Sicurezza di WordPress: migliora la sicurezza del tuo sito con questi passaggi
Pubblicato: 2018-05-23Sul Web, il maggior numero di siti Web in esecuzione su piattaforma WordPress. Significa che WordPress sta dominando il web. Attira l'attenzione di elementi dannosi sul web. Pertanto, Google vieta ogni anno quasi 20.000 siti Web per malware e 50.000 siti Web per phishing.
In uno scenario così triste, la sicurezza del sito web diventa vitale. Gli incidenti di attacchi registrati sono i più alti sulla piattaforma WordPress a causa del maggior numero di siti Web in esecuzione con codice WordPress. Pertanto, oggi vorrei evidenziare alcuni passaggi attuabili che potrebbero aiutarti a proteggere il tuo sito Web WordPress.
Garantire l'ingresso degli utenti del tuo sito Web WordPress
Nella vita reale, quando vogliamo proteggere un locale come casa, ufficio o fabbrica, guardiamo prima ai punti di accesso in cui elementi maliziosi o dannosi possono tentare di ottenere una voce. La stessa strategia deve essere applicata per proteggere il tuo sito Web WordPress.
Ora, valutiamo i possibili punti di ingresso tramite hacker o utenti malintenzionati che possono accedere al tuo back-end o al codice sorgente. Per impostazione predefinita, l'URL di accesso al back-end di WordPress finisce con:
/wp-login.php o /wp-admin/
Pertanto, è necessario adottare le misure appropriate per bloccare l'ingresso di utenti indesiderati nella pagina del backend di WordPress.
Modifica URL di accesso
Se sei uno sviluppatore WordPress, sai già come modificare l'URL predefinito del back-end del sito, ma per utenti esperti o utenti di tipo fai-da-te, un plug-in o un'estensione di sicurezza avanzata può consentirti di farlo. Così puoi cambiare
- /wp-login.php a /Your-Domain-Name-login.php
- /wp-admin/o /Il tuo-nome-dominio-admin/
- /wp-login.php?action=register o /Your-Domain-Name-registration
Pertanto, questo tipo di URL personalizzato può aiutarti a proteggere notevolmente dagli attacchi di forza bruta.
Cambia nome utente
Per impostazione predefinita, la maggior parte degli sviluppatori di WordPress imposta la parola chiave "Admin/admin" come nome utente. Semplifica il lavoro di hacker e utenti indesiderati nell'accesso al back-end del tuo sito WordPress e devono utilizzare il loro Guess Work Database (GWDb) solo per indovinare la password.
Se modifichi il tuo nome utente predefinito in qualcosa di imprevedibile come il tuo indirizzo e-mail, puoi ridurre la minaccia degli aggressori e del loro software.
Cambiare la password
Proprio come il nome utente, la password è sempre minacciata. Esistono molti modi per proteggere le attività di indovinare la password. Ad esempio, utilizzando una password molto complessa con una combinazione di lettere minuscole, maiuscole, numeri e simboli.
Tuttavia, le recenti tendenze dell'autenticazione a due fattori sono un modo eccellente e solido per proteggere l'accesso al tuo back-end per tutti i livelli di utenti. I cellulari/smartphone sono dispositivi utili per accedere a OTP (One-Time Password) per autenticare il sistema 2FA.
Imposta blocco e ban
Per prevenire tentativi di forza bruta e implementare il blocco o il ban di quegli indirizzi IP, sono disponibili molti plugin e software per riconoscere ripetuti tentativi di accesso o registrazione. I plug-in ti consentono di impostare una serie di tentativi falliti e forniscono altre funzionalità per impedire al back-end del tuo sito Web di accedere non autorizzati.
Protezione del dashboard di amministrazione del tuo sito Web WordPress
Per gli utenti del backend di WordPress, la dashboard è la parte più coinvolgente e maggiormente utilizzata del backend. Fornisce tutti gli strumenti e le opzioni per gestire l'intero sito Web dall'utilizzo predefinito alla personalizzazione. Se qualcuno hackera la dashboard con successo, si rivelerà la più grande vittoria per gli hacker e la più dannosa per i proprietari di siti web.
Pertanto, dovremmo adottare misure speciali per il dashboard di amministrazione di WordPress . Le seguenti sono possibili misure che possiamo prendere in considerazione d'ora in poi.
Prenditi cura della directory 'wp-admin'
Tutto è inserito in una directory wp-admin che ti consente di gestire l'intero sito Web, comprese le risorse e i file. Pertanto, prevenire l'accesso non autorizzato alla directory significa eliminare in anticipo la maggior parte dei peggiori.
Ci sono alcuni plugin sviluppati dalla community di WordPress per rendere la directory protetta da password. Pertanto, gli utenti amministratori di WordPress devono utilizzare due password diverse per accedere alla dashboard. Uno per la pagina di accesso mentre un altro per la dashboard. Tali plugin generano automaticamente il file [.htpasswd], quindi crittografano la password e configurano i permessi del file.
Aggiungi utenti amministratori con sufficiente attenzione
Oltre al super amministratore che ha tutti i privilegi del back-end, anche altri utenti hanno accesso al back-end con diversi livelli di accesso alle funzionalità e alle funzioni del back-end. L'accesso basato sui ruoli al back-end è possibile e puoi concedere loro nomi utente e password diversi che ritieni più sicuri.
Monitora i file importanti nella directory di amministrazione
È possibile utilizzare alcuni plug-in per monitorare le attività sospette affinché tutti gli utenti amministratori prendano misure in tempo reale ogni volta che vengono rilevate minacce alla sicurezza.
Crittografa i dati
Se hai implementato il Security Socket Certificate (SSL) che utilizza la più recente tecnologia di crittografia per proteggere i tuoi dati archiviati e scambiati, puoi impedire che accada qualcosa di sbagliato e proteggere l'intera area di amministrazione di WP e il sito web.
Protezione del database del tuo sito WordPress
La piattaforma WordPress si basa molto sul database perché tutte le risorse del sito Web sono archiviate in database in formati per lo più tabulari in tipi di database SQL, che si tratti di testi, immagini, codice di layout, contenuto multimediale e qualsiasi cosa in un sito WordPress ha un posto nel database.
Per proteggere i database dalle iniezioni SQL e altri attacchi informatici, puoi proteggere il tuo database con le seguenti misure.
Imposta password per database
Puoi impostare una password complessa per il tuo database e limitare l'accesso al database fino al ruolo di super amministratore in modo da ridurre al minimo la manomissione del database o le possibilità di errori.
Cambia il prefisso WP
Se stai per installare un sito Web WordPress, potresti riscontrare un'impostazione per una tabella del database ed è il prefisso della tabella WP. Per impostazione predefinita è wp- e devi cambiarlo per prevenire iniezioni SQL come attacchi al database. Puoi cambiarlo da wp- a Your-Domain-Name come un prefisso personalizzato.
Fai un backup regolare del database
Potresti avere il backup regolare dell'intero sito Web o meno, ma organizzare il backup del database può salvarti dalla perdita di dati che si verifica a causa di vari motivi noti e sconosciuti. Oggi abbiamo plug-in di backup con privilegi speciali per eseguire il backup del database con frequenza diversa .
Hosting sicuro del tuo sito WordPress
Oggi l'hosting di un sito Web è fondamentale per il suo successo perché i motori di ricerca richiedono un hosting SEO-friendly ideale per soddisfare i suoi requisiti di ranking. Allo stesso modo, gli utenti del sito Web, inclusi gli utenti back-end e gli utenti front-end, l'ottimizzazione delle prestazioni, l'ottimizzazione delle conversioni e le esperienze degli utenti dipendono in gran parte dall'ambiente di hosting e dalla qualità dell'hosting nel suo insieme.
Oggi abbiamo diverse opzioni di hosting oltre ai servizi di hosting della comunità WordPress predefiniti come hosting condiviso, hosting VPS, hosting dedicato e, soprattutto, servizi di hosting basati su cloud come Kinsta per diverse dimensioni e dimensioni dei siti Web.
File sicuro wp-config.php
L'accesso al file wp-config.php di WordPress è un risultato fondamentale per gli hacker per realizzare facilmente le loro cattive intenzioni perché contiene informazioni altamente critiche sull'intera installazione di WordPress.
Il modo migliore è spostare il file a un livello superiore rispetto alla directory principale. Puoi farlo facilmente perché WordPress può vederlo anche se si trova al di fuori della directory principale di WordPress. Pertanto, il server può trovarlo facilmente a un livello superiore.
Ban modifica file
In un server di hosting, l'origine del tuo sito Web ha diversi file con informazioni critiche e autorizzazioni per eseguire il tuo sito senza intoppi. Se hacker o elementi dannosi violano il server e accedono a tali file, possono causare danni di diversa intensità.
Se non consenti la modifica dei file a nessuno tranne che al super amministratore, puoi risparmiare facilmente da quelle perdite. Puoi farlo semplicemente aggiungendo una riga di codice alla fine del file wp-config.
Prestare attenzione durante l'impostazione delle autorizzazioni della directory
Directory, sottodirectory e file sul tuo server di hosting sono aspetti importanti della sicurezza di WordPress. Se imposti le autorizzazioni in modo errato per questi componenti del tuo sito web. Potresti aumentare le possibilità di attacchi una volta che il server si compromette comunque.
Pertanto, è necessario impostare l'autorizzazione 755 per le directory/sottodirectory e l'autorizzazione 644 per i file. Utilizzando gli strumenti di File Manager disponibili in hosting/c-Panel, puoi impostare o modificare facilmente i permessi. Per ulteriori informazioni sui permessi dei file – Comprendere i permessi dei file e usarli per proteggere il tuo sito .
Corretta connessione al server
Tradizionalmente, utilizziamo il protocollo FTP per la connessione al server. Ma SFTP o SSH è oggi un modo più sicuro e affidabile per stabilire una connessione al server.
Protezione di temi e plugin del tuo sito WordPress
La maggior parte dei temi e dei plugin di WordPress sono sviluppati da sviluppatori di terze parti. Questi non sono completamente affidabili dal punto di vista della sicurezza. Pertanto, è necessario adottare alcune misure per renderli in modo sicuro. Ad esempio:
Prendi aggiornamenti regolari
Proprio come il tuo sito Web WordPress, anche gli sviluppatori/le aziende di plugin e temi pubblicano aggiornamenti per stare al passo con le versioni di WordPress e correggere bug e problemi che vengono a conoscenza dal feedback degli utenti. Quindi, prova a installare regolarmente i loro aggiornamenti tramite dashboard utilizzando un plug-in appropriato.
Nascondi le informazioni sulla versione di WordPress
Per gli aggressori, conoscere le informazioni sulla versione di WordPress come il numero può aiutare a sviluppare un attacco su misura e le informazioni sulla versione sono facilmente disponibili nella fonte di WordPress. Se riesci a rimuovere quelle informazioni sulla versione fai-da-te o con l'aiuto del tuo sviluppatore WordPress dedicato , puoi rendere la vita degli aggressori un po' dura.
Conclusione
Ho scritto il post sopra tenendo presente i principianti e gli sviluppatori di WordPress di medio livello, nonché gli sviluppatori di plugin WordPress dedicati. Pertanto, l'implementazione dei suggerimenti descritti per proteggere il tuo sito WordPress si rivelerebbe difficile senza l'aiuto di plug-in di sicurezza WordPress appropriati e più recenti. Ti consiglio di seguire i plugin da installare per il tuo sito e renderlo più sicuro che mai:
- All In One WP Security & Firewall
- Protezione dell'accesso a forza bruta
- Sicurezza antiproiettile
- Autenticatore di Google
- iThemes Security, precedentemente Better WP Security
- Plugin per WordPress di Sucuri Security
- Recinzione di parole
- Protezione del sito antivirus WP
Se hai ancora confusione e desideri avere l'aiuto di mani esperte. Perception System fornisce servizi di sviluppo WordPress e strutture per assumere sviluppatori WordPress per aiutare i clienti bisognosi a rendere il loro sito completamente sicuro e protetto.