come mettere in sicurezza Wordpress in 12 mosse con i nostri consigli
Tempo di lettura: 13 minuti
Aggiornato al 21 Aprile 2024

Come puoi difendere il tuo sito web da intrusioni e virus? Metti in sicurezza WordPress in 12 semplici passaggi.

Te li mostro in questa infografica (e ne parliamo punto per punto).

Perché dovresti mettere in sicurezza il tuo sito WordPress?

Il solo fatto di essere online con un sito web ti espone al rischio di intrusioni, virus e malware. E se si tratta di un sito WordPress, hai ancora più probabilità di subire un attacco hacker o essere vittima di spamdexing.

WordPress è il CMS più usato

La maggior parte dei siti web vengono creati con WordPress, una soluzione adatta ai professionisti ma anche a chi è meno esperto e vuole creare in autonomia il  proprio sito.

Ecco qualche dato interessante. Se consideriamo tutti i metodi di sviluppo (non solo i CMS, ma anche i progetti realizzati in codice puro) ben il 41 percento dei siti web sono realizzati con WordPress

Wordpress, il CMS più usato al mondo grafico a torta
Fonte dei dati: aggiornati al 2021: w3techs.com

Considerando invece i soli CMS, la fetta di mercato occupata da WordPress sale ancora e supera  il 64 per cento, mentre il restante 35,9% è ripartita tra i suoi competitors.

WordPress è il metodo più usato per creare un sito web e  questo contribuisce a renderlo più vulnerabile al malware

e offre agli hacker di tutti il mondo una buona ragione per dedicare notti insonni a pianificare attacchi sempre più sofisticati ed efficaci.

WordPress è il CMS più performante

Ne ha fatta di strada da quando era “solo” una piattaforma per creare blog.

WordPress garantisce performance di alto livello e semplicità d’uso e permette a professionisti ma anche a chi è meno esperto di gestire progetti complessi di ogni genere, anche di vendere online grazie al plugin Woocommerce

I tantissimi plugin disponibili  in opzione gratuita sono parte della grande fortuna di WordPress perché nel tempo lo hanno arricchito di funzionalità interessanti, ma sono anche uno degli aspetti più critici quando si parla di mantenere alto il livello di sicurezza.

Se è vero che rendono WordPress ancora più performante, i plugin installati devono essere gestiti con cautela, perché sono  la principale via  di ingresso del malware nel sito.

Quindi come puoi sfruttare le incredibili potenzialità di WordPress senza correre rischi? Prendendo molto sul serio la sicurezza del tuo sito e cura questo aspetto attenzione costante.

Per mettere in sicurezza WordPress inizia da qui

Sicurezza WordPress: come difendere il tuo sito in 12 mosse (infografica di Creacity)

 

  1. Scegli un servizio hosting sicuro
  2. Tieni il sistema aggiornato
  3. Nascondi la versione di WordPress
  4. Gestisci bene i plugin
  5. Imposta l’autenticazione a due fattori
  6. Usa password complesse
  7. Non impostare admin come nome utente
  8. Aggiungi un plugin di monitoraggio
  9. Proteggi WP-config.php
  10. Modifica il prefisso delle tabelle del database WP
  11. Disabilita PHP per alcune directory
  12. Disabilita l’edit da backend

1.  Scegli un servizio hosting sicuro

È molto importante scegliere un provider che possa ospitare il tuo sito in sicurezza.

La differenza tra un servizio hosting di qualità e uno scadente non risiede solo nelle risorse che mette a disposizione e (spazio dati, velocità, dimensione e tipologia di hard disk) ma anche nelle buone pratiche per la gestione della sicurezza del tuo sito web.

Un server condiviso (shared) è in genere la soluzione più economica, ma potresti andare incontro a delle limitazioni nell’uso delle risorse o a cali prestazionali.

Per quanto riguarda gli aspetti specifici legati alla sicurezza, questo tipo di soluzione obbliga i siti ospitati a condividere anche i rischi della convivenza in uno stesso spazio.

Anche un server condiviso può essere una buona soluzione, purché il provider sia serio e offra reali garanzie e protezione per scongiurare l’infezione e la diffusione del malware fra i siti ospitati.

Immaginando che il tuo sia già online e che tu non abbia fatto una buona scelta fin dall’inizio, documentati sulle caratteristiche del tuo hosting e considera la possibilità di migrare il sito ad un servizio più performante  e più sicuro. 

Quando scegli un provider non pensare solo a risparmiare sul canone mensile perché se il sito fosse violato o finisse nella blacklist di Google, il prezzo da pagare, a conti fatti, sarebbe molto più alto:

  • dovresti ripristinare il sito e potrebbero esserci dei dati che comunque potresti non recuperare;
  • un sito colpito da defacing o che rimane offline potrebbe farti perdere credibilità e opportunità di guadagno.

Quindi scegli un servizio che garantisca buone prestazioni, un server protetto e aggiornato, scansioni costanti alla ricerca di virus e malware e con un servizio di assistenza qualificato.

Ecco il link ad un ottimo hosting con performance sopra alla media. E’ l’hosting partner di WordPress

Ti consiglio di acquistare un pacchetto completo che li comprenda entrambi: risparmierai tempo e fatica. :

Sospetti che il suo sito sia stato hackerato? Chiedi un’analisi gratuita ai nostri esperti.

2. Tieni il sistema aggiornato

Mantenere il sistema di gestione dei contenuti aggiornato significa prima di tutto usare l’ultima versione di WordPress e aggiornare il tema.

Gli aggiornamenti rilasciati da WordPress sono modifiche tecniche che permettono di eseguire i plugin più recenti e nella maggior parte dei casi correggono anche le vulnerabilità delle versioni precedenti.

Quanto al tema: che sia gratis o a pagamento, assicurati di sceglierne uno che venga aggiornato regolarmente. Se vuoi evitare problemi usa solo temi provenienti dalla repository di WordPress o da siti web affidabili.

Ovviamente dovrai aggiornare anche tutti i plugin installati sul tuo sito (ma di questo specifico aspetto parliamo al punto 4).

3. Nascondi la versione di WordPress

Nascondere la versione di WordPress è un espediente semplice che può rendere la vita difficile a chi tenta di violare il tuo sito.

Se lasci in bella vista le indicazioni della versione in uso spiani la strada a chi tenta di entrare, perché chiunque può sfruttarne le vulnerabilità che di solito sono diffuse online.

Puoi nascondere la versione di WP manualmente oppure usando un plugin: se sei poco esperto ti consiglio questa seconda soluzione.

Inizia installando WP Security Safe (estensione leggera e anche utilissima) e poi accedi alla dashboard di WP. Seleziona WP Security Safe dal pannello laterale e raggiungi la scheda Privacy:

  1. Seleziona “Nascondi la versione di WordPress”
  2. Clicca su Salva impostazioni nel menu del plug-in

Se invece vuoi nascondere la versione di WordPress manualmente fai così:

copia e incolla questa stringa di codice nel file functions.php.

In questo modo esegui la funzione wp_generator() e impedisci di inserire la versione di WordPress nel codice HTML della pagina.

quindi: vai su Aspetto ? Editor? functions.php e incolla questo codice in qualunque punto dopo il <?php :

remove_action('wp_head', 'wp_generator');

4. Gestisci bene i plugin

La gestione poco attenta dei plugin è spesso fonte di guai. Il mancato aggiornamento è infatti una delle principali ragioni per cui i siti realizzati con WordPress son più permeabili al malware.

I plugin aggiungono tante funzionalità utili, installarli è facile e a volte si rischia di farsi prendere un po’ la mano. Oltre il 55 % dei tentativi di hackeraggio e del malware che ammorba i siti WP entra attraverso plugin obsoleti o non aggiornati.

Per questo è importante:

  • scegliere solo plugin da fonte sicure;
  • mantenerli regolarmente aggiornati per garantire sicurezza al sito.

Elimina anche le vecchie versioni di plugin e temi non più funzionanti per difenderti dai tentativi di intrusione con il metodo  Backdoor.

Il consiglio in più: non sovraccaricare il tuo sito con troppi plugin. Aggiungi solo quelli che ti sono realmente necessari per scongiurare cali prestazionali. E ricorda: ogni plugin dovrà essere poi regolarmente aggiornato, quindi non esagerare.

5. Imposta l’autenticazione a due fattori

Se non lo hai già fatto imposta l’autenticazione a due fattori.

Puoi integrare questo sistema di sicurezza in autonomia nel sito e molto semplicemente con un plugin dedicato come per esempio 2fa o  se hai già Wordfence (un plugin indispensabile per monitorare la sicurezza del tuo sito web in modo globale e che ti consiglio di installare), puoi utilizzare direttamente quello.

Con l’autenticazione a due fattori aggiungi un passaggio in più all’autenticazione standard, alzando notevolmente il tuo livello di protezione, soprattutto contro gli attacchi brute force (di forza bruta) al sito.

6. Usa password complesse

Questa è una buona pratica semplice ed efficace per mettere in sicurezza  WordPress, oltre che una regola d’oro che ti consiglio di seguire sempre, ogni volta che si tratta di proteggere dati o accessi di qualsia tipo con una password.

Scegliere una combinazione alfanumerica complessa e non utilizzare la stessa password per diversi login.

Una sequenza lunga e articolata è in grado di proteggere dati e informazioni riservate, file e altri contenuti del tuo sito e Impedisce l’accesso di altre persone al tuo account.

Crea la password usando almeno 12 caratteri e scegli una combinazione mista di lettere, numeri e simboli. E segui i suggerimenti di Google per creare password complesse.

7. Non impostare admin come nome utente

Altro consiglio per proteggere in maniera efficace l’ accesso al sito: non utilizzare admin come nome utente.

Admin viene impostato di default, ma ti consiglio di cambiarlo in fase di installazione (o anche successivamente) facendo in questo modo:

  1. aggiungi un nuovo utente dal menu utenti del pannello di controllo con un nome diverso da admin e assegnandogli il profilo da “Amministratore”;
  2. effettua il logout e accedi con il nuovo utente;
  3. cancella il vecchio utente admin che vuoi eliminare e assegna tutte le sue risorse al nuovo utente creato.

Il consiglio in più: non concedere i privilegi amministratore a troppe persone. In questo modo e riduci al minimo la possibilità che qualche collaboratore possa far danno o manomettere inconsapevolmente dati importanti.

8. Aggiungi un plugin di monitoraggio

Aggiungere al tuo sito un plugin come Wordfence ti permette di tenere traccia di ciò che accade.

Wordfence è disponibile a pagamento e in opzione gratuita ma già in versione free offre molti benefici e funzionalità per aumentare le difese del tuo sito web:

  • scansiona il sistema (WordPress, temi e componenti aggiuntivi);
  • ti protegge dai tentativi di intrusione;
  • puoi usarlo per impostare l’autenticazione a due fattori;
  • Invia notifica degli accessi nel backend;
  • blocca gli indirizzi IP sospetti.

9. Proteggi il file wp-config.php

Il file wp-config.php è uno degli elementi più importanti di WordPress e contiene dettagli sulla configurazione di base del sito web e altre info importanti (credenziali del database, prefisso delle tabelle, i percorsi di alcune directory e  altre impostazioni) che è bene mantenere riservate.

Per proteggerle puoi:

nascondere file wp-config.php

Quando installi WordPress wp-config.php viene collocato di default in una cartella predefinita. Puoi cambiare posizione al file per impedire intromissioni nel sito, semplicemente spostandolo al di fuori della cartella come spiegato qui.

impedire l’accesso al wp-config.php

Fai così: apri il  file .htaccess con un editor testuale per modificarlo e incolla questi due codici:

# blocco file htaccess
<Files .htaccess>
order allow,deny
deny from all
</Files>
Questo è invece il codice per bloccare l’accesso al file wp-config.php:
# Protezione file wpconfig.php
<files wp-config.php>
order allow,deny
deny from all
</files>

10. Modifica il prefisso delle tabelle del database WP

Per impostazione predefinita il database WordPress ospita undici tabelle tutte con prefisso ‘wp_’

Modifica questo prefisso può essere utile a mimetizzare i nomi delle tabelle e a proteggere il sito. Per farlo è necessario raggiungere il file ‘wp-config’ e cercare questa linea di codice:

$table_prefix = ‘wp_’;

Modificando il prefisso  wp_ con altri 2 o 3 caratteri (che io solo per fare un esempio ho indicato con h i l):

$table_prefix = ‘hil_’;

11. Disabilita PHP per alcune directory

Per impostazione predefinita, WordPress rende scrivibili alcune directory in modo da consentire a te o ad altri utenti autorizzati di caricare e modificare vari elementi come temi, plugin e immagini.

La  possibilità di caricamento o modifica potrebbe essere sfruttata da chi tenta di entrare senza permesso o vuole hackerare il sito installando un punto di accesso (backdoor) per poi manomettere file contenuti  o agire in modo malevolo da remoto.

Per questo può essere utile disabilitare l’esecuzione di PHP in alcune directory come ad esempio quella dei caricamenti. Puoi farlo in modo semplice usando il file .htaccess.

Basta creare un file vuoto sul tuo computer utilizzando un editor di testo come ad esempio il Blocco note. Salvare il file come .htaccess e incollare il seguente codice al suo interno.

deny from all

Successivamente, dovrai caricare questo file sulle cartelle /wp-Includes/ e /wp-content/uploads/ sul tuo server di hosting WordPress .

Puoi caricarlo utilizzando un client FTP o tramite l’app File Manager nella dashboard cPanel del tuo hosting.

Una volta aggiunto il file .htaccess con il codice sopra, si interromperà l’esecuzione di qualsiasi file PHP in queste directory.

12. Disabilita l’edit da backend

Per disabilitare la possibilità di modifica da backend è necessario aggiungere al file wp-config.php questa riga di codice:

define( 'DISALLOW_FILE_EDIT', true );

Una semplicissima manovra di protezione che blocca anche gli amministratori  del sito nella possibilità di modificare  temi e  plugin.

Tentando di accedere alle pagine wp-admin/theme-editor.php e wp-admin/plugin-editor.php si riceverà un messaggio che segnala  l’errore di autorizzazione.

La possibilità di aggiornare i temi e i plug-in direttamente dall’admin principale di WordPress resta attivata.

Pensi di avere un problema di sicurezza WordPress? chiedi un aiuto professionale!

Non dovresti mai manomettere il codice se pensi di non essere in grado di farlo in sicurezza per evitare di perdere informazioni importanti o di danneggiare irreparabilmente il  tuo sito web.

In ogni caso esegui sempre un backup completo del sito da ripristinare in caso di problemi nell’esecuzioni di operazioni antivirus.

Se noti un problema o sospetti di avere un virus nel sito, chiedi l’intervento di un professionista se noti qualcosa che non va. Ecco 12 sintomi che suggeriscono la presenza di un virus all’interno del sito.

In generale un servizio professionale di qualità dovrebbe offrirti una scansiane gratuita del tuo sito con report che indica il problema e un preventivo per l’eventuale soluzione. Rivolgersi ad un professionista evita di far danno se non sei esperto.

Altre risorse utili per mettere in sicurezza WordPress dal nostro blog:

Il tuo sito WordPress è compromesso e vuoi una mano?

avvia la scansione gratuita

Summary
Sicurezza Wordpress: proteggi il tuo sito in 12 mosse [+infografica]
Article Name
Sicurezza Wordpress: proteggi il tuo sito in 12 mosse [+infografica]
Description
in questo articolo ti mostriamo come mettere in sicurezza Wordpress in 12 passaggi e riassumiamo tutto in un'infografica!
Author
Publisher Name
Creacity
Publisher Logo
Tag: , ,

Lascia un commento

Your email address will not be published. Required fields are marked *