Come puoi difendere il tuo sito web da intrusioni e virus? Metti in sicurezza WordPress in 12 semplici passaggi.
Te li mostro in questa infografica (e ne parliamo punto per punto).
Cosa troverai in questo articolo:
Perché dovresti mettere in sicurezza il tuo sito WordPress?
Il solo fatto di essere online con un sito web ti espone al rischio di intrusioni, virus e malware. E se si tratta di un sito WordPress, hai ancora più probabilità di subire un attacco hacker o essere vittima di spamdexing.
WordPress è il CMS più usato
La maggior parte dei siti web vengono creati con WordPress, una soluzione adatta ai professionisti ma anche a chi è meno esperto e vuole creare in autonomia il proprio sito.
Ecco qualche dato interessante. Se consideriamo tutti i metodi di sviluppo (non solo i CMS, ma anche i progetti realizzati in codice puro) ben il 41 percento dei siti web sono realizzati con WordPress
Considerando invece i soli CMS, la fetta di mercato occupata da WordPress sale ancora e supera il 64 per cento, mentre il restante 35,9% è ripartita tra i suoi competitors.
WordPress è il metodo più usato per creare un sito web e questo contribuisce a renderlo più vulnerabile al malware
e offre agli hacker di tutti il mondo una buona ragione per dedicare notti insonni a pianificare attacchi sempre più sofisticati ed efficaci.
WordPress è il CMS più performante
Ne ha fatta di strada da quando era “solo” una piattaforma per creare blog.
WordPress garantisce performance di alto livello e semplicità d’uso e permette a professionisti ma anche a chi è meno esperto di gestire progetti complessi di ogni genere, anche di vendere online grazie al plugin Woocommerce
I tantissimi plugin disponibili in opzione gratuita sono parte della grande fortuna di WordPress perché nel tempo lo hanno arricchito di funzionalità interessanti, ma sono anche uno degli aspetti più critici quando si parla di mantenere alto il livello di sicurezza.
Se è vero che rendono WordPress ancora più performante, i plugin installati devono essere gestiti con cautela, perché sono la principale via di ingresso del malware nel sito.
Quindi come puoi sfruttare le incredibili potenzialità di WordPress senza correre rischi? Prendendo molto sul serio la sicurezza del tuo sito e cura questo aspetto attenzione costante.
Per mettere in sicurezza WordPress inizia da qui
- Scegli un servizio hosting sicuro
- Tieni il sistema aggiornato
- Nascondi la versione di WordPress
- Gestisci bene i plugin
- Imposta l’autenticazione a due fattori
- Usa password complesse
- Non impostare admin come nome utente
- Aggiungi un plugin di monitoraggio
- Proteggi WP-config.php
- Modifica il prefisso delle tabelle del database WP
- Disabilita PHP per alcune directory
- Disabilita l’edit da backend
1. Scegli un servizio hosting sicuro
1. Scegli un servizio hosting sicuroÈ molto importante scegliere un provider che possa ospitare il tuo sito in sicurezza.
La differenza tra un servizio hosting di qualità e uno scadente non risiede solo nelle risorse che mette a disposizione e (spazio dati, velocità, dimensione e tipologia di hard disk) ma anche nelle buone pratiche per la gestione della sicurezza del tuo sito web.
Un server condiviso (shared) è in genere la soluzione più economica, ma potresti andare incontro a delle limitazioni nell’uso delle risorse o a cali prestazionali.
Per quanto riguarda gli aspetti specifici legati alla sicurezza, questo tipo di soluzione obbliga i siti ospitati a condividere anche i rischi della convivenza in uno stesso spazio.
Anche un server condiviso può essere una buona soluzione, purché il provider sia serio e offra reali garanzie e protezione per scongiurare l’infezione e la diffusione del malware fra i siti ospitati.
Immaginando che il tuo sia già online e che tu non abbia fatto una buona scelta fin dall’inizio, documentati sulle caratteristiche del tuo hosting e considera la possibilità di migrare il sito ad un servizio più performante e più sicuro.
Quando scegli un provider non pensare solo a risparmiare sul canone mensile perché se il sito fosse violato o finisse nella blacklist di Google, il prezzo da pagare, a conti fatti, sarebbe molto più alto:
- dovresti ripristinare il sito e potrebbero esserci dei dati che comunque potresti non recuperare;
- un sito colpito da defacing o che rimane offline potrebbe farti perdere credibilità e opportunità di guadagno.
Quindi scegli un servizio che garantisca buone prestazioni, un server protetto e aggiornato, scansioni costanti alla ricerca di virus e malware e con un servizio di assistenza qualificato.
Ecco il link ad un ottimo hosting con performance sopra alla media. E’ l’hosting partner di WordPress
Ti consiglio di acquistare un pacchetto completo che li comprenda entrambi: risparmierai tempo e fatica. :
Sospetti che il suo sito sia stato hackerato? Chiedi un’analisi gratuita ai nostri esperti.
2. Tieni il sistema aggiornato
Mantenere il sistema di gestione dei contenuti aggiornato significa prima di tutto usare l’ultima versione di WordPress e aggiornare il tema.
Gli aggiornamenti rilasciati da WordPress sono modifiche tecniche che permettono di eseguire i plugin più recenti e nella maggior parte dei casi correggono anche le vulnerabilità delle versioni precedenti.
Quanto al tema: che sia gratis o a pagamento, assicurati di sceglierne uno che venga aggiornato regolarmente. Se vuoi evitare problemi usa solo temi provenienti dalla repository di WordPress o da siti web affidabili.
Ovviamente dovrai aggiornare anche tutti i plugin installati sul tuo sito (ma di questo specifico aspetto parliamo al punto 4).
3. Nascondi la versione di WordPress
Nascondere la versione di WordPress è un espediente semplice che può rendere la vita difficile a chi tenta di violare il tuo sito.
Se lasci in bella vista le indicazioni della versione in uso spiani la strada a chi tenta di entrare, perché chiunque può sfruttarne le vulnerabilità che di solito sono diffuse online.
Puoi nascondere la versione di WP manualmente oppure usando un plugin: se sei poco esperto ti consiglio questa seconda soluzione.
Inizia installando WP Security Safe (estensione leggera e anche utilissima) e poi accedi alla dashboard di WP. Seleziona WP Security Safe dal pannello laterale e raggiungi la scheda Privacy:
- Seleziona “Nascondi la versione di WordPress”
- Clicca su Salva impostazioni nel menu del plug-in
Se invece vuoi nascondere la versione di WordPress manualmente fai così:
copia e incolla questa stringa di codice nel file functions.php.
In questo modo esegui la funzione wp_generator() e impedisci di inserire la versione di WordPress nel codice HTML della pagina.
quindi: vai su Aspetto ? Editor? functions.php e incolla questo codice in qualunque punto dopo il <?php :
remove_action('wp_head', 'wp_generator');
4. Gestisci bene i plugin
La gestione poco attenta dei plugin è spesso fonte di guai. Il mancato aggiornamento è infatti una delle principali ragioni per cui i siti realizzati con WordPress son più permeabili al malware.
I plugin aggiungono tante funzionalità utili, installarli è facile e a volte si rischia di farsi prendere un po’ la mano. Oltre il 55 % dei tentativi di hackeraggio e del malware che ammorba i siti WP entra attraverso plugin obsoleti o non aggiornati.
Per questo è importante:
- scegliere solo plugin da fonte sicure;
- mantenerli regolarmente aggiornati per garantire sicurezza al sito.
Elimina anche le vecchie versioni di plugin e temi non più funzionanti per difenderti dai tentativi di intrusione con il metodo Backdoor.
Il consiglio in più: non sovraccaricare il tuo sito con troppi plugin. Aggiungi solo quelli che ti sono realmente necessari per scongiurare cali prestazionali. E ricorda: ogni plugin dovrà essere poi regolarmente aggiornato, quindi non esagerare.
5. Imposta l’autenticazione a due fattori
Se non lo hai già fatto imposta l’autenticazione a due fattori.
Puoi integrare questo sistema di sicurezza in autonomia nel sito e molto semplicemente con un plugin dedicato come per esempio 2fa o se hai già Wordfence (un plugin indispensabile per monitorare la sicurezza del tuo sito web in modo globale e che ti consiglio di installare), puoi utilizzare direttamente quello.
Con l’autenticazione a due fattori aggiungi un passaggio in più all’autenticazione standard, alzando notevolmente il tuo livello di protezione, soprattutto contro gli attacchi brute force (di forza bruta) al sito.
6. Usa password complesse
Questa è una buona pratica semplice ed efficace per mettere in sicurezza WordPress, oltre che una regola d’oro che ti consiglio di seguire sempre, ogni volta che si tratta di proteggere dati o accessi di qualsia tipo con una password.
Scegliere una combinazione alfanumerica complessa e non utilizzare la stessa password per diversi login.
Una sequenza lunga e articolata è in grado di proteggere dati e informazioni riservate, file e altri contenuti del tuo sito e Impedisce l’accesso di altre persone al tuo account.
Crea la password usando almeno 12 caratteri e scegli una combinazione mista di lettere, numeri e simboli. E segui i suggerimenti di Google per creare password complesse.
7. Non impostare admin come nome utente
Altro consiglio per proteggere in maniera efficace l’ accesso al sito: non utilizzare admin come nome utente.
Admin viene impostato di default, ma ti consiglio di cambiarlo in fase di installazione (o anche successivamente) facendo in questo modo:
- aggiungi un nuovo utente dal menu utenti del pannello di controllo con un nome diverso da admin e assegnandogli il profilo da “Amministratore”;
- effettua il logout e accedi con il nuovo utente;
- cancella il vecchio utente admin che vuoi eliminare e assegna tutte le sue risorse al nuovo utente creato.
Il consiglio in più: non concedere i privilegi amministratore a troppe persone. In questo modo e riduci al minimo la possibilità che qualche collaboratore possa far danno o manomettere inconsapevolmente dati importanti.
8. Aggiungi un plugin di monitoraggio
Aggiungere al tuo sito un plugin come Wordfence ti permette di tenere traccia di ciò che accade.
Wordfence è disponibile a pagamento e in opzione gratuita ma già in versione free offre molti benefici e funzionalità per aumentare le difese del tuo sito web:
- scansiona il sistema (WordPress, temi e componenti aggiuntivi);
- ti protegge dai tentativi di intrusione;
- puoi usarlo per impostare l’autenticazione a due fattori;
- Invia notifica degli accessi nel backend;
- blocca gli indirizzi IP sospetti.
9. Proteggi il file wp-config.php
Il file wp-config.php è uno degli elementi più importanti di WordPress e contiene dettagli sulla configurazione di base del sito web e altre info importanti (credenziali del database, prefisso delle tabelle, i percorsi di alcune directory e altre impostazioni) che è bene mantenere riservate.
Per proteggerle puoi:
nascondere file wp-config.php
Quando installi WordPress wp-config.php viene collocato di default in una cartella predefinita. Puoi cambiare posizione al file per impedire intromissioni nel sito, semplicemente spostandolo al di fuori della cartella come spiegato qui.
impedire l’accesso al wp-config.php
Fai così: apri il file .htaccess con un editor testuale per modificarlo e incolla questi due codici:
# blocco file htaccess<Files .htaccess>order allow,denydeny from all</Files># Protezione file wpconfig.php<files wp-config.php>order allow,denydeny from all</files>10. Modifica il prefisso delle tabelle del database WP
Per impostazione predefinita il database WordPress ospita undici tabelle tutte con prefisso ‘wp_’
Modifica questo prefisso può essere utile a mimetizzare i nomi delle tabelle e a proteggere il sito. Per farlo è necessario raggiungere il file ‘wp-config’ e cercare questa linea di codice:
$table_prefix = ‘wp_’;
Modificando il prefisso wp_ con altri 2 o 3 caratteri (che io solo per fare un esempio ho indicato con h i l):
$table_prefix = ‘hil_’;
11. Disabilita PHP per alcune directory
Per impostazione predefinita, WordPress rende scrivibili alcune directory in modo da consentire a te o ad altri utenti autorizzati di caricare e modificare vari elementi come temi, plugin e immagini.
La possibilità di caricamento o modifica potrebbe essere sfruttata da chi tenta di entrare senza permesso o vuole hackerare il sito installando un punto di accesso (backdoor) per poi manomettere file contenuti o agire in modo malevolo da remoto.
Per questo può essere utile disabilitare l’esecuzione di PHP in alcune directory come ad esempio quella dei caricamenti. Puoi farlo in modo semplice usando il file .htaccess.
Basta creare un file vuoto sul tuo computer utilizzando un editor di testo come ad esempio il Blocco note. Salvare il file come .htaccess e incollare il seguente codice al suo interno.
deny from all
Successivamente, dovrai caricare questo file sulle cartelle /wp-Includes/ e /wp-content/uploads/ sul tuo server di hosting WordPress .
Puoi caricarlo utilizzando un client FTP o tramite l’app File Manager nella dashboard cPanel del tuo hosting.
Una volta aggiunto il file .htaccess con il codice sopra, si interromperà l’esecuzione di qualsiasi file PHP in queste directory.
12. Disabilita l’edit da backend
Per disabilitare la possibilità di modifica da backend è necessario aggiungere al file wp-config.php questa riga di codice:
define( 'DISALLOW_FILE_EDIT', true );
Una semplicissima manovra di protezione che blocca anche gli amministratori del sito nella possibilità di modificare temi e plugin.
Tentando di accedere alle pagine wp-admin/theme-editor.php e wp-admin/plugin-editor.php si riceverà un messaggio che segnala l’errore di autorizzazione.
La possibilità di aggiornare i temi e i plug-in direttamente dall’admin principale di WordPress resta attivata.
Pensi di avere un problema di sicurezza WordPress? chiedi un aiuto professionale!
Non dovresti mai manomettere il codice se pensi di non essere in grado di farlo in sicurezza per evitare di perdere informazioni importanti o di danneggiare irreparabilmente il tuo sito web.
In ogni caso esegui sempre un backup completo del sito da ripristinare in caso di problemi nell’esecuzioni di operazioni antivirus.
Se noti un problema o sospetti di avere un virus nel sito, chiedi l’intervento di un professionista se noti qualcosa che non va. Ecco 12 sintomi che suggeriscono la presenza di un virus all’interno del sito.
In generale un servizio professionale di qualità dovrebbe offrirti una scansiane gratuita del tuo sito con report che indica il problema e un preventivo per l’eventuale soluzione. Rivolgersi ad un professionista evita di far danno se non sei esperto.
Altre risorse utili per mettere in sicurezza WordPress dal nostro blog:
- Come riconoscere un sito infetto
- Come uscire dalla Balcklist di Google
- Le prime tre cose da fare se il tuo sito è stato hackerato
- Scansione professionale e gratuita del tuo sito WordPress
Il tuo sito WordPress è compromesso e vuoi una mano?
