Come tutti sappiamo WordPress è il CMS più popolare ed utilizzato per creare siti web, questo perché offre delle funzionalità avanzate e migliaia di plugin e temi che ti permettono di effettuare qualsiasi operazione nel tuo sito WP.
Come per ogni cosa, c’è un aspetto positivo ma anche negativo, in questo caso l’aspetto negativo è legato al rischio di poter prendere dei virus / malware o di subire attacchi hacker.
Per limitare gli attacchi e per evitare di prendere dei virus è necessario effettuare alcune operazioni per mettere al sicuro il sito WordPress:
Sito Hackerato
E’ molto importante sapere che gli hacker potrebbero bucare da un momento all’altro il tuo sito, in che modo? Semplicemente passando da una falla di un plugin o tema non aggiornato, quindi ti consigliamo di leggere attentamente i seguenti articoli:
Sicurezza e Virus
Può succedere che il tuo sito si prenda un virus / malware a causa di un plugin o tema che non è stato aggiornato e che contiene del codice dannoso, per poter prevenire questo problema ti consigliamo di leggere passo per passo questi articoli:
- Guida per ripulire un blog infetto da virus e malware
- Come rendere sicuro l’accesso alla pagina di login di WordPress
10 Suggerimenti poco conosciuti ma molto efficaci per proteggere il tuo blog WordPress
In questo articolo ti forniremo dei suggerimenti che non sono molto conosciuti ma che sono davvero efficaci per proteggere il tuo sito WordPress:
1. Disabilita il tema WordPress e l’editor del plugin
Un semplicissimo errore potrebbe mandare in crash il tuo sito web, inoltre gli hacker potrebbero facilmente inserire del codice dannoso all’interno del tuo tema.
Per evitare questi problemi puoi proteggerti disabilitando l’editor dei plugin e temi rendendo impossibile la modifica di temi e plugin senza l’accesso FTP.
E’ possibile effettuare questa operazione aggiungendo all’interno del file wp-config.php questo codice:
define( ‘DISALLOW_FILE_EDIT’, true );
2. Abilita l’autenticazione a due fattori
L’autenticazione a due fattori è ormai diventata uno dei modi più affidabili e sicuri per proteggere i tuoi account su Internet, è possibile abilitarla anche su WordPress utilizzando uno tra i seguenti plugin:
3. Limita gli accessi in base al numero di tentativi falliti
Una delle tecniche più comuni utilizzate è un attacco bruteforce, in pratica un hacker prova una combinazione di nomi utente e password per diverse volte fino a quando non è in grado di accedere correttamente all’interno del tuo blog.
Puoi limitare gli accessi dopo un certo numero di tentativi installando un plugin come WP Limit Login Attempts.
4. Effettua regolarmente la scansione del tuo blog
Se utilizzi cPanel puoi effettuare la scansione antivirus in questo modo:
Se sei nostro cliente puoi attivare Imunify Security per ottenere un livello di sicurezza maggiore, scopri in che modo:
5. Scegli il miglior Provider Hosting
E’ di fondamentale importanza scegliere un Provider Hosting che offra dei server sicuri, affidabili e potenti, dico questo perché un sito che risiede all’interno di un server poco performante viene penalizzato in primis da Google ma oltre a questo c’è il rischio che possa far entrare con più facilità gli hacker all’interno del tuo sito web.
6. Nascondi il numero di versione di WordPress
Per una maggiore sicurezza ti consigliamo di nascondere il numero di versione di WordPress, per effettuare questa operazione devi semplicemente inserire il seguente codice all’interno del tuo file functions.php:
add_filter (‘the_generator’, ‘__return_null’);
7. Disabilita i report degli errori PHP
Quando un plugin o un tema non funzionano sul tuo blog i rapporti di errore di PHP possono aiutarti mostrandoti un messaggio che rivela la causa del problema.
Però quando viene segnalato un errore PHP viene incluso il percorso completo del server dell’errore, rivelando informazioni che gli hacker possono utilizzare contro di te.
Puoi proteggerti disattivando la segnalazione degli errori PHP aggiungendo semplicemente il seguente codice al tuo file wp-config.php:
1
2
error_reporting (0);
@ini_set (‘display_errors’, 0);
8. Lavora sui permessi dei tuoi file WordPress
Assicurati che le autorizzazioni della cartella WordPress siano impostate su 755 o 750; i permessi dei file sono impostati su 640 o 644, inoltre i permessi del file wp-config.php devono essere impostati su 600, per maggiori informazioni consulta questo articolo: Che cosa sono i permessi
9. Garantisci backup regolari
Prevenire è meglio che curare, non trovi? Effettua periodicamente un backup del tuo sito web, ti consigliamo di effettuarlo almeno 3 volte alla settimana, in questo modo per qualsiasi problema avrai sempre la possibilità di ripristinare un backup del tuo sito web in qualsiasi momento.
Se il tuo Provider Hosting utilizza cPanel puoi seguire questa guida per creare e ripristinare un backup manualmente:
Se sei nostro cliente puoi attivare il servizio di backup automatico JetBackup che effettua automaticamente ogni notte un backup completo del tuo account, in questo modo con due semplici click potrai ripristinare ciò che ti interessa direttamente da cPanel, per maggiori informazioni consulta questo articolo:
10. Limita l’accesso alla pagina di accesso
10 Suggerimenti poco conosciuti ma molto efficaci per proteggere il tuo blog WordPress – Un modo molto affidabile per proteggere il tuo blog dai tentativi di hacking consiste nel bloccare completamente l’accesso alla tua pagina wp-admin e wp-login.php.
Questo è raccomandato solo se si utilizza un indirizzo IP statico., puoi ancora usare questa opzione se usi più di un indirizzo IP ma tieni traccia di questi indirizzi.
Per limitare l’accesso alla tua pagina di accesso, aggiungi il seguente codice al tuo file .htaccess:
1
2
3
4
5
6
7
8
9
10
11
<IfModule mod_rewrite.c>
RewriteEngine on
RewriteCond% {REQUEST_URI} ^ (. *)? Wp-login \ .php (. *) $ [OR]
RewriteCond% {REQUEST_URI} ^ (. *)? Wp-admin $
RewriteCond% {REMOTE_ADDR}! ^ Il tuo indirizzo IP 1 $
RewriteCond% {REMOTE_ADDR}! ^ Il tuo indirizzo IP 2 $
RewriteCond% {REMOTE_ADDR}! ^ Il tuo indirizzo IP 3 $
RewriteCond% {REMOTE_ADDR}! ^ Il tuo indirizzo IP 4 $
RewriteCond% {REMOTE_ADDR}! ^ Il tuo indirizzo IP 5 $
RewriteRule ^ (. *) $ – [R = 403, L]
</ IfModule>
Assicurati di modificare il tuo indirizzo IP 1 attraverso il tuo indirizzo IP 5 con i diversi indirizzi IP a cui vuoi dare accesso; puoi semplicemente aggiungere o rimuovere una linea per consentire o impedire a più IP di accedere al tuo sito.
Alla prossima!
