Vai alla home page

Sicurezza WordPress migliore in 5 mosse

Sono recenti gli attacchi mondiali DoS. I siti web sono sempre più vulnerabile, come fare? Sicurezza WordPress migliore contro attacchi hacker e spam: una corretta gestione del tuo sito attraverso diverse configurazioni e servizi. Ecco gli accorgimenti che noi stessi utilizziamo nei nostri siti! Interveniamo con la nostra assistenza tecnica anche sul tuo. Contattaci per una consulenza GRATUITA.


Sicurezza WordPress migliore in 5 mosse

Anche se WordPress e i tuoi temi e plugin sono aggiornati (aggiorna sempre e frequentemente), il sito potrebbe non essere sicuro. Ci sono passaggi aggiuntivi che puoi fare per rendere la sicurezza WordPress migliore contro possibili hacker e spam. Diamo uno sguardo a cinque aspetti di questo concetto fondamentale:

  • Gestisci e amministra il sito in modo sicuro.
  • Configura e installa WordPress per una maggiore sicurezza.
  • Blocca una parte della tua installazione.
  • Sicurezza tramite segretezza.
  • Monitora il sito contro gli attacchi hacker e spam.

Gestione del sito sicura

Ti consiglio questi semplici passi per rendere la gestione del tuo sito più sicura contro possibili attacchi:

  • Aggiorna WordPress ogni volta che una nuova versione viene rilasciata. Questo è il passo più importante che puoi compiere per migliorare la sicurezza. Le nuove release avranno le patch di sicurezza che aggiornano i backdoor di cui gli hacker sono a conoscenza e che hanno utilizzato per attaccare i siti.
  • Scarica solo aggiornamenti WordPress dal sito ufficiale. Non c’è assolutamente alcuna ragione per scaricarlo da qualsiasi altro luogo.
  • Scarica plugin e temi solo da fonti attendibili. I Plugin e i temi ufficiali dei rispettivi siti web o repository sono gli unici luoghi affidabili per il download di temi gratuiti o plugin. Se stai per acquistare temi premium e plugin, assicurati che essi abbiano una licenza GPL e che vengono raccomandati da altri sviluppatori. È anche saggio ispezionare il codice prima di attivarli.
  • Utilizza SFTP invece di FTP durante il caricamento e il download di file o la modifica del sito.
  • Utilizza password complesse e incoraggia gli altri utenti a fare lo stesso. Costringili a farlo con un plugin come Force Strong Password.

Configurazione WordPress sicura

Devi compiere una serie di passi per rendere le cose più sicure. Troverai molti dettagli sulla guida del Codex di WordPress.

Il più semplice di questi passi è quello di utilizzare le chiavi di criptazione. Queste sono le chiavi aggiunte al file config.php, che non c’è bisogno di ricordarle, ma sarà garantire una migliore cifratura delle informazioni memorizzate nei cookie. Chiavi di sicurezza che assomigliano a questo codice: Editing wp-config.

Il tuo bisogno è di essere unico. È possibile utilizzare il generatore di chiavi di sicurezza sul sito WordPress per generare il proprio codice, che poi lo incollerai nel file wp-config.php: Security Key Generator.


Un’altra cosa che ti consiglio, soprattutto se il tuo sito è un’installazione multisito con un sacco di utenti che possono creare i propri siti secondari, o un e-commerce, è quella di utilizzare un certificato SSL (oggi gratuito con Let’s Encrypt). In questo modo il tuo indirizzo di dominio sarà https anziché http e sarà una URL crittografata. Potrebbe anche essere un vantaggio per la SEO. Come Google ha dichiarato può favorire il posizionamento SEO di siti web che utilizzano SSL.

Sicurezza WordPress migliore

Sicurezza WordPress migliore: blocca alcune parti del sito

Puoi anche provare a bloccre alcune parti del tuo sito o limitarne l’accesso, questi alcuni esempi:

  • Limita l’accesso in base all’indirizzo IP. Nel file .htaccess è possibile specificare indirizzi IP attraverso i quali gli utenti sono autorizzati a modificare il sito. Per fare ciò, aggiungi quanto segue al file .htaccess, sostituendo xxx.xxx.xxx.xxx con il tuo indirizzo IP.
  • Proteggi con password la directory wp-admin. È possibile aggiungere una password lato server nella directory wp-admin usando cPanel e aggiungere un ulteriore livello di sicurezza a questa directory, il che significa che qualsiasi hacker che riesce ad ottenere la tua username e password dovrà anche ottenere questa password (che si ovviamente deve essere molto forte).

Sicurezza tramite segretezza

Il concetto di ‘security by obscurity’ significa che non stai effettivamente rendendo il vostro sito più sicuro, ma che stai rendendo l’installazione di WordPress diversa da quella standard, per prevenire l’accesso ad hack automatizzati o hacker molto stupidi.

  • Non utilizzare nomi utente di default. Se un account con il nome utente di amministratore viene creato durante l’installazione di WordPress, rimuovilo. Crea un account amministratore con un nome utente univoco, invece. Questo ti proteggerà dagli hacker in cerca di una backdoor tramite l’account admin.
  • Cambia il prefisso delle tabelle WordPress. Per default è wp_, ma si può cambiare durante l’installazione di WordPress modificando il valore table_prefix $ nel file wp-config.php.

Sicurezza WordPress migliore: monitoraggio

Monitora sempre la sicurezza del tuo sito. In modo tale da sapere ed essere sicuro se sei stato attaccato e poter agire il più rapidamente possibile. Ci sono strumenti e servizi che è possibile utilizzare per aiutarti. Hanno costi differenti a seconda della natura del tuo sito e del livello di servizio:

  • La tua società di hosting probabilmente offrirà livelli di servizio diversi e  in grado di monitorare il tuo sito o risolvere il problema se le cose vanno male. Alcuni fornitori offrono hosting specificamente orientato verso i siti WordPress come Sucuri.
  • Il servizio di Sucuri offrire uno strumento sul loro sito web per la verifica della sicurezza gratuito, ma se vuoi gli aggiornamenti automatici e le correzioni puoi provare il loro servizio di monitoraggio. Il plugin di sicurezza Sucuri è gratuito e ti aiuterà a monitorare la sicurezza del tuo sito se non vuoi pagare per un elevato livello di servizio.
Nascondi
Guida WordPress 2019