Come migliorare la sicurezza del tuo sito Web WordPress

Lasciare il tuo sito web vulnerabile è come lasciare una porta aperta della tua attività a intrusi e ladri. Quindi parliamo di migliorare la sicurezza del tuo sito WordPress

Prendersi cura del proprio sito web è come prendersi cura del proprio negozio
Prendersi cura del proprio sito web è come prendersi cura del proprio negozio

Immagina un negozio dove il proprietario lascia le porte aperte tutte le sere e torna a casa, solo con la fortuna che arriverà il giorno dopo e tutto sarà lì per poter continuare a lavorare un altro giorno in pace. Quante sono le probabilità che ciò accada davvero? Lasciare il tuo sito web senza la protezione necessaria è praticamente la stessa cosa. Puoi arrivare il giorno successivo e il tuo sito web è lì normalmente o hai perso tutto.

La sicurezza di WordPress è un argomento di grande importanza per tutti i proprietari di siti web. Google inserisce nella blacklist circa 10.000 siti ogni giorno per malware e circa 50.000 per phishing ogni settimana. E entrare in una lista del genere significa perdere tutto il tuo lavoro, le opportunità di crescita e di vendita, quindi è essenziale prestare attenzione alle migliori pratiche di sicurezza di WordPress.

Sebbene il software principale di WordPress sia molto sicuro e sia regolarmente verificato da centinaia di sviluppatori, c'è molto che si può fare per mantenere sicuro il tuo sito. E la sicurezza non riguarda solo l'eliminazione del rischio, ma anche la riduzione del rischio. In qualità di proprietario di un sito Web, c'è molto che puoi fare per migliorare la sicurezza di WordPress (anche se non sei esperto di tecnologia).

In questa guida, condivideremo tutti i migliori suggerimenti per la sicurezza di WordPress per aiutarti a proteggere il tuo sito da hacker e malware. Abbiamo una serie di passaggi che puoi adottare per proteggere il tuo sito Web dalle vulnerabilità della sicurezza. Parliamo un po' di ognuno e diamo alcuni suggerimenti sui plugin che ti aiuteranno in questo compito di

-- Pubblicità --

Perché la sicurezza del sito Web WordPress è importante?

Un sito WordPress compromesso può danneggiare seriamente le entrate e la reputazione della tua azienda. Gli hacker possono rubare informazioni utente, password, installare software dannoso e persino distribuire malware ai tuoi visitatori.

Peggio ancora, potresti raccogliere ransomware e dover pagare gli hacker solo per riottenere l'accesso al tuo sito web. E perché la sicurezza di WordPress è importante? Nel marzo 2016, Google ha riferito che oltre 50 milioni di utenti di siti Web sono stati avvertiti che un sito Web che stanno visitando potrebbe contenere malware o rubare informazioni.

Inoltre, Google inserisce nella blacklist circa 20.000 siti per malware e circa 50.000 per phishing ogni settimana. Se il tuo sito web è un'azienda, devi prestare particolare attenzione alla sicurezza di WordPress. Proprio come è responsabilità del proprietario dell'attività proteggere l'edificio del negozio, in qualità di proprietario di un'attività online, è tua responsabilità proteggere il sito Web aziendale.

Mantenere WordPress aggiornato

WordPress è un software open source che viene regolarmente mantenuto e aggiornato. Per impostazione predefinita, WordPress installa automaticamente aggiornamenti minori. Per le versioni principali, è necessario avviare manualmente l'aggiornamento. WordPress include anche migliaia di plugin e temi che puoi installare sul tuo sito web.

aggiorna wordpress
Aggiorna WordPress

Questi plugin e temi sono gestiti da sviluppatori di terze parti che rilasciano regolarmente aggiornamenti. Questi aggiornamenti di WordPress sono fondamentali per la sicurezza e la stabilità del tuo sito Web WordPress. Devi assicurarti che il software, i plugin e il tema di WordPress siano aggiornati.

-- Pubblicità --

Password complesse e permessi utente

I tentativi di hacking di WordPress più comuni utilizzano password rubate. Puoi rendere questo difficile utilizzando password più complesse univoche per il tuo sito. Non solo per l'area di amministrazione di WordPress, ma anche per account FTP, database, account di hosting WordPress e i tuoi indirizzi e-mail personalizzati che utilizzano il nome di dominio del tuo sito web.

A molti principianti non piace usare password complesse perché sono difficili da ricordare. La cosa buona è che non hai più bisogno di ricordare le password. Puoi usare un gestore di password. Un altro modo per ridurre il rischio è non concedere a nessuno l'accesso al tuo account amministratore di WordPress a meno che non sia assolutamente necessario. Se disponi di un team numeroso o di autori ospiti, assicurati di comprendere i ruoli e le funzionalità degli utenti in WordPress prima di aggiungere nuovi account utente e autori al tuo sito WordPress e concedere loro solo le autorizzazioni necessarie.

Il ruolo dell'hosting WordPress

Il tuo servizio di hosting WordPress svolge il ruolo più importante nella sicurezza del tuo sito Web WordPress. Un buon provider di hosting condiviso come Bluehost o Siteground adotta ulteriori misure per proteggere i propri server dalle minacce comuni.

Scopri come una buona società di web hosting lavora in background per proteggere i tuoi siti Web e i tuoi dati.

  • Monitorano continuamente la tua rete per attività sospette;
  • Tutte le buone società di hosting dispongono di strumenti per prevenire attacchi DDOS su larga scala;
  • Mantengono aggiornati il ​​software del server, le versioni PHP e l'hardware per impedire agli hacker di sfruttare una vulnerabilità di sicurezza nota in una versione precedente;
  • Sono pronti a implementare piani di ripristino in caso di disastro e incidente che consentano loro di proteggere i tuoi dati in caso di incidente grave;
  • Su un piano di hosting condiviso, condividi le risorse del server con molti altri clienti. Ciò apre il rischio di contaminazione tra siti, in cui un hacker può utilizzare un sito vicino per attaccare il tuo sito;

L'utilizzo di un servizio di hosting WordPress gestito fornisce una piattaforma più sicura per il tuo sito web. Le società di hosting gestito da WordPress offrono backup automatici, aggiornamenti automatici di WordPress e impostazioni di sicurezza più avanzate per proteggere il tuo sito Web, semplificando il tuo lavoro.

-- Pubblicità --

Sicurezza di WordPress in semplici passaggi e senza codifica

Sappiamo che migliorare la sicurezza di WordPress può essere un'idea terrificante per i neofiti. Soprattutto se non sei tecnico. Indovina, non sei solo. Parliamo un po' di come puoi migliorare la sicurezza di WordPress con pochi clic (nessuna codifica richiesta). Se puoi puntare e fare clic, puoi farlo!

Installa una soluzione di backup WordPress

I backup sono la tua prima difesa contro qualsiasi attacco al tuo sito WordPress. Ricorda che niente è sicuro al 100%. Se i siti web del governo possono essere violati, lo è anche il tuo. I backup ti consentono di ripristinare rapidamente il tuo sito WordPress nel caso accada qualcosa di brutto.

Esistono molti plug-in di backup di WordPress gratuiti e a pagamento che puoi utilizzare. E se ne stai cercando uno, abbiamo una guida su come utilizzare un plug-in di backup di WordPress. La cosa più importante che devi sapere quando si tratta di backup è che dovresti salvare regolarmente i backup completi del sito in una posizione remota (non nel tuo account di hosting).

Ti consigliamo di archiviarlo su un servizio cloud come Google Drive, Dropbox o cloud privati ​​come Stash. In base alla frequenza con cui aggiorni il tuo sito, l'impostazione ideale potrebbe essere backup giornalieri o in tempo reale.

Il miglior plugin di sicurezza per WordPress

Dopo i backup, la prossima cosa che dobbiamo fare è impostare un sistema di auditing e monitoraggio che tenga traccia di tutto ciò che accade sul tuo sito. Ciò include il monitoraggio dell'integrità dei file, i tentativi di accesso non riusciti, la scansione del malware, ecc.

-- Pubblicità --

Per questo servizio, raccomanderemo un plug-in di sicurezza WordPress gratuito, il Scanner Sucuri. Devi installare e attivare il plugin Sucuri Security per iniziare a monitorare il tuo sito web.

Come usare Sucuri Security

Dopo l'attivazione devi andare al menu Sucuri nel tuo pannello di amministrazione di WordPress. La prima cosa che devi fare è generare una chiave API gratuita. Ciò consente la registrazione di audit, il controllo dell'integrità, gli avvisi e-mail e altre importanti funzionalità. La prossima cosa che devi fare è fare clic sulla scheda "Hardning" nel menu delle impostazioni. Scorri tutte le opzioni e fai clic sul pulsante "Applica".

plugin per scanner anaconda
Plugin scanner Sucuri

Queste opzioni aiutano a bloccare le aree chiave che gli hacker utilizzano spesso nei loro attacchi. L'unica opzione di protezione che è un aggiornamento a pagamento è Web Application Firewall, che spiegheremo nel passaggio successivo, quindi ignoralo per ora. La parte di protezione, le impostazioni predefinite del plugin sono abbastanza buone per la maggior parte dei siti e non necessitano di modifiche o impostazioni extra. L'unica cosa che consigliamo di personalizzare è "Avvisi e-mail".

Le impostazioni di avviso predefinite possono ingombrare la tua casella di posta con e-mail. Ti consigliamo di ricevere avvisi per azioni importanti, come modifiche al plug-in, registrazione di nuovi utenti, ecc. Puoi configurare gli avvisi andando su Impostazioni Sucuri »Avvisi.

Dopo aver attivato le impostazioni predefinite, ti consigliamo di dare un'occhiata al plugin di sicurezza di WordPress. Sfoglia tutte le schede e le impostazioni per vedere tutto ciò che fa, come la scansione del malware, i registri di controllo, il monitoraggio dei tentativi di accesso non riusciti, ecc. La sicurezza non guasta mai.

-- Pubblicità --

Abilita Web Application Firewall (WAF)

Il modo più semplice per proteggere il tuo sito Web ed essere sicuro della sicurezza di WordPress è utilizzare un firewall per applicazioni Web (WAF). Un firewall del sito Web blocca tutto il traffico dannoso prima ancora che raggiunga il tuo sito Web. Guarda cosa fa:

Firewall del sito web a livello DNS – questo firewall instrada il traffico del tuo sito web attraverso i suoi server proxy cloud. Ciò consente loro di inviare solo traffico genuino al tuo server web.

Firewall a livello di applicazione – questi plugin firewall esaminano il traffico non appena colpisce il tuo server, ma prima di caricare la maggior parte degli script di WordPress. Questo metodo non è efficace quanto il firewall a livello DNS nel ridurre il carico del server. Ancora una volta, consigliamo Sucuri Security come firewall per applicazioni web per WordPress. Ricorda, questa è un'opzione a pagamento.

Un vantaggio del firewall di Sucuri è che viene fornito anche con una garanzia di pulizia del malware e rimozione della lista nera. Fondamentalmente, se vieni hackerato sotto la loro supervisione, garantiscono che ripareranno il tuo sito (non importa quante pagine hai).

Questa è una garanzia molto importante, perché riparare i siti compromessi è costoso. Gli esperti di sicurezza in genere fanno pagare a ore per farlo e, a seconda dell'attacco, non puoi dire quanto ti costerà. Sucuri Security non è l'unico provider di firewall a livello DNS disponibile. L'altro concorrente popolare è il Cloudflare. Scopri qual è il migliore per te e per il tuo sito e scegli l'opzione che ti sembra più adatta.

-- Pubblicità --

Sposta il tuo sito Web WordPress su SSL / HTTPS

SSL (Secure Sockets Layer o secure socket layer) è un protocollo che crittografa il trasferimento di dati tra il tuo sito web e il browser dell'utente. Questa crittografia rende più difficile per qualcuno tracciare e rubare informazioni.

Come funziona SSL

Dopo aver abilitato SSL, il tuo sito web utilizzerà HTTPS invece di HTTP, vedrai anche un lucchetto accanto all'indirizzo del tuo sito web nel tuo browser. I certificati SSL sono generalmente emessi dalle autorità di certificazione e i loro prezzi vanno da R$ 300 a più di mille reais all'anno. A causa del costo aggiuntivo, la maggior parte dei proprietari di siti Web sceglie di continuare a utilizzare un protocollo non sicuro.

Per risolvere questo problema, un'organizzazione senza scopo di lucro chiamata Let's Encrypt ha deciso di offrire certificati SSL gratuiti ai proprietari di siti web. Il suo progetto è supportato da Google Chrome, Facebook, Mozilla e molte altre società, rendendo più facile che mai per tutti iniziare a utilizzare SSL per tutti i loro siti WordPress. Molte società di hosting offrono un certificato SSL gratuito per il tuo sito Web WordPress. Se il tuo hosting non fornisce questo tipo di certificato, potrai sceglierne uno a tua preferenza e in base all'importo che hai a disposizione. Vedi alcuni prezzi per i certificati semplici:

Sicurezza del tuo sito web wordpress
Fonte: HSI

Se fai tutto ciò che abbiamo menzionato finora, sei a un buon livello di sicurezza. Esistono altri modi per proteggere il tuo sito Web, oltre ad altri plug-in. Usi qualcosa in più per proteggere il tuo sito? Lascialo nei commenti e divertiti a leggere di più su tecnologia e WordPress sul nostro sito web.

-- Pubblicità --
Avatar di paulo fabris

Paulo Fabris è un giornalista, scrittore, giocatore di giochi di ruolo, giocatore, cosplayer, nerd e fan degli anime sin dai tempi di TV Manchete.