WordPress è una delle piattaforme più popolari al mondo per creare siti web, ma proprio per questo è anche una delle più prese di mira dagli hacker.
Ogni giorno migliaia di siti WordPress vengono compromessi a causa di vulnerabilità, password deboli o plugin non aggiornati.
Non vuoi che accada anche al tuo sito web, vero?
Ecco alcune strategie per proteggere il tuo sito WordPress.
Indice
Mantieni WordPress, tema e plugin sempre aggiornati
Gli aggiornamenti non servono solo ad introdurre nuove funzionalità, ma anche a risolvere vulnerabilità e bug.
È importantissimo tenere il core di WP, il tema e i plugin sempre aggiornati.
Ho creato un approfondimento su come aggiornare il core, tema e plugin.
Best practice per gestire gli aggiornamenti
Ecco le mie best practice per gestire gli aggiornamenti in WordPress.
- Backup: prima di aggiornare core, temi e plugin va sempre fatto un backup.
- Ambiente di staging: testare gli aggiornamenti su una copia del sito per capire se crea problemi o meno.
- Aggiornamenti automatici: attiva gli aggiornamenti automatici minori del core per plugin affidabili e popolari.
- Monitoraggio: controlla che tutto funzioni dopo un aggiornamento.
Come Aggiornare
Vai su Bacheca > Aggiornamenti.
Qui sono presenti le sezioni del core, tema e plugin.
Se c’è un aggiornamento disponibile, lo troverai in questa pagina.
Seleziona ciò che vuoi aggiornare e clicca su Aggiorna plugin per i plugin, e Aggiorna temi per i temi.
Per il core di WP clicca sul pulsante Aggiorna alla versione X.Y.Z.
Usa solo plugin e temi da fonti sicure
Evita assolutamente di scaricare temi o plugin “null” o provenienti da siti non ufficiali.
Anche se a prima vista possono sembrare come quelli ufficiali, spesso possono contenere malware o backdoor che permettono agli hacker di entrare nel sito di chi li installa.
Scarica i plugin da:
- La directory ufficiale dei plugin. Ne contiene più di 60.000. Troverai quello adatto a te.
- WooCommerce Marketplace per plugin per WooCommerce.
- CodeCanyon per plugin a pagamento.
- Acquista sui siti ufficiali degli sviluppatori per la versione PRO dei plugin. Controlla sempre le recensioni e la loro affidabilità.
Scarica i temi da:
- directory ufficiale dei temi.
- ThemeForest per temi premium.
- Acquista sui siti ufficiali degli sviluppatori per la versione PRO dei temi o per temi premium. Controlla sempre le recensioni e la loro affidabilità.
Installa un plugin di sicurezza
Installa un plugin di sicurezza per iniziare a proteggere il tuo sito WordPress.
Ce ne sono molti, io sto usando Wordfence.
Già con la versione gratuita offre:
- firewall.
- scanner per malware.
- autenticazione a due fattori 2FA.
- forza l’utilizzo di password forti.
- login lockdown dopo N tentativi falliti per prevenire attacchi di brute force.
- blocco IP.
- molto altro ancora.
Mi sembra già un buon inizio.
Cambia il nome utente “admin”
Se hai un utente con nome “admin“, cambialo.
Era il nome di default che veniva dato all’amministratore di WordPress, gli hacker lo sanno e attaccano principalmente questo nome utente.
Non è possibile cambiare il nome utente dell’admin manualmente, e non è neanche possibile eliminare l’utente admin senza avere prima un altro utente amministratore attivo.
Segui questi passi per eliminare l’utente admin e creare uno nuovo amministratore.
- Accedi alla Bacheca WordPress come amministratore.
- Aggiungi un nuovo utente da
Utenti > Aggiungi utente. Scegli un nome utente unico e difficile da indovinare. - Assegna al nuovo utente il permesso di Amministratore.
- Esci (fai il logout) ed accedi con le credenziali del nuovo utente.
- Vai su
Utenti > Tutti gli utenti, individua admin e clicca Elimina per eliminare l’utente. - Assegna tutti i contenuti di admin al nuovo utente amministratore.
Fatto!
Ora hai un nuovo utente sicuro e tutti i contenuti restano intatti.
In alternativa potresti modificare direttamente il database oppure un plugin tipo Username Changer.
Scegli password forti
Molti attacchi avvengono per forza bruta, cioè tentativi automatici di indovinare nome utente e password.
Per diminuire il rischio di vulnerabilità da questo tipo di attacchi puoi usare password forti.
Genera una password forte direttamente in WordPress.
Vai su Utenti > Profilo.
Poi scendi fino alla sezione Gestione dell'account e clicca sul pulsante Imposta nuova password per generare una nuova password:
Per aggiornare la nuova password dovrai cliccare sul pulsante Aggiorna profilo a fondo pagina.
È meglio usare password lunghe, con lettere maiuscole, minuscole, numeri e simboli.
Se hai un sito con più utenti, dovrai gestire il problema di non poter decidere le loro password.
Purtroppo gli utenti possono scegliere di usare password deboli confermando l’uso di password deboli:
Per evitare questo problema, puoi installare il plugin Wordfence e impostare che tutti gli utenti debbano usare solo password forti.
Vai su Wordfence > All Options.
Vai alla sezione Brute Force Protection.
Abilita Enforce strong passwords.
Salva le impostazioni cliccando su Save Changes.
Se provi ad inserire una password debole e a aggiornare il profilo, comparirà un messaggio di errore.
Proteggi la pagina di login
L’area di login tuosito.it/wp-login.php è una delle più attaccate.
Puoi proteggerla in vari modi.
Login Lockdown
Inizia con impostare un login lockdown, un limite di tentativi di login falliti dopo il quale l’utente viene bloccato temporaneamente.
Userò Wordfence come esempio.
Vai su Wordfence > All Options.
Vai alla sezione Brute Force Protection.
Ed imposta dopo quanti tentativi di login o di recupero password vuoi bloccare temporaneamente quell’utente.
Cambia l’URL di accesso
Cambia l’URL di accesso (es. /login invece di /wp-login.php).
Puoi usare il plugin WPS Hide Login.
Usando questo plugin la pagina wp-login.php e la directory wp-admin diventano inaccessibili.
Dovrai usare il tuo nuovo url di accesso per accedere a WP.
Autenticazione a due fattori
Attiva l’autenticazione a due fattori (2FA) per un ulteriore livello di sicurezza.
Puoi usare sempre il plugin Wordfence.
Vai su Wordfence > Login Security.
Nella scheda Two-Factor Authentication puoi attivare l’autenticazione a due fattori.
Supporta Google Authenticator.
Scansiona il QR Code.
Leggi il codice ed incollalo nel campo sulla destra, sotto “Enter the code from your authenticator app …“.
Clicca sul pulsante ACTIVATE.
Purtroppo 2FA sembra funzionare solo sulle pagine standard di login di WP, e non su pagine personalizzate.
Usa HTTPS e un certificato SSL
Proteggi i dati trasmessi sul tuo sito tramite il protocollo HTTPS.
Per farlo devi ottenere un certificato SSL.
Normalmente è possibile ottenere un certificato gratuito con Let’s Encrypt e attivarlo tramite il pannello di controllo del tuo hosting (nel mio caso Plesk).
Ad oggi, Chrome ti segnala come sito non sicuro se non usi una connessione HTTPS rendendo praticamente non accessibile il sito.
Google premia i siti con HTTPS in SERP.
Quindi direi che è obbligatorio.
Scegli un hosting sicuro
Un buon hosting può fare la differenza.
Io uso e consiglio Vhosting, ma ho selezionato altri ottimi hosting per WordPress.
Preferisci provider che offrano:
- Firewall a livello server
- Backup automatici
- Monitoraggio della rete costante
- Isolamento degli account
- Aggiornamenti PHP regolari
- Ottima assistenza
Backup regolari
Anche se non è legato alla sicurezza, fai dei backup regolari del tuo sito.
Anche con tutte le precauzioni, un sito può essere compromesso.
Un backup recente e funzionante è l’unica garanzia di poter recuperare il tuo sito.
Io mi trovo bene con UpdraftPlus.
In generale tutti i backup dovrebbero essere completi di tutti i file e di tutto il database.
Dovresti salvare i backup in un luogo diverso dal tuo server, come Amazon S3 o Google Drive.
In caso di problemi al server potrai accedere ai backup e ripristinare tutto.
La frequenza dei backup dipende dalla frequenza con cui aggiorni i contenuti del tuo sito.
Per un blog attivo, un backup giornaliero potrebbe essere l’ideale.
