La sicurezza di WordPress è nella mente di molti proprietari di siti. WordPress ha uno script open source, quindi, naturalmente, tutti sono preoccupati che sia vulnerabile ad attacchi di ogni tipo. Tuttavia, WordPress non è intrinsecamente vulnerabile e ci sono molti passaggi che puoi intraprendere per proteggere WordPress.
Alla fine della giornata, il proprietario del sito è spesso più responsabile degli hack rispetto alla piattaforma. Si scopre che hai molto da dire su come rendere sicuro il tuo sito WordPress. Ecco alcuni suggerimenti e trucchi per aiutarti a capire come proteggere il tuo sito Web su WordPress.
Crea un blocco del sito e banna gli utenti
La creazione di una funzione di blocco per ripetuti tentativi di accesso falliti aiuterà a impedire che aspiranti hacker facciano continui tentativi di forza bruta che alla fine hanno successo. Qualsiasi tentativo di hacking che utilizzi ripetutamente password lunghe e ripetitive blocca il sito e sarai avvisato di attività non autorizzate. Questo bloccherà immediatamente molti hacker.
Uno dei modi per aumentare la sicurezza di WordPress contro questo tipo di tentativo di hacking è il plugin iThemes Security. È stato fantastico per molto tempo senza alcun segno di rallentamento. Ti offre la possibilità di specificare quanti tentativi di accesso non riusciti ha un utente prima che il plug-in bandi il suo indirizzo IP e ti avvisi.
Utilizzare i metodi di autenticazione a 2 fattori
L’autenticazione a 2 fattori (SFA) è una delle tante best practice per la sicurezza di WordPress. Richiede all’utente di fornire i dettagli di accesso per due componenti di spate. In qualità di proprietario del sito, puoi decidere quali sono questi due componenti. Può essere una normale password seguita da un codice segreto, una domanda segreta, un insieme di caratteri, un CAPTCHA e così via.
Molti proprietari di siti preferiscono il metodo 2FA per proteggere il proprio sito. Google Authenticator è un buon plug-in per includere 2FA sul tuo sito. È, come con molti plugin di Google, affidabile e spesso aggiornato.
Usa l’e-mail come nome utente di accesso
L’impostazione predefinita per la maggior parte dei siti richiede un nome utente per accedere. Per aumentare la sicurezza di WordPress, utilizza un ID e-mail anziché un nome utente. È un approccio più sicuro. I nomi utente sono facili da prevedere per gli hacker. Le e-mail non sono così facili da prevedere. Inoltre, gli account utente di WordPress devono essere creati utilizzando un indirizzo e-mail univoco, che li rende un identificatore più valido.
Un buon plugin per aumentare la sicurezza di WordPress in questo modo è WP Email Login. Funziona subito dopo l’installazione. Basta attivarlo e partire. Nessuna configurazione necessaria. Se desideri testarlo, esci dal tuo sito e quindi accedi nuovamente utilizzando l’indirizzo e-mail con cui hai creato l’account.
Rinomina il tuo URL di accesso
È molto facile modificare l’URL di accesso. Il login predefinito di WordPress è facilmente accessibile tramite wp-login.php o wp-admin aggiunto all’URL principale del tuo sito. Quando gli hacker conoscono l’URL diretto della pagina di accesso, spesso cercheranno di entrare nel tuo sito con la forza bruta. Proveranno quindi ad accedere con il loro Guess Work Database (GWDb), un database di nomi utente e password ipotizzati che contiene milioni di combinazioni di caratteri. Gli hacker trovano facile farlo. È grezzo, è semplice, ma troppo spesso è efficace.
Se hai seguito tutti i passaggi descritti sopra, hai già limitato il numero di tentativi di accesso degli utenti e scambiato i nomi utente per l’identificazione e-mail. Modificando l’URL oltre a queste due misure di sicurezza di WordPress, eliminerai il 99% degli attacchi diretti di forza bruta. Questo farà molto per tenere lontano il tipo più comune di hacker di WordPress.
Tutto quello che devi fare per impedire a soggetti non autorizzati di accedere alla pagina di accesso è utilizzare il plug-in iThemes Security per farlo:
- Cambia wp-login.php in qualcosa di unico; es. mio_nuovo_accesso
- Cambia /wp-admin/ in qualcosa di unico; es. mio_nuovo_amministratore
- Cambia /wp-login.php?action=register in qualcosa di unico
Usa un host di buona qualità
Il tuo host è molto simile alla strada del tuo sito su Internet. Come gli indirizzi stradali nella vita reale, la qualità della strada può influenzare il tipo di traffico che vede.
Un buon host influenzerà l’affidabilità del tuo sito, le sue prestazioni, quanto può diventare grande e persino quanto si posiziona in alto sui motori di ricerca. Gli host davvero eccezionali offrono ai proprietari di siti molte funzioni utili, incluso un buon supporto e servizi su misura per la piattaforma scelta dal proprietario.
Cerca host che aggiornano frequentemente il loro servizio, software e strumenti su base regolare, quasi costante. Dovrebbe anche rispondere alle minacce più recenti ed eliminare rapidamente possibili violazioni della sicurezza. Un host web dovrebbe offrire funzionalità di sicurezza mirate come certificati SSL/TLS e protezione DDoS. Dovresti ottenere l’accesso a un Web Application Firewall (WAF) per monitorare e bloccare le minacce gravi al sito WordPress.
Un buon host web probabilmente ti fornirà anche un modo per eseguire il backup del tuo sito. In alcuni casi, faranno anche il backup per te. Ciò ti consentirà di ripristinare la versione stabile precedente se il tuo sito viene mai violato. Dovrebbero offrire un supporto affidabile 24 ore su 24, 7 giorni su 7, così sarai sempre in grado di contattare un esperto per aiutarti con problemi di sicurezza.
Cambia il tuo sito su HTTPS
Con un certificato SSL/TLS, puoi passare il tuo sito WordPress a HyperText Transfer Protocol Secure (HTTPS), una versione più sicura di HTTP. Questo è un ottimo modo per aumentare la sicurezza di WordPress.
HTTP è il protocollo che trasferisce i dati tra un sito Web e un browser che tenta di accedervi. Ogni volta che un visitatore fa l’orologio sulla tua pagina, tutte le costanti, i media e il codice vengono inviati attraverso questo protocollo alla posizione del visitatore. Questo è necessario ma crea anche problemi di sicurezza.
Con HTTPS, questo problema è risolto. Fa la stessa cosa di HTTP, ma crittografa anche i dati del sito mentre viaggia da un luogo all’altro. È iniziato come qualcosa che veniva utilizzato per proteggere le informazioni sensibili dei clienti, come i dettagli della carta di credito, ma è diventato sempre più comune per tutti i tipi di siti.
Quando passi a HTTPS, i clienti avranno un’elevata sicurezza nella gestione del tuo sito. Si consiglia di disporre di un SSL di marchi autenticati come Comodo, Thawte, GlobalSign, ecc. Se si dispone di un sito a dominio singolo, si consiglia di disporre di un certificato Comodo PositiveSSL di Comodo o di qualsiasi altro SSL a dominio singolo di marchi discussi. Proteggerà le transazioni online tra il server e il browser.
Considerazioni finali sulla sicurezza di WordPress
Questi suggerimenti per la sicurezza di WordPress ti aiuteranno ad assicurarti che tutto il lavoro che hai inserito nel tuo sito non vada perso in un hack. Incoraggerà le persone a visitare e vedere cosa hai da offrire.
Se ti è piaciuto leggere questo articolo sulla sicurezza di WordPress, dovresti dare un’occhiata a questo sul plugin SSL di WordPress.
Abbiamo anche scritto di alcuni argomenti correlati come plug- in per scanner di malware e sali di WordPress.