27 suggerimenti per proteggere i tuoi siti Web WordPress
Perché la sicurezza del sito web è importante? La sicurezza in Internet è una componente chiave del web design e dello sviluppo. I problemi di sicurezza possono dissuadere gli utenti da un sito Web e gettare un’ombra di dubbio sul tuo marchio. La sicurezza del sito web protegge le tue informazioni e la tua reputazione, i tuoi visitatori se lo aspettano e a Google piace. Non dimenticarlo, mai…
Migliora la sicurezza del tuo sito web seguendo questi 27 suggerimenti
1. Proteggi il tuo computer (evita di essere un fattore di rischio)
Circa 10 anni fa, c’era molta copertura mediatica sulla necessità di installare un sistema antivirus. Oggi si parla poco di questo, molto del lavoro sulla protezione del computer viene svolto dai produttori di sistemi operativi nel loro software, che è necessario aggiornare regolarmente .
Questo suggerimento (mantieni il tuo computer “pulito”) è il primo passo per proteggere il tuo sito Web basato su WordPress da malware, spyware e trojan.
2. Investi in un hosting WordPress sicuro
Oggigiorno è tutta una questione di sicurezza, ed è qui che entrano in gioco i certificati SSL. Il tuo provider di hosting deve essere in grado di fornirti un certificato SSL di alta qualità. Ciò consentirà al tuo sito di utilizzare il protocollo HTTPS, i browser non avviseranno i tuoi utenti che il sito non è sicuro e la visibilità del tuo sito nelle ricerche non sarà influenzata.
Inizia assicurandoti che la tua società di hosting esegua backup regolari . Una perdita di dati equivale a un incendio in un’azienda tradizionale!
Inoltre, l’hosting dovrebbe adottare TUTTE le altre misure/protezioni attive e passive per fermare gli attacchi sul nascere.
3. Usa HTTPS per connessioni crittografate (certificato SSL)
HyperText Transfer Protocol Secure combina il protocollo HTTP con SSL/TLS per formare HTTPS, HyperText Transfer Protocol Secure. Con questo protocollo, puoi comunicare in modo crittografato con il tuo server Web su una rete e identificarlo in modo sicuro. Le connessioni HTTPS sono comunemente utilizzate per transazioni di denaro sul World Wide Web e altre transazioni riservate nei sistemi informativi aziendali.
In che modo HTTPS differisce da HTTP?HTTP/HTTPS differisce in quanto HTTP utilizza la porta TCP/IP 443 per impostazione predefinita e i suoi URL iniziano con “https: //”. HTTP, d’altra parte, utilizza la porta TCP/IP 80 per impostazione predefinita e i suoi URL iniziano con “http: //”. Sembra abbastanza complicato, ma in parole povere, solo la lettera S alla fine del nome del protocollo significa SICUREZZA. La differenza tra i protocolli HTTP e HTTPS è che HTTP non è sicuro e può essere sfruttato se viene eseguito un attacco man-in-the-middle o un attacco di intercettazione per accedere ad account web sensibili.
HTTPS è considerato sicuro contro tali attacchi (escluse le versioni precedenti di SSL) poiché è stato progettato per resistervi. In questo senso, HTTPS è semplicemente HTTP su una connessione SSL/TLS crittografata, non un protocollo separato .
4. Usa le ultime versioni di PHP
PHP è un popolare linguaggio di scripting utilizzato principalmente nello sviluppo di applicazioni web (incluso WordPress). In un’applicazione pratica per distribuire applicazioni Web, è utile utilizzare l’ultima versione con alcuni dei rami attivamente supportati della versione.
Se non utilizzi la versione più recente, è facilmente possibile che non sia supportata .
5. Disabilita la segnalazione degli errori di WordPress
Secondo WordPress, la segnalazione degli errori dovrebbe essere disabilitata perché è possibile utilizzare il registro degli errori per esporre informazioni sensibili. È consigliabile disabilitare questa funzione se non stai testando o risolvendo i problemi del tuo sito Web basato su WordPress, altrimenti gli aggressori potrebbero facilmente rilevare le vulnerabilità/problemi sul tuo sito Web e utilizzarli per hackerare il tuo sito Web.
6. Disabilita l’esecuzione dei file PHP nelle directory di WordPress
Se non disabiliti l’esecuzione dei file PHP, chiunque può installare un malware nel tuo sito web. Tutto quello che devono fare è caricare un file PHP dannoso. Se lo hai nella tua directory principale, può essere chiamato. Chiunque può rilasciare un file di questo tipo sul tuo sito web. È essenziale che gli eseguibili in WordPress siano adeguatamente protetti dall’essere chiamati.
7. Controlla e modifica i permessi dei file (proteggi i dati sul tuo server)
I diritti su un sito Web basato su WordPress dovrebbero essere attentamente controllati. Se le raccomandazioni sui permessi dei file consigliate da WordPress non vengono seguite, gli hacker potrebbero trarne vantaggio.
8. Installa una soluzione di backup WordPress
Un backup è una copia dei file che compongono il tuo sito web. WordPress archivia tutti i suoi dati in un database centrale. Questo database cambia quando aggiungi nuovi post, pagine, prodotti, ecc. Se questo database viene danneggiato, il tuo sito web smetterà di funzionare. Se disponi di un backup del tuo sito web, puoi ripristinare le parti danneggiate o sostituire tutto per riportare rapidamente il tuo sito online.
Esistono molti strumenti che possono essere utilizzati per creare un backup del tuo sito Web WordPress. Se gestisci un sito WordPress autonomo, puoi installare un software che esegue il backup del tuo sito. Oppure chiedi al tuo attuale provider di hosting se offre un servizio di backup automatico. Se utilizzi WordPress, potresti essere in grado di utilizzare un plug-in per eseguire il backup del tuo sito.
9. Usa Web Application Firewall/WAF (e ferma gli attacchi prima ancora che inizino)
Sito Sicuro viene eseguito in un berserk modalità di default. Per ridurre la reattività di WAF, vai semplicemente alla sezione Impostazioni e seleziona una delle 3 possibili impostazioni: Soft, Medium o Berserk. Ogni posizione ha una forza di risposta media doppia rispetto a una più alta.
10. Approfitta dell’autenticazione a due fattori
È stato sviluppato in risposta a phishing e attacchi simili in cui i criminali utilizzano siti Web falsi (e spesso molto convincenti) e un vasto (e spesso molto pieno di risorse) di strumenti di ingegneria sociale per ottenere in modo fraudolento nome utente e password e accesso ai dati. Puoi impostare l’autenticazione in due passaggi utilizzando un’app/plugin di autenticazione come Google Authenticator, Authy o Duo.
11. Limita i tentativi di accesso
Se un hacker non riesce a indovinare la tua password, continuerà a provare. Spesso lo fanno con l’aiuto di script . Limita i tentativi di accesso ci consente di monitorare e limitare il numero di tentativi di accesso non riusciti.
12. Usa nomi utente intelligenti e password complesse
Se chiedi all’utente medio dei servizi di web hosting quanti nomi utente e password utilizza per diversi account, abbonamenti, ecc., probabilmente impiegherà del tempo prima di risponderti. Anche allora, potrebbe non essere in grado di ricordare i nomi utente e le password per tutti i servizi per i quali ne ha bisogno. La vita moderna implica avere una varietà di account digitali protetti da password, come è la natura dell’era digitale di oggi. Gli utenti, tuttavia, utilizzano spesso le stesse credenziali per più account, come cPanel, e-mail, WordPress, FTP, SSH, ecc. Alcune persone usano persino informazioni personali come password, come compleanni, nomi e indirizzi. Le password così semplici non dovrebbero essere utilizzate per l’hosting web e possono avere effetti disastrosi .
Per le password più complesse e complesse, dovresti utilizzare tutte e quattro le categorie di caratteri:
– Lettere maiuscole (A, B, C, D…)
– Lettere minuscole (a, b, c, d…)
– Numeri (0, 1, 2, 3…)
– Simboli della tastiera (“’ ,.? ~!{} []^ & * () _ – + = # $% \ |:; /@)
13. Rimuovere gli utenti inattivi
Identifica, rimuovi e previeni i problemi con gli utenti inattivi per migliorare la fidelizzazione, il coinvolgimento e la crescita del tuo sito.
14. Modificare il nome utente predefinito “admin” user
Basta fare clic sul campo Nome utente e modificare il nome utente nella parte inferiore della pagina, quindi fare clic su Vai. Le tue impostazioni verranno ora aggiornate. Oppure puoi creare un nuovo utente amministratore ed eliminare l’utente amministratore predefinito. Seleziona la casella Attribuisci tutto il contenuto a per salvare i contenuti che hai creato in precedenza con il tuo vecchio account amministratore. Successivamente, puoi selezionare il nuovo nome utente amministratore dal menu a discesa.
15. Prevenire l’acquisizione del nome utente di WordPress
Oggi sul mercato sono disponibili firewall per applicazioni Web di qualità . Cerca quelli che bloccano automaticamente gli indirizzi IP con ripetuti tentativi di accesso o errori 404. L’idea è che il tuo firewall bloccherà automaticamente gli indirizzi IP che scansionano il tuo sito alla ricerca di pagine che non esistono o che tentano di accedere ripetutamente al tuo sito. Una buona funzionalità è anche il blocco delle iniezioni XSS e SQL.
16. Disconnetti automaticamente gli utenti inattivi in WordPress (e previeni problemi di terze parti)
Il primo passo è installare il plug-in Disconnessione inattiva sul tuo sito Web WordPress.
Per fare ciò, apri la dashboard di WordPress Aggiungi nuovi plugin e cerca “Disconnessione inattiva”. Dopo aver trovato il plug-in, fai clic sul pulsante “Installa ora”. Nella dashboard di WordPress, vai alle impostazioni di disconnessione inattiva dopo aver attivato il plug-in.
Una volta raggiunta la pagina delle impostazioni del plugin, vedrai la schermata delle opzioni di configurazione di base. Se desideri fornire ai tuoi utenti la migliore esperienza sul tuo sito, devi impostare il periodo di tempo in cui un utente può rimanere inattivo prima di essere disconnesso. Puoi impostare questo periodo di tempo come desideri, ma non renderlo troppo breve o troppo lungo . Una volta impostata l’ora, inserire il messaggio o il testo che verrà visualizzato dopo il logout dell’utente.
17. Prestare attenzione ai ruoli utente (applicare autorizzazioni utente minime e ridurre il rischio di terze parti)
Nel mondo online, ci sono cinque ruoli standard: amministratore, editore, autore, collaboratore e sottoscrittore. Pensa sempre attentamente a chi assegni a quale ruolo e a quale parte del lavoro è destinato quel ruolo.
18. Contribuire come collaboratore o editore
La pubblicazione di Contributor ti offre un’opzione per condividere i tuoi post e le tue pagine ma non consente di modificarli o eliminarli senza prima richiedere la modifica ed essere approvati da un altro amministratore/editor.
La pubblicazione dell’editor ti consente di pubblicare post e pagine e anche di eliminarli senza alcuna richiesta. Dovresti pubblicare come collaboratore o editore in un sito WordPress per ridurre il rischio per la sicurezza nel caso in cui il tuo utente amministratore venga violato e ciò impedirà a qualsiasi persona non autorizzata di diventare un amministratore.
19. Usa solo temi e plugin da fonti attendibili (evita di compromettere il tuo sito)
Non utilizzare plugin e temi WordPress “falsi” o “annullati”. Dai semplici siti Web alle complesse attività online, i temi e i plug-in di WordPress possono essere utilizzati per creare qualsiasi cosa. Temi e plugin possono fare molte cose, ma a volte vengono utilizzati per scopi fraudolenti o illegali. Devi essere sicuro che il sito web che stai creando sia legale e non ti metta in pericolo o in una situazione spiacevole.
20. Usa sempre l’ultima versione di WordPress, plugin e temi (e riduci al minimo i rischi per la sicurezza)
WordPress è gratuito. È anche una comunità di sviluppatori che lo crea. Ogni nuova versione del software corregge bug, aggiunge nuove funzionalità, apporta miglioramenti alle prestazioni e migliora le funzionalità esistenti per rimanere aggiornati .
21. Disinstalla temi e plugin indesiderati
I temi e i plugin non utilizzati rappresentano un rischio per la sicurezza . È facile dimenticare i vecchi temi che hai provato e non hai usato. Ma ognuno di quei temi vecchi e inutilizzati dovrebbe essere rimosso perché ognuno è un’apertura per problemi di sicurezza.
22. Disabilita l’editor di temi e plugin
Per impostazione predefinita, l’editor è abilitato in modo da poter fornire ai tuoi clienti una vasta gamma di opzioni per modificare il contenuto del loro sito web. Disattiva l’editor per evitare che il contenuto dei tuoi siti web venga modificato da qualcun altro. Inoltre, l’editor diventa un punto di ingresso per utenti malintenzionati che potrebbero utilizzare questa funzione per caricare ed eseguire codice dannoso sul tuo sito web.
Per disabilitare l’editor dei temi e l’editor dei plugin, devi aggiungere alcune righe di codice al tuo wp-config.php Il codice è il seguente:
define( ‘DISALLOW _FILE_ EDIT’, true );
define( ‘DISALLOW _FILE_ MODS’, true );
23. Disabilita l’indicizzazione e la navigazione delle directory
Per proteggere il tuo sito web, ti consigliamo di disabilitare gli elenchi delle directory . La navigazione nelle directory espone la struttura interna del server Web, che di per sé non è una minaccia, ma può aggirare i meccanismi di sicurezza e i controlli di configurazione. Tuttavia, è un passaggio importante, quindi fallo bene.
Per disabilitare la navigazione nelle directory in WordPress devi aggiungere una singola riga di codice nel file .htaccess del tuo sito WordPress che si trova nella directory principale del tuo sito Web:
Opzioni -Indici
24. Disabilita XML-RPC
XML-RPC che è stato utilizzato in modo improprio per attacchi DDoS ed è un invito aperto agli attacchi DoS (denial of service). Se stai eseguendo una versione vulnerabile di WordPress, lo script xmlrpc.php potrebbe essere un obiettivo della vulnerabilità del pingback di WordPress. Una volta disabilitato XML-RPC, gli hacker non avranno più spazio per gli attacchi. Puoi installare un plugin chiamato Disable XML-RPC per disabilitarlo.
Tuttavia, questo semplice codice fa la stessa cosa:
add_filter(‘xmlrpc_enabled’, ‘__return_false’); Per far funzionare la soluzione di cui sopra, puoi utilizzare un file .htaccess per bloccare le richieste a xmlrpc.php che non provengono da WordPress. Ciò ridurrà il carico sul tuo server.
25. Blocca l’amministratore di WordPress
La soluzione migliore sarebbe utilizzare un Website Application Firewall (WAF) , un’applicazione che monitora il traffico del sito Web e impedisce alle richieste sospette di raggiungere il tuo sito Web.
Inoltre puoi aggiungere la protezione con password alla tua area di amministrazione di WordPress tramite cPanel o puoi consentire solo l’accesso in lettura alla tua area di amministrazione di WordPress, ma hai ancora la possibilità di aggiornare plugin e temi impedendo qualsiasi accesso alla cartella wp-admin e mantenerla leggibile solo per te stesso (aggiungi semplicemente wp-admin al campo utente/gruppo del tuo .htaccess).
26. Proteggi il wp-config.php tramite i file .htaccess
Alla fine del file .htaccess, aggiungi le seguenti righe di codice:
#secure wp-config.php
<file wp-config.php>
ordinare consentire, negare
negato da tutti
</files>
Queste righe fondamentalmente bloccano l’accesso al tuo wp-config.php dall’hacking interno e dalla modifica del codice, proteggendo così il file wp-config.php.
27. Rimuovi il numero di versione di WordPress
Per rimuovere completamente il numero di versione di WordPress sia dal file head che dai feed RSS, dovrai aggiungere il seguente codice snippet a WordPress:
function remove_version() { return ”; }
add_filter(‘the_generator’, remove_version’);
La sicurezza del sito web è molto importante per una serie di motivi. Senza di esso, i siti Web sono aperti e suscettibili di tentativi di hacking. I siti Web possono essere attaccati in molti modi diversi, quindi è fondamentale disporre del livello di protezione più completo (implementare tutti questi suggerimenti per la sicurezza) per garantire che non accada sul tuo sito o sul sito dei tuoi clienti.
Articolo di Ivica Delic