Esegui una guida all'audit di sicurezza di WordPress

Pubblicato: 2020-08-25

Iniziamo col dire che WordPress è abbastanza sicuro. Tuttavia, se ritieni che ci sia qualcosa di sospetto nel tuo sito web, ti consigliamo di eseguire un audit di sicurezza di WordPress . La verità è che, sfortunatamente, la maggior parte dei siti Web sperimenta qualche tipo di problema di sicurezza, prima o poi. E non solo mette a rischio il tuo sito web, ma mette a rischio anche le informazioni degli utenti potenzialmente sensibili. Per prevenirli, esaminiamo i passaggi principali per condurre un audit di sicurezza di WordPress del tuo sito web.

Perché è importante eseguire regolarmente un audit di sicurezza di WordPress sul tuo sito web

Molti proprietari di siti Web non pensano davvero alla sicurezza del sito Web finché non è già compromesso. Vuoi assicurarti di fare ciò che è in tuo potere per prevenire una potenziale violazione della sicurezza. Quando conduci audit di sicurezza di WordPress, stai rivedendo le tue politiche e rafforzandole. Sarebbe opportuno eseguire controlli di sicurezza almeno una volta all'anno o più regolarmente, a seconda delle dimensioni del tuo sito Web e del tipo di informazioni sull'utente. Tuttavia, anche nel caso in cui tu abbia eseguito l'audit di recente, ti consigliamo di ripeterlo in queste situazioni:

  • Trovi account sospetti sul tuo sito Web o tentativi di accesso sospetti
  • Se si verifica un improvviso calo del traffico
  • Il tuo sito web è diventato lento all'improvviso
  • Puoi vedere link sospetti

Come condurre un audit di sicurezza del sito web

Se vuoi approfondire, gli audit di sicurezza possono includere molti più passaggi. Tuttavia, un audit di sicurezza completo deve includere questi passaggi principali :

  • Assicurati che WordPress, plugin e temi siano aggiornati
  • Rimuovi file, temi e plug-in che non ti servono
  • Assicurati che la tua soluzione di backup funzioni
  • Analizza gli account utente
  • Rendi più sicura la tua password
Sicurezza.
Esegui l'audit di WordPress in modo corretto e regolare

Gli aggiornamenti sono fondamentali

Assicurarsi che il software di base di WordPress sia aggiornato è molto importante, proprio come assicurarsi di aggiornare regolarmente i plugin e i temi. E non è solo questione di stabilità del tuo sito web, ma anche di sicurezza . In qualsiasi software possono comparire delle vulnerabilità e gli sviluppatori le risolvono rilasciando un aggiornamento che contiene una patch di sicurezza. Il processo è semplice, devi visitare la Dashboard e scegliere la pagina Aggiornamenti.

Rimuovi temi e plugin che non usi più

Tutti amiamo temi e plugin. Ma quanti plugin è uno di troppo? E che dire dei plugin che abbiamo installato, solo per scoprire che non ci piacciono molto? A volte, li disattiveremo e li faremo rimanere sul server. Ma quello che dovresti davvero disinstallarli . I vecchi file di temi e plug-in possono causare problemi di sicurezza sul tuo sito Web e non c'è motivo per cui non dovresti impedirlo. La soluzione è abbastanza semplice : vai alle schede Temi e Plugin e decidi di quali hai bisogno. Se alcuni di loro non sono attivi da un po' di tempo, ci sono buone probabilità che tu non ne abbia davvero bisogno. Inoltre, una volta disinstallati, assicurati che non siano rimasti file.

Plugin WordPress.
Prima di installare altri plugin, rimuovi quelli che non usi

Configura e testa il backup di WordPress

La parte importante dell'audit di sicurezza di WordPress è assicurarsi di avere il backup del tuo sito Web, nel caso qualcosa vada storto. Tuttavia, molti principianti dimenticano il plug di backup dopo averlo configurato. Il primo backup potrebbe richiedere del tempo poiché l'intero sito Web viene copiato. I backup successivi saranno molto più veloci poiché verranno copiate solo le modifiche. Ma, dopo un po', i plug-in di backup potrebbero smettere di funzionare, quindi dovresti assicurarti che il tuo plug-in stia ancora salvando i tuoi backup . Testa il tuo backup di tanto in tanto, per assicurarti che tutto sia in ordine. In questo modo, se succede qualcosa, sarai in grado di ripristinare il backup e il tuo sito tornerà alla normalità.

Due tipi di siti web

Facendo clic sulla pagina Utenti e Tutti gli utenti, puoi visualizzare tutti gli account utente. Nel primo caso, se il tuo sito richiede una registrazione, qui potrai vedere molti account utente. Nel caso in cui vinci un sito Web aziendale o un blog e il tuo sito Web non richiede la registrazione, potresti trovare solo uno o pochi account utente in questa pagina. Con questi siti web, vuoi andare su Impostazioni e assicurarti che nella pagina Generale, l'opzione "Chiunque può registrarsi" sia deselezionata. In entrambi i casi, se trovi un account utente sospetto o inattivo potresti volerlo eliminare.

Analizza gli account utente

Dovresti anche sapere che WordPress consente sei diversi ruoli che puoi assegnare ai tuoi utenti: Abbonato, Collaboratore, Autore, Editore, Amministratore e Super amministratore. Assicurati di assegnare correttamente questi ruoli, poiché non tutti gli utenti devono disporre dello stesso livello di autorizzazione. Analizza gli account utente per:

  • Verifica di quanti utenti hanno accesso come amministratore
  • Quando esegui il controllo di sicurezza di WordPress, assicurati che i ruoli appropriati siano assegnati agli utenti
  • Assicurati di riconoscere gli utenti sulla pagina ed eliminare gli utenti che sembrano sospetti
  • Assicurarsi che gli amministratori non utilizzino il nome utente "admin" poiché gli hacker potrebbero sfruttarlo
Uno scrittore di WordPress, un ruolo che non eseguirà un audit di sicurezza di WordPress.
Gli scrittori e altri ruoli non hanno bisogno di avere un privilegio completo

Puoi notare che il nome utente ovvio non è l'idea migliore. Per modificarlo, dovrai eliminare l'account e configurare un nuovo account con gli stessi privilegi concessi. Poiché si tratta di un processo lungo, verifica se un plug-in può aiutarti a modificare il tuo nome utente senza di esso. Quando si tratta della tua password, è sempre preferibile una password complessa e tieni presente che l'autorizzazione a due fattori renderà la tua password più forte. Se non sai come modificare il nome utente e la password di WordPress, troverai utile questo articolo.

Sono necessari più passaggi se desideri eseguire un audit di sicurezza di WordPress ancora più approfondito. Tuttavia, questi sono i passaggi principali che dovresti sempre includere nelle pratiche di sicurezza del tuo sito web. Se dedichi un paio d'ore ogni volta che esegui l'audit, proteggerai il tuo sito Web in modo più efficiente e preverrai determinati problemi di sicurezza.