Come puoi difendere il tuo sito web da intrusioni e virus? Metti in sicurezza WordPress in 12 semplici passaggi.
Te li mostro in questa infografica (e ne parliamo punto per punto).
Cosa troverai in questo articolo:
Perché dovresti mettere in sicurezza il tuo sito WordPress?
Il solo fatto avere un sito web ti espone al rischio di intrusioni, virus e malware. E se si tratta di un sito WordPress, hai ancora più probabilità di subire un attacco hacker o essere vittima di spamdexing.
WordPress è il CMS più usato
La maggior parte dei siti web vengono sviluppato in WordPress, una soluzione adatta ai professionisti ma anche a chi è meno esperto e vuole creare in autonomia il proprio sito.
Ecco qualche dato interessante.
Se consideriamo tutti i metodi di sviluppo (non solo i vari CMS, ma anche i progetti realizzati in codice puro) ben il 41% dei siti web sono realizzati con WordPress.
Considerando invece i soli CMS, la fetta di mercato occupata da WP sale ancora e supera il 64 per cento. Il restante 35,9% è ripartita tra i suoi concorrenti.
WordPress è il sistema più usato per creare un sito web e questo contribuisce a renderlo più vulnerabile al malware e offre agli hacker di tutti il mondo una buona ragione per dedicare notti insonni a pianificare attacchi sempre più sofisticati ed efficaci.
WordPress è il CMS più performante
WordPress ne ha fatta di strada da quando era “solo” una piattaforma per fare blogging.
WP garantisce performance di alto livello e semplicità d’uso e permette di gestire progetti semplici e complessi di ogni genere, anche di vendere online grazie al plugin Woocommerce
I tantissimi plugin disponibili in opzione gratuita sono parte della grande fortuna di WordPress perché lo arricchiscono di funzionalità utili, ma sono anche uno degli aspetti più critici quando si parla di mantenere alto il livello di sicurezza.
Se è vero che rendono il tuo sito ancora più performante, i plugin installati devono essere gestiti con cautela, perché sono spesso la principale via di ingresso di virus e malware.
Come puoi sfruttare le incredibili potenzialità di WordPress senza correre rischi? Prendendo molto sul serio la sicurezza del tuo sito e cura questo aspetto attenzione costante.
Per mettere in sicurezza WordPress inizia da qui
Rendi sicuro il tuo sito WorPress in 12 mosse, Infografica.
- Scegli un servizio hosting sicuro
- Tieni il sistema aggiornato
- Nascondi la versione di WordPress
- Gestisci bene i plugin
- Imposta l’autenticazione a due fattori
- Usa password complesse
- Non impostare admin come nome utente
- Aggiungi un plugin di monitoraggio
- Proteggi WP-config.php
- Modifica il prefisso delle tabelle del database WP
- Disabilita PHP per alcune directory
- Disabilita l’edit da backend
1. Scegli un servizio hosting sicuro
1. Scegli un servizio hosting sicuroÈ molto importante scegliere un provider che possa ospitare il tuo sito in sicurezza.
La differenza tra un servizio hosting di qualità e uno scadente non risiede solo nelle risorse che mette a disposizione e (spazio dati, velocità, dimensione e tipologia di hard disk) ma anche nelle buone pratiche per la gestione della sicurezza del tuo sito web.
Un server condiviso (shared) è in genere la soluzione più economica, ma potresti andare incontro a delle limitazioni nell’uso delle risorse o a cali prestazionali.
Per quanto riguarda gli aspetti specifici legati alla sicurezza, questo tipo di soluzione obbliga i siti ospitati a condividere anche i rischi della convivenza in uno stesso spazio.
Anche un server condiviso può essere una buona soluzione, purché il provider sia serio e offra reali garanzie e protezione per scongiurare l’infezione e la diffusione del malware fra i siti ospitati.
Immaginando che il tuo sia già online e che tu non abbia fatto una buona scelta fin dall’inizio, documentati sulle caratteristiche del tuo hosting e considera la possibilità di migrare il sito ad un servizio più performante e più sicuro.
Quando scegli un provider non pensare solo a risparmiare sul canone mensile perché se il sito fosse violato o finisse nella blacklist di Google, il prezzo da pagare sarebbe molto più alto:
- dovresti ripristinare il sito e potrebbero esserci dei dati che comunque potresti non recuperare;
- un sito colpito da defacing o che rimane offline potrebbe farti perdere credibilità e opportunità di guadagno.
Quindi scegli un servizio che garantisca ottime prestazioni, un server protetto e aggiornato, scansioni costanti alla ricerca di virus e malware e con un servizio di assistenza qualificato.
Un ottimo hosting con performance sopra alla media è l’hosting partner di WordPress, Sitegrouround.
Ti consiglio di acquistare un pacchetto completo che li comprenda entrambi: risparmierai tempo e fatica!
Il tuo è stato hackerato? Chiedi un’analisi gratuita ai nostri esperti.
2. Tieni il sistema aggiornato
Mantenere il sistema di gestione dei contenuti aggiornato significa prima di tutto usare l’ultima versione di WordPress e aggiorna il tema.
Gli aggiornamenti rilasciati da WordPress sono modifiche tecniche che permettono di eseguire i plugin più recenti e nella maggior parte dei casi correggono anche le vulnerabilità delle versioni precedenti.
Quanto al tema: che sia gratis o a pagamento, assicurati di sceglierne uno che venga aggiornato regolarmente.
Se vuoi evitare problemi usa solo temi provenienti dalla repository di WordPress o da siti web affidabili.
Ovviamente dovrai aggiornare anche tutti i plugin installati sul tuo sito (ma di questo specifico aspetto parliamo al punto 4).
3. Nascondi la versione di WordPress
Nascondere la versione di WordPress è un espediente semplice che può rendere la vita difficile a chi tenta di violare il tuo sito.
Se lasci in vista le indicazioni sulla versione in uso semplifichi la strada a chi tenta di entrare.
Puoi nascondere la versione di WP manualmente oppure usando un plugin: se sei poco esperto ti consiglio questa seconda soluzione.
Inizia installando WP Security Safe (estensione leggera e anche utilissima) e poi accedi alla dashboard di WP. Seleziona WP Security Safe dal pannello laterale e raggiungi la scheda Privacy:
- Seleziona “Nascondi la versione di WordPress”
- Clicca su “Salva impostazioni” nel menu del plugin
Se invece vuoi nascondere la versione di WordPress manualmente fai così:
copia e incolla questa stringa di codice nel file functions.php.
In questo modo esegui la funzione wp_generator() e impedisci di inserire la versione di WordPress nel codice HTML della pagina.
quindi: vai su Aspetto ? Editor? functions.php e incolla questo codice in qualunque punto dopo il <?php :
remove_action('wp_head', 'wp_generator');
4. Gestisci bene i plugin
La gestione poco attenta dei plugin è spesso fonte di guai. Il mancato aggiornamento delle estensioni è infatti una delle principali ragioni per cui i siti realizzati con WordPress sono attaccati dal malware.
I plugin aggiungono tante funzionalità utili, installarli è facile e a volte si rischia di farsi prendere la mano.
Oltre il 55 % dei tentativi di hackeraggio e del malware che ammorba i siti WP entra attraverso plugin obsoleti o non aggiornati.
Per questo è importante:
- scegliere solo plugin da fonte sicure;
- mantenerli regolarmente aggiornati per garantire sicurezza al sito.
Elimina anche le vecchie versioni di plugin e temi non più funzionanti per difenderti dai tentativi di intrusione con il metodo Backdoor.
Il nostro consiglio: non sovraccaricare il tuo sito con troppi plugin. Aggiungi solo quelli che ti sono realmente necessari per scongiurare cali prestazionali e aggiornali con frequenza.
5. Imposta l’autenticazione a due fattori
Se non lo hai già fatto imposta l’autenticazione a due fattori.
Puoi integrare questo sistema di sicurezza nel sito molto semplicemente con un plugin, come ad esempio 2fa o se hai già Wordfence (un plugin indispensabile per monitorare la sicurezza del tuo sito web in modo globale e che ti consiglio di installare), puoi utilizzare direttamente quello.
Con l’autenticazione a due fattori aggiungi un passaggio in più all’autenticazione standard, alzando notevolmente il tuo livello di protezione, soprattutto contro gli attacchi brute force (di forza bruta) al sito.
6. Usa password complesse
Questa è una buona pratica semplice ed efficace per mettere in sicurezza WordPress, oltre che una regola aurea che ti consiglio di seguire sempre, ogni volta che si tratta di proteggere dati o accessi.
Scegli una combinazione alfanumerica complessa e non usare la stessa password per diversi login.
Una sequenza lunga e articolata è in grado di proteggere dati e informazioni riservate, file e altri contenuti del tuo sito e impedisce l’accesso di altre persone al tuo account.
Crea la password usando almeno 12 caratteri e scegli una combinazione mista di lettere, numeri e simboli. E segui i suggerimenti di Google per creare password complesse.
7. Non impostare admin come nome utente
Altro consiglio per proteggere in maniera efficace l’ accesso al sito: non utilizzare admin come nome utente.
Admin viene impostato di default, ma ti consiglio di cambiarlo in fase di installazione (o anche successivamente) facendo in questo modo:
- aggiungi un nuovo utente dal menu utenti del pannello di controllo con un nome diverso da admin e assegnandogli il profilo da “Amministratore”;
- effettua il logout e accedi con il nuovo utente;
- cancella il vecchio utente admin che vuoi eliminare e assegna tutte le sue risorse al nuovo utente creato.
Il consiglio in più: non concedere i privilegi amministratore a troppe persone. In questo modo e riduci al minimo la possibilità che qualche collaboratore possa fare danni e manomettere inconsapevolmente dati importanti.
8. Aggiungi un plugin di monitoraggio
Installa sul sito Wordfence, disponibile in opzione gratuita o a pagamento. Già in versione free questo plugin offre molti benefici e funzionalità per alzare le difese del tuo sito web:
- scansiona il sistema (WordPress, temi e componenti aggiuntivi);
- protegge il sito dai tentativi di intrusione;
- volendo aggiunge l’autenticazione a due fattori;
- Invia notifica degli accessi nel backend;
- blocca gli indirizzi IP sospetti.
9. Proteggi il file wp-config.php
Il file wp-config.php è uno degli elementi più importanti di WordPress e contiene dettagli sulla configurazione di base del sito web e altre info importanti (credenziali del database, prefisso delle tabelle, i percorsi di alcune directory e altre impostazioni) che è bene mantenere riservate.
Per proteggerle puoi:
nascondere file wp-config.php
Quando installi WordPress wp-config.php viene collocato di default in una cartella predefinita. Puoi cambiare posizione al file per impedire intromissioni nel sito, semplicemente spostandolo al di fuori della cartella come spiegato qui.
impedire l’accesso al wp-config.php
Fai così: apri il file .htaccess con un editor testuale per modificarlo e incolla questi due codici:
# blocco file htaccess<Files .htaccess>order allow,denydeny from all</Files># Protezione file wpconfig.php<files wp-config.php>order allow,denydeny from all</files>10. Modifica il prefisso delle tabelle del database WP
Per impostazione predefinita il database WordPress ospita undici tabelle tutte con prefisso ‘wp_’
Modifica questo prefisso può essere utile a mimetizzare i nomi delle tabelle e a proteggere il sito. Per farlo è necessario raggiungere il file ‘wp-config’ e cercare questa linea di codice:
$table_prefix = ‘wp_’;
Modificando il prefisso wp_ con altri 2 o 3 caratteri (che io solo per fare un esempio ho indicato con h i l):
$table_prefix = ‘hil_’;
11. Disabilita PHP per alcune directory
Per impostazione predefinita, WordPress rende scrivibili alcune directory in modo da consentire a te o ad altri utenti autorizzati di caricare e modificare vari elementi come temi, plugin e immagini.
La possibilità di caricamento o modifica potrebbe essere sfruttata da chi tenta di entrare senza permesso o vuole hackerare il sito installando un punto di accesso (backdoor) per poi manomettere file contenuti o agire in modo malevolo da remoto.
Per questo può essere utile disabilitare l’esecuzione di PHP in alcune directory come ad esempio quella dei caricamenti. Puoi farlo in modo semplice usando il file .htaccess.
Basta creare un file vuoto sul tuo computer usando un editor di testo come ad esempio il Blocco note. Salvare il file come .htaccess e incollare il seguente codice al suo interno.
deny from all
Successivamente, dovrai caricare questo file sulle cartelle /wp-Includes/ e /wp-content/uploads/ sul tuo server di hosting WordPress .
Puoi caricarlo utilizzando un client FTP o tramite l’app File Manager nella dashboard cPanel del tuo hosting.
Una volta aggiunto il file .htaccess con il codice sopra, si interromperà l’esecuzione di qualsiasi file PHP in queste directory.
12. Disabilita l’edit da backend
Per disabilitare la possibilità di modifica da backend è necessario aggiungere al file wp-config.php questa riga di codice:
define( 'DISALLOW_FILE_EDIT', true );
Una semplicissima manovra di protezione che blocca anche gli amministratori del sito nella possibilità di modificare temi e plugin.
Tentando di accedere alle pagine wp-admin/theme-editor.php e wp-admin/plugin-editor.php si riceverà un messaggio che segnala l’errore di autorizzazione.
La possibilità di aggiornare i temi e i plug-in direttamente dall’admin principale di WordPress resta attivata.
Pensi di avere un problema di sicurezza in WordPress? chiedi un aiuto professionale!
Non dovresti mai manomettere il codice se non sei in grado di farlo in sicurezza. Potresti perdere informazioni importanti o di danneggiare irreparabilmente il tuo sito web.
In ogni caso esegui sempre un backup completo del sito da ripristinare in caso di problemi lelle azioni antivirus.
Se sospetti di avere un virus nel sito, chiedi l’intervento di un professionista.
Un servizio professionale di rimozione virus dovrebbe sempre offrire una scansione gratuita del sito con report sui problemi e un preventivo per l’eventuale soluzione.
Altre risorse utili per mettere in sicurezza WordPress tratte dal nostro Blog:
- Come riconoscere un sito infetto
- Come uscire dalla Balcklist di Google
- Le prime tre cose da fare se il tuo sito è stato hackerato
- Scansione professionale e gratuita del tuo sito WordPress
Il tuo sito WordPress è infetto?
