La guida definitiva su come come proteggere il tuo sito WordPress

Bisogna prestare molta attenzione alla sicurezza del proprio sito WordPress, per far questo è necessario adottare degli accorgimenti per ridurre al minimo il rischio di far compromettere il proprio sito.

All’interno di questa guida ti forniremo le migliori tecniche, strategie e consigli che potrai utilizzare per proteggere il tuo sito WordPress.

Scelta del miglior Provider Hosting

E’ molto importante scegliere un Provider Hosting affidabile per la propria attività dove i server devono essere sempre aggiornati ma soprattutto devono essere di ultima generazione e sicuri.

Per esempio i nostri Server vengono costantemente aggiornati con i software di sicurezza e con il sistema operativo più recente e vengono giornalmente testati e scansioni alla ricerca di eventuali virus e vulnerabilità.

Inoltre su tutti i nostri Server utilizziamo CageFS della CloudLinux che fornisce un ambiente di Web Hosting più sicuro in quanto permette di isolare su un Server Condiviso non solo gli utenti ma anche i singoli siti WordPress.

Questo significa che se malauguratamente un sito web di un cliente subisse un attacco Hacker o prendesse un virus o malware, non potrebbe mai manifestarsi sull’intero Server Condiviso ma rimarrebbe bloccato all’interno di quella determinata zona.

Xlogic offre anche un antivirus avanzato (Imunify Security) che viene offerto gratuitamente all’interno dei servizi di Hosting WordPress.

Imunify Security mantiene la sicurezza del sito WordPress effettuando queste operazioni:

• Imunify rileva tutti i tipi di malware in tutti i tipi di file – Non importa se i vostri siti web sono basati su PHP (come WordPress, Joomla e Drupal), o realizzati con il classico HTML statico. Le nostre avanzate tecniche di de-offuscamento consentono di rilevare il codice dannoso nascosto nei file utilizzando la crittografia o la codifica.
• Imunify è una protezione anti-malware efficace – Può rilevare e notificare molti metodi di attacco: back door, web shell, virus,  script di “black hat SEO”, pagine di phishing e molti altri. È quindi possibile intervenire per pulire manualmente i file infetti e proteggere i siti Web.
• Imunify pulizia automatica. Imunify permette di rimuovere con un solo clic qualsiasi codice malevolo o virus, di cui oltre il 97% può essere pulito automaticamente.

Per maggiori informazioni consulta questa guida: Antivirus Imunify Security

Certificato SSL: utilizza il protocollo HTTPS per le connessioni criptate

Uno dei modi più trascurati ma importanti per poter proteggere il tuo sito web è legato all’installazione di un certificato SSL permetterti di farlo girare attraverso il protocollo https://

Perché è importante avere un certificato SSL valido e funzionante?

1. Maggiore sicurezza, il protocollo https:// ha lo scopo principale di mantenere una connessione sicura
2. SEO e Google, se un sito web non ha un certificato SSL attivo, viene penalizzato da Google
3. Credibilità e fiducia, un visitatore si sente più sicuro se viaggia su un sito in https://

Su Xlogic viene installato automaticamente e gratuitamente un certificato SSL della Comodo su tutti i domini e sottodomini che puntano sui nostri server.

Backup WordPress

E’ essenziale effettuare costantemente i backup del proprio sito web, ci sono diversi plugin di backup WordPress che svolgono questa funzione come Duplicator, BackWPup, UpDraftPlus, BackupWordPress e molti altri.

Oltre ai plugin di backup WordPress è anche possibile effettuare il backup direttamente dal pannello di controllo del Provider Hosting (se previsto), per esempio con Xlogic avrai la possibilità di effettuare e ripristinare i backup manualmente direttamente da cPanel (backup manuale cPanel).

Oppure puoi dimenticarti di effettuare i backup e puoi iniziare a dormire sogni tranquilli con lo strumento di backup automatico di Xlogic.

Mi riferisco a JetBackup che è incluso all’interno dei piani Hosting WordPress ed effettua automaticamente un backup dell’intero account (sito, files, cartelle, configurazioni, mails) e che l’utente può ripristinare tramite cPanel in due semplici click.

Per maggiori informazioni consulta questa guida: Backup automatico sito web JetBackup

Protezione DDoS

Gli attacchi DDoS ci sono sempre stati e sono una tipologia di attacchi dove vengono utilizzati più sistemi per colpire un singolo sistema generando un attacco Denial of Service (Dos).

Per fermare senza alcun problema un attacco DDoS, consigliamo di utilizzare un Plugin come Sucuri oppure se stai utilizzando il CDN Cloudflare potrai utilizzare il proprio servizio di sicurezza.

Ti ricordiamo che su Xlogic hai la possibilità di incaricare i nostri tecnici a configurare gratuitamente Cloudflare, questo significa che oltre ad abilitare ed a configurare la CDN, imposteremo i sistemi di sicurezza come per esempio questo per la protezione DDoS.

Versione PHP aggiornata

Una delle cause principali per cui un sito web viene bucato è legata alla versione PHP impostata; più la versione utilizzata è vecchia e più sei esposto ai rischi in quanto stai utilizzando una versione che non è più aggiornata e non è più sicura.

Per verificare la versione PHP puoi installare il plugin Display PHP Version, altrimenti se il tuo Provider Hosting utilizza cPanel come pannello di controllo, può verificare e gestire la versione PHP in questo modo.

cPanel > Select PHP Version

Verifica la versione PHP ed aggiornarla nel caso fosse vecchia (in questo caso una versione datata è per esempio le 5.6)

Dopo aver scelto la versione PHP, potrai gestire i parametri attraverso questa pagina:

Previene L’Hotlinking

Per HotLinking intendiamo quando qualcuno utilizza per esempio un immagine sul proprio sito web attraverso il collegamento e non caricandola direttamente sul proprio Server.

In questo modo l’immagine verrà visualizzata su quel sito web ma verrà consumata la banda del sito collegato dove è presente l’immagine originale.

Per prevenire l’HotLinking basta semplicemente accedere all’interno del file .htaccess ed inserire questo codice:

RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?tuosito.it [NC]
RewriteRule \.(jpg|jpeg|png|gif)$ http://dropbox.com/hotlink-immagine.jpg [NC,R,L]

Se stai utilizzando un CDN consulta questa guida:

• Protezione HotLinking con Cloudflare

Consigli su come aumentare la sicurezza del tuo sito WordPress

• Utilizza sempre l’ultima versione dei plugins e del CMS WordPress

Un modo importante per rafforzare la sicurezza di WordPress è quello di mantenere sempre aggiornati i plugins, i temi e la versione del CMS stesso.

L’aggiornamento viene effettuato dagli sviluppatori per migliorare la sicurezza e per risolvere eventuali Bug; ecco, è proprio questo il motivo per cui dovresti sempre aggiornato tutto, perché tramite i Bug gli hacker ed i malware potrebbero riuscire ad accedere all’interno del tuo sito web.

1. Consigliamo di installare solamente i Plugin considerati attendibili, quindi con tanti download attivi ed un feedback positivo

2. Consigliamo di installare i Plugin solo se vengono recentemente aggiornati

• Metti in sicurezza il file wp-config.php

Il file di configurazione è uno tra i files più importanti di WordPress in quanto contiene le chiavi per accedere all’interno del sito, nonché il database, l’utente e la password.

Che cosa puoi fare per mettere in sicurezza il file di configurazione di WordPress?

1. Sposta il file wp-config.php

Solitamente il file di configurazione si trova all’interno della root principale del sito, nel caso di Xlogic, si trova su: home/nomeutente/public_html/wp-config.php

Per spostarlo e nasconderlo puoi copiare il contenuto all’interno di un altro file e poi devi modificare il percorso di destinazione, per far questo devi inserire il seguente codice all’interno del file wp-config.php:

'/home/nomeutente/wp-config.php'

2. Cambia i permessi

I permessi dei files e delle cartelle devono essere rispettivamente settati a 0644 e 0755, ma per non far accedere nessun all’interno del file ti consigliamo di settore il permesso a 0440 o 0400.

Scopri come modificare i permessi dei files e delle cartelle da cPanel

• Nascondi la versione di WordPress

Se nascondi la tua versione di WordPress nessuno potrà mai sapere se il tuo sito è stato aggiornato oppure no, in caso contrario offriresti un biglietto di benvenuto al malintenzionato.

Per nascondere la versione di WordPress apri il file functions.php ed inserisci il seguente frammento di codice:

function wpversion_remove_version() {
return '';
}
add_filter('the_generator', 'wpversion_remove_version');

Inoltre è necessario cancellare anche il file readme.html perché anche la viene indicata la versione di WordPress.

• Aggiungi i più recenti Header HTTP di sicurezza

Per rafforzare maggiormente il proprio sito web ti consigliamo di utilizzare le intestazioni Header HTTP relative alla sicurezza che indicano al browser come comportarsi quando gestisce il contenuto del sito web.

Esistono moltissime intestazioni ma le più importanti sono queste:

• Content-Security Policy
• Public-Key-Pins
• Strict-Transport-Security
• X-Frame-Options
• X-Content-Type
• X-XSS-Protection

Per chi volesse approfondire il discorso è possibile consultare questo articolo interessante scritto da KeyCDN: HTTP Security Headers

Security Headers: Effettua il Test con questo strumento gratuito che ti mostrerà quali Header di sicurezza HTTP sono al momento attivi per quel determinato sito web.

• Rafforza la sicurezza del Database

Consigliamo sempre di utilizzare un nome diverso dal proprio sito web, quindi se il tuo sito web si chiama giochi computer, di default il database si chiamerà probabilmente wp_giochicomputer.

Questo non va bene, chiama il database in un altro modo utilizzando un nome di fantasia (es: wp_ciaociao) oppure utilizzando diversi caratteri e numeri senza alcuna logica (es: wp_sgvhgi3443)

Inoltre consigliamo anche (in fase di installazione e di configurazione) di non utilizzare il prefisso wp_ ma di cambiarlo con un altro prefisso che non sia quello standard.

Plugin sicurezza WordPress

Come impostare l’autenticazione a due fattori

Non importa quanto sia sicura la password di accesso su WordPress, c’è sempre il rischio che qualcuno la possa scoprire e che di conseguenza possa accedere all’interno del sito.

Quindi ti consigliamo di impostare l’autenticazione a due fattori per il tuo sito WordPress che prevede un processo in due passaggi che non basta inserire la password per accedere, ma viene richiesto anche un codice tramite SMS, chiamato o su un’applicazione che riceverai sul tuo numero di telefono personale.

In questo modo non sarà possibile in alcun modo accedere su WordPress senza aver eseguito i due passaggi.

1. Installa il plugin di autenticazione a due fattori su WordPress, come ad esempio Google Authenticator (Mini Orange 2 Factors)

2. Installa sul tuo cellulare l’app Google Authenticator su Android o iOS che ti fornirà ogni volta che accederai su WordPress il codice da inserire

Come limitare i tentativi di accesso su WordPress

Per limitare i tentativi di accesso su WordPress ti consigliamo di installare il plugin WP Cerber dalla quale sarà possibile impostare facilmente la durata del blocco, i tentativi di accesso e whitelist e blacklist degli IP.

Come modificare l’URL di accesso di WordPress

Per cambiare il proprio URL di accesso (nomesito.it/wp-admin) puoi installare il plugin WPS Hide Login ed inserire il percorso che preferisci.

Come disattivare XML-RPC

Tramite XML-RPC è possibile che il sito subisca degli attacchi hacker, per ridurre al minimo questo rischio, ti invitiamo ad installare il plugin su WordPress per disattivare completamente XML-RPC.

Scarica il Plugin WordPress: Disable XML-RPC

WordPress Multisite: come monitorare tutte le modifiche effettuate

Se lavori su una rete WordPress MultiSite oppure se hai un sito multi-autore, ti consigliamo di installare il plugin WP Activity Log che ha la funzione di assicurare la produttività degli utenti e che consente agli amministratori di vedere tutto ciò che viene modificato (es: accessi, modifiche ai temi, modifiche password, modifiche widget, aggiornamenti WordPress, nuova creazione articoli e pagine).

Conclusioni

Hai qualche consiglio importante da darci sulla sicurezza di WordPress che non è stato menzionato su questa guida? Se fosse cosi, ci piacerebbe che ci scrivessi un commento.

Alla prossima!