×
Outbyte PC Repair
Outbyte Driver Updater

Come proteggere il tuo blog WordPress

2023/08/26
Come proteggere il tuo blog WordPress

Proteggere il tuo blog WordPress è una cosa essenziale che devi fare dopo averlo configurato sul tuo server. Non dovrebbe esserci alcun motivo per lasciare il tuo WordPress completamente aperto affinché gli hacker possano insinuarsi e rubare le tue informazioni o distruggere i tuoi dati. Dedica qualche ora alla protezione di WordPress e risparmierai innumerevoli ore affrontando attacchi costanti. Questa guida mostra diversi modi per proteggere WordPress per mantenere i tuoi dati e le tue informazioni al sicuro.

Utile anche: puoi ottenere un certificato SSL gratuito per il tuo sito Web WordPress per proteggere i visitatori del tuo sito.

1. Utilizza un plug-in di sicurezza tutto in uno

Per semplificare le cose, inizia con un plug-in di sicurezza WordPress che gestisce più attività in un unico posto. Una delle migliori opzioni è All-In-One Security (AIOS) . Con un’impressionante valutazione a 5 stelle su oltre un milione di installazioni, vale la pena aggiungerlo al tuo sito. Inoltre, molte delle funzionalità sono completamente gratuite.

Come proteggere il tuo WordPress All-in-one

Il plugin fa quanto segue:

  • Blocca gli attacchi di forza bruta
  • Abilita l’autenticazione a due fattori
  • Nasconde la tua pagina di accesso ai bot
  • Forza il logout per gli utenti che amano rimanere sempre connessi
  • Aiuta a migliorare la sicurezza della password
  • Migliora i Salt di WordPress (parte del processo di hash per crittografare le password) aggiungendo 64 nuovi caratteri, che cambiano settimanalmente
  • Aggiunge la protezione firewall
  • Include la protezione da malware (solo premium)
  • Riduce i commenti spam

Questa è solo una piccola parte di ciò che è incluso. La configurazione di tutto potrebbe richiedere del tempo, ma gestire un plug-in è meglio di più plug-in.

2. Fermare gli attacchi di forza bruta

Gli hacker possono facilmente violare la password e le credenziali di accesso utilizzando attacchi di forza bruta. Per evitare che ciò accada, installa il plug-in Login Lockdown . Questo plugin registra l’indirizzo IP e il timestamp di ogni tentativo di accesso a WordPress non riuscito. Una volta rilevato un certo numero di tentativi falliti, disabiliterà la funzione di accesso per tutte le richieste provenienti da quell’intervallo.

Come proteggere i tuoi attacchi di forza bruta su WordPress

Aggiunge anche altre due utili funzionalità: autenticazione a due fattori e CAPTCHA. Questi riducono drasticamente anche gli attacchi di forza bruta.

3. Utilizza una password complessa

Assicurati di utilizzare una password complessa che sia difficile da indovinare per gli altri. Utilizza una combinazione di cifre, caratteri speciali e lettere maiuscole/minuscole per formare la tua password. Puoi anche utilizzare il controllo password su WordPress 2.5 e versioni successive per verificare la sicurezza della tua password.

Come proteggere le opzioni di generazione della password di WordPress

Un’altra opzione è l’utilizzo di un gestore di password per generare una password completamente casuale e sicura. Anche se non memorizzi le tue password, questi sono comunque ottimi strumenti per generare password univoche per il tuo sito.

4. Proteggi la tua cartella WP-Admin

La tua cartella “wp-admin” contiene tutte le informazioni critiche sul tuo sito ed è l’ultimo posto a cui desideri consentire l’accesso ad altri. Il modo più semplice per proteggerlo è aggiungere una password aggiuntiva. Anche se un hacker entra nel tuo sito con le credenziali di un utente, deve comunque individuare le credenziali della tua wp-admincartella. A questo punto, potresti già essere a conoscenza della violazione ed essere in grado di modificare la password dell’utente compromesso e la tua password wp-admin per una maggiore sicurezza.

Esistono diversi modi per farlo. Il primo dipende dal tuo host web. Molti offrono cPanel. I passaggi possono variare leggermente in base all’host.

  • Accedi alla sezione cPanel del tuo sito. Il tuo host web avrà istruzioni su come eseguire questa operazione.
  • Scorri verso il basso fino a “Sicurezza” e seleziona “Directory protette da password”.
Come proteggere il tuo amministratore Wp WordPress
  • Seleziona “Privacy della directory”.
Come proteggere la directory di amministrazione Wp di WordPress
  • Seleziona la directory che desideri proteggere con password e segui le istruzioni. Di solito c’è un tutorial che approfondisce come proteggere al meglio le directory utilizzando questo metodo.

Il secondo metodo è manuale e solitamente non consigliato, poiché se non lo esegui correttamente potresti rimanere bloccato fuori dal tuo sito.

  • Crea un file di testo utilizzando il tuo editor di testo preferito e chiamalo “.htaccess”
  • Aggiungi quanto segue al file, ma modifica il percorso AuthUserFile in cui caricherai il file della password (nel passaggio successivo) e cambia “tuonomeutente” con il tuo nome utente.

AuthName "Admins Only"AuthUserFile /home/user/public_html/example.com/wp-admin/.htpasswd
AuthGroupFile /dev/null
AuthType basic
require user yourusername

  • Crea un altro file di testo chiamato “.htpasswd”
  • Utilizzare un generatore htpasswd per generare il contenuto del file. Hosting Canada , web2generators e AskApache dispongono tutti di generatori facili da usare. Dopo aver compilato il generatore, copia il testo che ti è stato fornito nel file. htpasswd che hai creato.
  • Copia entrambi i file nella cartella wp-admin e tutto è pronto.

5. Rimuovi le informazioni sulla versione di WordPress

Molti temi WordPress includono le informazioni sulla versione di WordPress nel meta tag. Gli hacker possono rapidamente entrare in possesso di queste informazioni e pianificare attacchi specifici mirati alla vulnerabilità della sicurezza per quella versione.

Come proteggere la tua versione di WordPress

Per rimuovere le informazioni sulla versione di WordPress:

  • Accedi alla dashboard di WordPress.
  • Vai su “Design -> Editor temi”.
  • Cerca il tuo file “Intestazione” sulla destra.
  • Cerca la seguente riga di codice:

<meta name="generator"content="WordPress versionnumber"/>

  • Elimina questa riga e premi “Aggiorna file”.

Puoi anche utilizzare un plug-in di sicurezza di WordPress, come Sucuri Security , per nascondere queste informazioni.

6. Nascondi la cartella dei plugin

Se vai all’URL del tuo sito web: https://yourwebsite.com/wp-content/plugins e puoi vedere l’intero elenco dei plugin che hai utilizzato, il tuo sito WordPress non è molto sicuro. Puoi facilmente nascondere questa pagina caricando un “index.html” vuoto nella directory del plugin.

  • Apri il tuo editor di testo. Salva il documento vuoto come “index.html”.
  • Carica “index.html” nella cartella “/wp-content/plugins” utilizzando un programma FTP.

Utile anche: usa questi plugin statistici di WordPress per misurare il tuo sito web.

7. Cambia il tuo nome di accesso

Il nome utente predefinito è “admin”. Un modo semplice per proteggere WordPress è cambiare questo. Altrimenti, gli hacker conoscono già la metà delle tue informazioni di accesso.

  • Accedi alla dashboard di WordPress e seleziona “Utenti”.
  • Seleziona “Nuovo utente”.
Come proteggere il tuo amministratore WordPress
  • Imposta il ruolo su “Amministratore” e invia un invito all’account e-mail desiderato. Una volta accettato l’invito, puoi accedere, creare una password e diventare il nuovo account amministratore.
Come proteggere il tuo amministratore WordPress Novità
  • Una volta configurato il nuovo utente, torna a “Utenti”.
  • Trova l’account “amministratore” ed eliminalo.
  • Seleziona “Attribuisci tutti i post e i collegamenti a” e seleziona il tuo nome utente.
  • Premi “Conferma eliminazione”.

8. Aggiorna alle versioni più recenti

WordPress, insieme a temi e plugin, riceve aggiornamenti regolari. Ciò aggiunge nuove funzionalità, risolve bug e corregge le vulnerabilità della sicurezza. L’ultima parte è la più importante. Se gli hacker si accorgono che hai una versione precedente con difetti di sicurezza, sfrutteranno immediatamente l’apertura.

Pianifica un giorno ogni mese per eseguire gli aggiornamenti. Anche se potresti non avere nuovi aggiornamenti per tutto, esegui gli aggiornamenti su ciò che è disponibile. Ciò include l’installazione principale di WordPress. È un modo semplice per proteggere WordPress ma altamente efficace.

Prima di eseguire aggiornamenti significativi, esegui un backup completo del tuo sito, per ogni evenienza.

9. Eseguire scansioni di sicurezza regolari

Come proteggere le scansioni di sicurezza di WordPress
Fonte immagine: Pexels

Ogni installazione di WordPress necessita di un plugin di sicurezza. All-In-One Security (AIOS) e Sucuri Security, di cui abbiamo già parlato, sono ottime opzioni. Puoi anche provare quanto segue:

10. Esegui il backup del tuo sito WordPress

Non importa quanto sia sicuro il tuo sito, vuoi comunque prepararti al peggio. Installa un plug-in di backup di WordPress e pianificalo per eseguire il backup quotidiano del tuo database.

Hai una varietà tra cui scegliere, ma alcune delle opzioni migliori includono:

11. Definire i privilegi utente

Come proteggere il tuo ruolo utente WordPress

Se è presente più di un autore per il tuo blog, puoi installare il plug-in Editor del ruolo utente per definire le funzionalità per ciascun gruppo di utenti. Ciò darà a te, proprietario del blog, la possibilità di controllare ciò che gli utenti possono e non possono fare nel blog.

12. Aggiorna a SSL

Se non disponi di un certificato SSL, ora è il momento di ottenerne uno. Secure Sockets Layer (SSL) è un protocollo che crittografa ciò che viene inviato tra utenti e siti Web. Molti host web offrono certificati SSL gratuiti o a basso costo incredibilmente facili da installare. Questi sono particolarmente importanti se gli utenti accedono al tuo sito o effettuano acquisti. Inoltre, Google preferisce i siti con certificati SSL.

Come proteggere il tuo SSL WordPress
Fonte immagine: Pexels

13. Disabilita la modifica dei file

Puoi modificare il plugin e il codice del tema direttamente dall’area di amministrazione del tuo sito. Immagina se qualcun altro iniziasse ad armeggiare con il codice senza il tuo permesso. Per evitare brutte sorprese, disabilita la modifica dei file.

Sebbene tu possa utilizzare un plugin come Sucuri, puoi anche aggiungere alcune righe di codice al tuo file “wp-config.php”.

  • Individua il file “wp-config.php” nella cartella principale del tuo sito. Puoi utilizzare qualsiasi client FTP desideri per accedere ai tuoi file.
  • Scarica il file e aprilo nel tuo editor di testo preferito, come Blocco note.
  • Aggiungi quanto segue al codice:

// Disable file editdefine('DISALLOW_FILE_EDIT', true);

  • Sostituisci il file “wp-config.php” esistente con la nuova versione per disabilitare la modifica del file.

Utile anche: se stai aggiungendo molti media al tuo sito web, considera questi suggerimenti per l’ottimizzazione delle immagini WordPress .

14. Utilizza l’autenticazione a due fattori

Come proteggere il tuo WordPress 2fa

Anche se gli hacker riescono ad accedere alle informazioni di accesso di un utente, l’autenticazione a due fattori (2FA) significa che l’hacker deve comunque accedere a un’altra password. In questo caso, di solito viene inviato un codice al telefono dell’utente. Puoi utilizzare plugin di sicurezza, come quelli menzionati in precedenza in questo post, o un plugin 2FA dedicato, come miniOrange Google Authenticator o WP 2FA .

Credito immagine: Unsplash . Schermate di Crystal Crowder.

Outbyte PC Repair
Outbyte Driver Updater

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *