Sei mai stato preda di un attacco hacker? La sicurezza WordPress è un argomento di attualità. La grande popolarità del programma ne fa un ambito obiettivo da parte di maldestri hacker e virus spam. Azioni che possono davvero compromettere tutto il tuo lavoro, in questa mini guida a puntate, dedicheremo spazio a singoli approfondimenti, dandoti i nostri consigli per proteggere WordPress e lavorare in modo più sicuro.
Con tanti hacker che tentano di infiltrarsi nei siti WordPress, ti sarai chiesto anche tu se WordPress è sicuro. Mettere in sicurezza WordPress è il compito principale del team di Automattic (www.automattic.com) che lavora diligentemente per neutralizzare eventuali vulnerabilità che si sviluppano all’interno del core di WordPress. Le patch di protezione sono incluse negli aggiornamenti del core rilasciati in modo coerente e regolarmente. Altro motivo in più per mantenere sempre il sito web aggiornato.
A distanza di più di un anno dalla pubblicazione di questo interessante articolo sulla sicurezza WordPress, dove ti avevo dato alcuni utili consigli: WordPress migliore. Riprendiamo un argomento di estrema attualità per tutti gli utenti.
Sicurezza WordPress
Da quando è stata rilasciata la prima versione di WordPress, oltre 2.450 vulnerabilità sono state patchate. In alcuni casi sono state fatte “riparazioni” in meno di 40 minuti dalla scoperta di una vulnerabilità. La maggiore sicurezza è uno dei motivi che ci spinge a mantenere aggiornato il core di WordPress, al fine di applicare tutte le patch di protezione che sono state lanciate.
“Un simbolico hacker si prepara a lanciare un attacco?”
WordPress è sicuro
Grazie all’attenzione alla sicurezza manifestata dai nostri clienti e ai nostri interventi, abbiamo pensato di fare ulteriore chiarezza. Ma data la complessità dell’argomento ho deciso di dividere questo articolo in più puntate. Analizzeremo tutti gli aspetti della sicurezza WordPress, dandoti alcune soluzioni pratiche per: impedire l’esplorazione di directory, eliminare i file non necessari, Modifica della struttura di file e directory, nascondere la pagina di accesso di WordPress e altro ancora.
Il popolare CMS è un target
Ogni sito web è un bersaglio. Il motivo che WordPress stesso sia un sistema molto popolare lo fa essere un target naturale. Gli hacker possono creare dei programmi, comunemente denominati bot o hackbot, che analizzano automaticamente e sistematicamente le falle di sicurezza di un sito. Attaccando centinaia di migliaia di siti web simultaneamente. Più siti possono essere scansionati e attaccati, maggiore è il tasso di potenziale tasso di successo per l’hacker. Dal momento che WordPress ora alimenta il 28% di tutti i siti web su Internet ci sono milioni di siti che gli hacker possono prendere di mira.
“Il tuo sito web WordPress è davvero al sicuro?”
Tutti i tipi di attacco
Prima di provvedere con azioni dedicate alla sicurezza è bene sapere in che modo operare. per fare ciò bisogna analizzare i modi di attacco e sapere quali sono le vulnerabilità. Quando viene scritto un codice (vedi per esempio un tema o un plugin), è quasi impossibile non creare una falla di sicurezza. Quando un hacker la trova la sfrutta appieno in diversi modi:
- SQL injection (SQLI)
- Cross-site Scripting (XSS)
- Falsificazione cross-site (CSRF) – Il codice o le stringhe vengono immessi e eseguiti dall’URL del sito
- Brute Force
- Denial of Service (DoS)
- Denial of Service Distributed (DDoS)
- Phishing (Identity Theft)
- Malware
- Inclusione di file locali (LFI) dall’applicazione CMS o dal web
- Bypass di autenticazione
- Entità esterna XML (XXE)
- Esecuzione di codice in modalità remota (RCE)
- Inclusione di file remoti (RFI)
- Falsificazione del server (SSRF)
Le regole base della sicurezza WordPress
Iniziamo questo viaggio nella sicurezza WordPress con alcune regole base. È altrettanto importante che il tuo computer sia sicuro in quanto lo sia il tuo sito web. Malware e virus possono infettare il tuo computer, che può infettare il tuo sito WordPress e centinaia di migliaia di altri siti web. Ci sono molti modi per assicurare che il computer sia il più sicuro possibile.
- Installare uno scanner per il virus informatico per prevenire malware e virus.
- Pianificare le regolari scansioni di virus
- Installare un firewall o abilitarlo se è incluso nel sistema operativo
- Non accedere al dashboard di amministratore da un WI-FI pubblico o non mostrare gli accessi ad estranei
- Non entrare in WordPress tramite una connessione Internet o una rete non protetta.
- Utilizzare un hosting solido che ha un’ottima reputazione per la sicurezza come il nostro Hosting WordPress.
- Usare solo password forti anche usando un plug-in come Wordfence.
- Non consentire agli utenti qualunque di caricare i file sul tuo sito
- Usare un File Transfer Protocol Secure (FTPS) anziché un semplice FTP
- Dare un accesso amministrativo a coloro Di cui ci fidiamo.
- Installare un plugin di protezione come Defender
- Attiva la registrazione a Defender per monitorare le attività di editor, autori, altri amministratori, utenti
- Eseguire il backup del sito e pianificare i backup
- Tenere WordPress, tema e plugin sempre aggiornati
- Non utilizzare plugin, temi o script con problemi di sicurezza noti.
- Testare i plugin, i temi e gli script in un ambiente di gestione locale prima di installarli e di attivarli
- Utilizzare una rete di distribuzione dei contenuti (CDN) per prevenire attacchi DoS e DDoS.
- Installare e forzare l’utilizzo di un certificato SSL per la tua rete multisite o per la singola installazione di WordPress.
Per ulteriori informazioni sull’installazione di un certificato SSL, leggi questo mio articolo: Certificato SSL GRATUITO. Ci sono una sacco di modi per aumentare la sicurezza del tuo sito WordPress. Dalle cose più semplici ad azioni più complesse che solo i professionisti di assistenza WordPress posso eseguire. Nella prossima puntata di questo articolo che riguarda la sicurezza WordPress ti elencherò alcune soluzioni semplici per applicare al tuo sito web un 1° livello di sicurezza. Nel frattempo, se hai un problema contattaci! La nostra prima consulenza è gratuita. Stay tuned, Gestione WP.
