da vicino, potresti rimanere deluso dalla mancanza di sostanza. Le misure di sicurezza di WordPress elencate nella maggior parte di questi siti Web sono di natura molto semplice. Che si tratti dell'aggiornamento alla versione pi\u00f9 recente di WordPress, della pianificazione di backup periodici o dell'utilizzo di una password amministratore di elevata complessit\u00e0, potresti aver gi\u00e0 implementato tutte queste misure fondamentali. Ovviamente la domanda che ti viene in mente \u00e8 “Cosa c'\u00e8 dopo?”\n<\/p>\n

\n Questo tutorial ha lo scopo di dare una risposta definitiva alla tua domanda. Qui sono discusse dieci misure di sicurezza innovative che possono aiutarti a mantenere il controllo di un sito Web WordPress nella tua custodia sicura. Passiamo ora ai dettagli.\n<\/p>\n

\n 1 Utilizzare l'autenticazione a due fattori:
\n<\/h4>\n

\n Quando implementi l'autenticazione a due fattori, una persona che tenta di accedere alla dashboard di WordPress dovr\u00e0 inserire una OTP (One Time Password) generata casualmente, oltre al nome utente e alla password standard. Le funzioni crittografiche vengono utilizzate per generare OTP in tempo reale e viene inviato solo al destinatario previsto su un dispositivo di comunicazione tramite un gateway sicuro. Il cellulare \u00e8 il dispositivo di comunicazione pi\u00f9 utilizzato per questo scopo.\n<\/p>\n

\n Quindi, anche se un hacker riesce a rubare il tuo nome utente e la tua password, non sar\u00e0 comunque in grado di accedere al tuo pannello di amministrazione di WordPress senza la One Time Password.\n<\/p>\n

\n Come implementare l'autenticazione a due fattori?<\/strong>\n<\/p>\n

\n Puoi utilizzare qualsiasi plug-in di generazione OTP per implementare l'autenticazione a due fattori sul tuo sito Web WordPress. Sul mercato sono disponibili plug-in sia commerciali che gratuiti. Due plugin consigliati che sono liberamente disponibili sul repository di WordPress sono:\n<\/p>\n

    \n
  1. \n Autenticazione a due fattori<\/a>\n <\/li>\n
  2. \n Autenticazione a due fattori Duo<\/a>\n <\/li>\n<\/ol>\n

    \n Entrambi i plugin sono molto facili da configurare anche per un webmaster alle prime armi. La documentazione dettagliata sull'installazione e la configurazione \u00e8 disponibile nelle rispettive pagine dei plug-in.\n<\/p>\n

    \n 2 Disabilita la modifica del file modello tramite WP Dashboard
    \n<\/h4>\n

    \"\"<\/a><\/p>\n

    \n Un utente WordPress con accesso amministrativo pu\u00f2 modificare i file modello del tuo sito Web accedendo a Aspetto > Editor. Nel caso in cui un visitatore con intenti malevoli riesca ad hackerare le tue credenziali utente amministratore, allora anche lui pu\u00f2 apportare le modifiche desiderate a quei file direttamente dalla dashboard di WordPress. Per evitare che ci\u00f2 accada, puoi disabilitare la modifica dei file dalla dashboard di WordPress.\n<\/p>\n

    \n Come disabilitare la modifica del file modello?<\/strong>\n<\/p>\n

    \n Per disabilitare la modifica dei file tramite l'editor della dashboard, devi aggiungere una riga di codice al file di configurazione del tuo sito Web WordPress. Vai al programma di gestione file disponibile sul pannello di controllo del tuo hosting e naviga fino alla directory principale. Apri il file wp-config.php in un editor di testo e aggiungi la seguente riga di codice in fondo al file.\n<\/p>\n

    define( 'DISALLOW_FILE_EDIT', true );<\/code><\/pre>\n
    \n  3 Nascondi il feedback sugli errori di accesso dai visitatori
    \n<\/h4>\n
    \"\"<\/a><\/p>\n
    \n  A cosa serve mostrare i log degli errori ai tuoi visitatori? Assolutamente niente. Quando qualcosa va storto, solo tu, l'utente amministratore, dovresti saperlo. A peggiorare le cose, rendendo pubblico il feedback sull'errore, in realt\u00e0 stai dando un suggerimento sufficiente a un visitatore tecnicamente esperto per tentare di hackerare il tuo sito web.\n<\/p>\n
    \n  Come interrompere la visualizzazione del feedback sugli errori?<\/strong>\n<\/p>\n
    \n  Esiste un metodo semplice per impedire che il feedback sugli errori di accesso a WordPress venga visualizzato pubblicamente. Dopo aver effettuato l'accesso al pannello di amministrazione di WordPress, vai su Aspetto > Editor. Apri il file functions.php del tema attivo e posiziona il seguente frammento di codice ovunque all'interno del file.\n<\/p>\n
    add_filter('login_errors',create_function('$a', \"return null;\"));<\/code><\/pre>\n
    \n  4 Eliminare l'utente ‘admin'
    \n<\/h4>\n
    \"\"<\/a><\/p>\n
    \n  L'account utente amministrativo predefinito che viene creato automaticamente al momento dell'installazione di WordPress \u00e8 ‘admin'. \u00c8 anche l'area pi\u00f9 vulnerabile per quanto riguarda la sicurezza di WordPress, che viene sfruttata dagli hacker il pi\u00f9 delle volte. Quindi eliminare questo account “amministratore” predefinito e gestire il tuo sito Web da un altro account amministratore “pseudo” \u00e8 un'ottima idea per tenere a bada gli hacker. Come minimo, render\u00e0 la vita un po' pi\u00f9 difficile a qualsiasi potenziale hacker.\n<\/p>\n
    \n  Come eliminare l'utente “admin” predefinito?<\/strong>\n<\/p>\n
    \n  Questa attivit\u00e0 pu\u00f2 essere svolta in due diverse fasi come descritto di seguito:\n<\/p>\n
      \n
    1. \n    Durante l'installazione di WordPress<\/strong>: se si tratta di un nuovo account di hosting su cui stai cercando di creare il tuo sito Web WordPress, puoi eliminare l'utente “admin” durante l'installazione di WordPress. Nella prima schermata di installazione vengono visualizzate le opzioni configurabili dall'utente. Il nome utente \u00e8 uno di questi elementi che puoi modificare. Prima di fare clic sul pulsante “Installa” situato nella parte inferiore dello schermo, \u00e8 sufficiente sostituire il nome utente predefinito “admin” con il nome che preferisci. Quindi procedi con il processo di installazione come faresti normalmente.\n  <\/li>\n
    2. \n    Per un'installazione WordPress esistente<\/strong>: se disponi gi\u00e0 di un sito Web WordPress esistente, devi prima accedere con il tuo account “amministratore” e creare un nuovo account utente. Assicurati di fornire al nuovo utente privilegi amministrativi completi. Quindi disconnettersi dall' account amministratore e accedere nuovamente utilizzando l'account utente appena creato. Vai alla scheda “Utenti” sulla dashboard di WordPress ed elimina l'account utente “admin”. Ora puoi gestire la tua dashboard con l'utente amministrativo appena creato.\n  <\/li>\n<\/ol>\n
      \n  5 Nascondi il numero di versione di WordPress
      \n<\/h4>\n
      \"\"<\/a><\/p>\n
      \n  Ogni versione di WordPress presenta alcune vulnerabilit\u00e0 che di solito vengono risolte quando viene rilasciata la versione successiva. Se un hacker riesce a identificare quale versione di WordPress stai utilizzando, pu\u00f2 facilmente associarla a una nota debolezza e sfruttarla per ottenere il controllo del tuo sito web. Per evitare un tale scenario, puoi istruire il file delle funzioni di WordPress a non rivelare il numero di versione.\n<\/p>\n
      \n  Come nascondere il numero di versione di WP?<\/strong>\n<\/p>\n
      \n  Di solito il numero di versione di WordPress viene inserito nel file di intestazione del tuo tema tramite la funzione ‘wp-head()'. Tuttavia, rimuovere la funzione non \u00e8 una soluzione, perch\u00e9 la stessa funzione potrebbe essere utilizzata anche da alcuni dei plugin che hai installato. Invece, un'alternativa migliore \u00e8 aggiungere il seguente frammento di codice al tuo file functions.php.\n<\/p>\n
      remove_action('ks29so_head','ks29so_generator');<\/code><\/pre>\n
      \n  6 Blocca l'accesso ai bot
      \n<\/h4>\n
      \"\"<\/a><\/p>\n
      \n  I bot sono strumenti automatizzati programmati dal computer utilizzati dagli hacker per assumere il controllo del tuo sito web. Questi programmi automatici possono anche utilizzare le tue risorse di web hosting per eseguire altre attivit\u00e0 per conto dell'hacker. Impedendo ai bot di accedere alle tue pagine web e directory, puoi rafforzare la tua presa sull'amministrazione del sito web.\n<\/p>\n
      \n  Come impedire ai bot di accedere al tuo sito web?<\/strong>\n<\/p>\n
      \n  La riscrittura delle mod \u00e8 un rimedio efficace per bloccare l'accesso ai bot. Utilizzando un qualsiasi programma di editor di testo, apri il .htaccess<\/code>file ” ‘ presente nella directory principale di WordPress. Scorri verso il basso fino alla fine del file, inserisci il frammento di codice indicato di seguito e quindi salva il file nella stessa posizione. Assicurati di non modificare il nome del file.\n<\/p>\n
      SetEnvIfNoCase User-Agent ^$ keep_out\nSetEnvIfNoCase User-Agent (pycurl|casper|cmsworldmap|diavol|dotbot) keep_out\nSetEnvIfNoCase User-Agent (flicky|ia_archiver|jakarta|kmccrew) keep_out\nSetEnvIfNoCase User-Agent (purebot|comodo|feedfinder|planetwork) keep_out\nOrder Allow,Deny\nAllow from all\nDeny from env=keep_out<\/code><\/pre>\n
      \n  7 Utilizzare i permessi file\/cartelle appropriati
      \n<\/h4>\n
      \"\"<\/a><\/p>\n
      \n  I permessi sui file non sono altro che un metodo di restrizione dell'accesso. Utilizzando i parametri di autorizzazione file appropriati, \u00e8 possibile impedire ai visitatori di accedere a file di configurazione importanti che risiedono nella directory di installazione di WordPress.\n<\/p>\n
      \n  Come implementare la restrizione di accesso?<\/strong>\n<\/p>\n
      \n  Di seguito sono elencate le impostazioni di autorizzazione di file e cartelle consigliate per il tuo sito Web WordPress:\n<\/p>\n
      \n  Il valore CHMOD per tutti i file di dati deve essere impostato su 644.\n<\/p>\n
      \n  Il valore CHMOD per tutte le cartelle e sottocartelle deve essere impostato su 755.\n<\/p>\n
      \n  Il valore CHMOD per il file di configurazione di WordPress (wp-config.php) deve essere impostato su 640.\n<\/p>\n
      \n  8 Limita i tentativi di accesso degli utenti:
      \n<\/h4>\n
      \"\"<\/a><\/p>\n
      \n  Con ogni probabilit\u00e0, un hacker dovrebbe utilizzare diverse combinazioni di nome utente e password per entrare nel pannello di amministrazione di WordPress. A meno che non ci sia un limite al numero di tentativi di accesso falliti, un hacker pu\u00f2 continuare per tutto il tempo necessario per trovare la giusta combinazione nome utente-password.\n<\/p>\n
      \n  Come limitare i tentativi di accesso?<\/strong>\n<\/p>\n
      \n  Il modo pi\u00f9 semplice per limitare i tentativi di accesso degli utenti \u00e8 utilizzare un plug-in open source, Limit Login Attempts. Pu\u00f2 essere scaricato liberamente dal repository dei plugin di WordPress. Dopo aver installato e attivato il plug-in, \u00e8 possibile specificare il numero di accessi non riusciti che un utente pu\u00f2 tentare per un determinato periodo di tempo.\n<\/p>\n
      \n  9 Utilizzare la modalit\u00e0 SSL per le sessioni di accesso
      \n<\/h4>\n
      \n  Forzare il tuo sito Web WordPress in modalit\u00e0 SSL per l'accesso garantisce un trasferimento sicuro dei dati tra il browser Web dell'utente e il tuo server. Il browser Web crittografa il nome utente e la password prima di inviarli al sistema del server tramite un canale sicuro quando viene utilizzato SSL.\n<\/p>\n
      \n  Come utilizzare la modalit\u00e0 SSL per tutti gli accessi?<\/strong>\n<\/p>\n
      \n  Prima di tutto, devi avere un certificato SSL valido installato sul tuo server web. Per forzare la modalit\u00e0 SSL per tutti gli accessi utente, \u00e8 necessario definire le preferenze di accesso SSL nel file di configurazione di WordPress (wp-config.php). Puoi forzare la modalit\u00e0 SSL solo per l'utente amministratore o abilitare questa funzione per tutti gli accessi. Vai alla tua directory principale e apri il file wp-config.php. Quindi aggiungi uno dei frammenti di codice indicati di seguito in base alle tue esigenze.\n<\/p>\n
      \n  Solo per le sessioni di accesso amministratore:\n<\/p>\n
      define('FORCE_SSL_ADMIN', true);<\/code><\/pre>\n
      \n  Per tutte le sessioni di accesso utente:\n<\/p>\n
      define('FORCE_SSL_LOGIN', true);<\/code><\/pre>\n
      \n  10 Disabilita l'accesso alla cartella ‘wp-content'
      \n<\/h4>\n
      \"\"<\/a><\/p>\n
      \n  Tutte le immagini e i file multimediali che carichi sul tuo sito Web WordPress sono archiviati nella cartella “wp-content”. Contiene anche tutti i file del plugin. Gli hacker possono usarlo come punto di ingresso per iniettare elementi dannosi nel tuo sito web. Un'altra attivit\u00e0 non etica che pu\u00f2 essere eseguita attraverso lo stesso canale \u00e8 il furto di larghezza di banda. Quindi si consiglia vivamente di bloccare l'accesso pubblico a questa directory.\n<\/p>\n
      \n  Come disabilitare l'accesso a file multimediali e plug-in?<\/strong>\n<\/p>\n
      \n  Puoi aggiungere una regola al tuo .htaccess<\/code>file per impedire l'accesso a tutti i tipi di file disponibili all'interno della cartella “wp-content”. Tieni presente che i file CSS e JavaScript, insieme alle immagini (jpg, png, gif), sono a maggior rischio di essere sfruttati dagli hacker.\n<\/p>\n
      Order Allow,Deny\nDeny from all\n\nAllow from all<\/code><\/pre>\n
      \n  Conclusione:\n<\/p>\n
      \n  Con il passare dei giorni, gli hacker stanno inventando nuove tecniche per assumere il controllo del tuo sito Web e della tua attivit\u00e0. Non ha senso attenersi a ci\u00f2 che gli “altri” hanno fatto per secoli. Per eliminare la possibilit\u00e0 che il tuo sito Web WordPress venga violato, devi stare un gradino sopra ed essere pi\u00f9 intelligente della tua nemesi.\n<\/p>\n<\/p>\n
      \n  Fonte di registrazione: instantshift.com<\/a>\n<\/div>\n","protected":false},"excerpt":{"rendered":"
      Indipendentemente dal fatto che tu possieda un blog personale o un sito Web aziendale critico con dati sensibili, devi dare la dovuta enfasi alla loro protezione nella massima misura possibile. Per impedire a un visitatore malintenzionato di accedere al tuo sito Web, \u00e8 fondamentale preparare una check-list di sicurezza ed eseguire controlli di sicurezza periodici. Detto questo, un sistema sicuro al cento per cento \u00e8 praticamente impossibile da configurare poich\u00e9 c’\u00e8 sempre la probabilit\u00e0 che nuove “minacce” emergano dal nulla. Anche se potrebbe non essere possibile eliminare completamente il rischio di violazioni della sicurezza, seguendo una serie di migliori…<\/p>\n","protected":false},"author":1,"featured_media":143442,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":"","_wp_rev_ctl_limit":""},"categories":[108,56,147],"tags":[],"class_list":["post-255676","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-sicurezza-web","category-web-e-wordpress","category-web-suggerimenti-e-trucchi"],"_links":{"self":[{"href":"https:\/\/inform.click\/it\/wp-json\/wp\/v2\/posts\/255676","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/inform.click\/it\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/inform.click\/it\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/inform.click\/it\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/inform.click\/it\/wp-json\/wp\/v2\/comments?post=255676"}],"version-history":[{"count":0,"href":"https:\/\/inform.click\/it\/wp-json\/wp\/v2\/posts\/255676\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/inform.click\/it\/wp-json\/wp\/v2\/media\/143442"}],"wp:attachment":[{"href":"https:\/\/inform.click\/it\/wp-json\/wp\/v2\/media?parent=255676"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/inform.click\/it\/wp-json\/wp\/v2\/categories?post=255676"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/inform.click\/it\/wp-json\/wp\/v2\/tags?post=255676"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}