Come proteggere un sito WordPress dagli hacker

Una guida alla sicurezza di WordPress per le piccole imprese & imprenditori. Scopri come proteggere il tuo sito Web WordPress dagli hacker con questi passaggi proattivi.


Suggerimenti per la sicurezza di WordPress

C’è un detto “Se lo costruisci, verranno”. E nel mondo online, questo significa hacker. Ma cosa fai per fermarli? La sicurezza è importante e adottare un approccio proattivo è il modo migliore per proteggere il tuo sito. Proprio come con la tua casa o azienda, vuoi proteggere i tuoi beni. La maggior parte dei siti Web WordPress sono infetti a causa della mancanza di aggiornamento dei file, della rottura di uno degli accessi o di un attacco di forza bruta. La parte più difficile è la consapevolezza che può verificarsi un’infezione da malware in qualsiasi sito. Ho visto un attacco di forza bruta su un sito di prova che non era nemmeno indicizzato da Google e non aveva visitatori. Mentre nulla è mai al 100% di prova completa, ci sono modi per evitare il peggio. Ecco alcuni semplici passaggi che un piccolo imprenditore può adottare per proteggere il proprio business online che non richiede sviluppatori o programmazione da parte tua.

L’importanza delle password

Una grande password è la prima linea di difesa per tenere le persone indesiderate fuori dai tuoi siti Web. Quando un bot arriva a cercare di entrare in una dashboard di WordPress, la prima cosa che tentano di utilizzare quando accede è “admin” e “password” poiché quella combinazione è l’accesso più utilizzato. Cambiarlo in “Pa $$ w0rd” non lo rende nemmeno più sicuro perché legge ancora “password”. I nomi o qualsiasi cosa che continuerà a leggere come una parola leggibile sono le password hackerate più facili. In genere qualsiasi password deve contenere almeno 12 caratteri illeggibili, contenenti lettere maiuscole e minuscole, numeri e caratteri speciali. Più caratteri nella password, più difficile è rompere. Se si desidera verificare la sicurezza delle password, controllare Quanto è sicura la mia password checker. Questo ti mostrerà quanto tempo impiegherebbe un robot per rompere la tua password. Il controllore mi disse che ci sarebbero voluti circa 377 miliardi di anni per un PC desktop per decifrare la mia password. Questo è quando sai di avere un’ottima password!

I plugin di sicurezza aiutano

Esistono molti tipi di plug-in di sicurezza che svolgono una vasta gamma di funzioni. Puoi utilizzare più di un plug-in di sicurezza sul tuo sito purché non li abbia impostati per fare le stesse cose. Ecco un elenco di alcuni fantastici plugin di sicurezza di WordPress disponibili. Ma per questo articolo, ecco come ho impostato tutti i miei siti per la massima sicurezza.

jetpack – Uso il plug-in multi-finto Jetpack su tutti i miei siti. Hanno alcune funzionalità integrate per le misure di sicurezza che accendo.

  • Monitor: Jetpack ti avviserà quando il tuo sito si arresta e quando viene ripristinato. Informati sempre quando i tuoi clienti non possono accedere al tuo sito web.
  • Protect – Protect era un plug-in autonomo chiamato BruteProtect. Era uno dei plugin più utilizzati per bloccare gli attacchi di forza bruta. Automattic lo ha acquistato l’anno scorso e ora lo ha incorporato in Jetpack.
  • Gestisci – Gestisci di Jetpack ti consente di aggiornare i plug-in, i temi e il nucleo di tutti i tuoi siti web ospitati da un’unica dashboard e ti dà l’opportunità di avere aggiornamenti automatici.

iThemes Security (ex Better WP Security) – Sebbene iThemes Security NON sia un firewall di sicurezza, offre grandi vantaggi nel proteggere un sito Web senza dover modificare il codice da soli. Hanno una versione gratuita e una versione Pro. Ecco le funzionalità che dovrebbero essere attivate con questo plugin durante l’utilizzo di Jetpack.

  • Consenti sempre a iThemes Security di scrivere su wp-config.php e .htaccess. Ecco come il plugin dice al sito Web come rafforzare la sicurezza.
  • Abilita Blacklist Ripeti Offensore
  • Abilita rilevamento 404
  • Approfitta della modalità Away quando sai che nessuno dovrebbe accedere alla tua dashboard. Lascia perdere se lavori sul tuo sito Web a tutte le ore del giorno.
  • Abilita gli utenti ban e la funzione blacklist di HackRepair.com. Ciò manterrà gli IP dannosi noti lontani dal tuo sito Web.
  • Abilita il rilevamento delle modifiche ai file e dividi il controllo dei file in mandrini. iThemes ti avviserà se uno dei file è cambiato e non corrisponde a quello contenuto nei file originali del repository.
  • Abilita la funzione Nascondi supporto. Questo cambierà il tuo login da YourSite.com/wp-login.php a una pagina personalizzata a tua scelta. Non inserirlo come pagina o post attuale o futuro. Grandi esempi sono enter, main o secure.
  • iThemes Security ora offre le scansioni Sucuri SiteCheck per tutti gli utenti di plug-in.
  • Abilita password complesse per tutti gli utenti, inclusi gli abbonati.
  • Seleziona tutte le caselle in System Tweaks.
  • Nell’area Tweaks di WordPress, non disabilitare completamente XML-RPC quando si utilizza Jetpack in quanto ciò potrebbe impedire a Jetpack di non funzionare più correttamente.
  • La versione Pro ti dà la possibilità di utilizzare un’autenticazione a due fattori per accedere tra le altre funzionalità.

WordFence – Anche se adoro lo scanner di WordFence, in genere l’ho scaricato su un sito solo quando ricontrollo per accertarmi che tutto il malware sia stato eliminato. Se ritieni che il tuo sito sia stato infettato, WordFence può rilevare qualsiasi file WordPress che è stato modificato dalla sua originale. WordFence offre anche uno strumento di memorizzazione nella cache. Se scegli di utilizzare WordFence, puoi abilitare tutte le opzioni ma non eseguirlo con iThemes Security, Jetpack’s Protect o Sucuri Security in quanto possono causare conflitti tra loro.

Sicurezza di Sucuri – Sucuri ha sia un Firewall che un AntiVirus che possono aiutare a bloccare i cattivi fuori dal tuo sito web. Sucuri ha il firewall WordPress più utilizzato nel settore. Puoi eseguire Sucuri CloudProxy Firewall con iThemes Security ma ottenere l’elenco degli IP CloudProxy da Sucuri da inserire nella tua lista bianca IP nelle impostazioni di iThemes Security.

Autenticazione a due fattori

Qualsiasi accesso su cui è possibile avere un’autenticazione a due parti, è sempre consigliabile utilizzarlo. Esistono diversi modi per impostare questo. Ci può essere un CAPTCHA, un codice di autorizzazione di Google o una semplice domanda di matematica per dimostrare che sei un essere umano. Se scegli di utilizzare uno di questi, assicurati che ogni persona che accede alla dashboard abbia il proprio login. Gli accessi condivisi possono causare problemi soprattutto se si utilizza il codice di autorizzazione di Google inviato a un telefono cellulare.

  • iThemes Security Pro – ha più opzioni a due fattori tra cui CAPTCHA. Autorizzazione di Google e matematica semplice.
  • Chiave – Utilizzando il tuo cellulare, Clef offre un approccio senza password per accedere alla dashboard di WordPress.
  • Google Authenticator – Utilizza l’autenticazione a due fattori dall’app Google Authenticator per Android / iPhone / Blackberry.

Aggiorna sempre

Il motivo principale per cui un codice dannoso entra in un sito Web è dovuto a una vulnerabilità rilevata nel codice per un plug-in, un tema o un sito Web. Questo può essere facilmente risolto facendo in modo che il tuo sito Web si trovi in ​​un ciclo di aggiornamento. Alcuni proprietari avranno un giorno stabilito della settimana per aggiornare il loro sito Web, mentre altri aggiorneranno ogni volta che accedono. Ci sono plugin che possono aiutarti a mantenere i tuoi siti aggiornati.

  • jetpack – Gestisci tutti i siti collegati Jetpack in una dashboard di WordPress.com
  • iThemes Sync – Sincronizza fino a 10 siti gratuitamente in modo che vi sia una dashboard per aggiornare, eseguire BackupBuddy e sbloccare i blocchi di sicurezza iThemes.

Avere un sistema di backup

C’è molto poco di più importante in un sito Web che avere un sistema di backup in atto. Finché esiste un backup completo del sito Web incluso il database, non perderai mai il tuo sito Web. Esistono numerosi modi per eseguire il backup di un sito Web, alcuni sono automatizzati, altri sono manuali. Invia sempre i tuoi backup da qualche parte diverso dal tuo server.

  • Updraft Plus – Hanno una versione gratuita e premium per il backup del tuo sito web.
  • BackupBuddy – Un plug-in di backup premium che si integra con iThemes Security and Sync.

Suggerimenti di sicurezza vari

Sebbene questi non rientrino in una categoria più ampia, sono altrettanto importanti da ricordare

  • Utilizzare sempre SFTP quando si utilizza un file manager.
  • Mantenere le directory a 755 e i file a 644. Non averle mai a 777 o 666 in quanto ciò le rende eseguibili da tutti.
  • Verifica che il nome utente e la password del database siano complessi.
  • Non inviare password in un’e-mail. Allegarli come documenti di testo compressi.
  • Utilizza un gestore di password per tenere traccia dei tuoi accessi. LastPass e 1Password sono ottimi strumenti che possono essere utilizzati su qualsiasi browser e sui dispositivi mobili.
  • Mantieni un antivirus sul tuo computer per interrompere il download automatico da un sito Web dannoso.

Seguire questi passaggi aiuterà te e il tuo business online a rimanere al sicuro. Ricorda che essere proattivi è l’approccio migliore alla sicurezza di WordPress!

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map