I migliori 8 consigli e suggerimenti per migliorare la sicurezza di WordPress

By | Giugno 10, 2019

WordPress è, senza dubbio, il più grande Content Management System (CMS) al mondo, supportando circa il 30% di tutti i siti web. Pertanto, non sorprende che la maggior parte dei tentativi di hacking da parte di bot, malware e hacker mirino ai siti WordPress.

Sfortunatamente, molti attacchi raggiungono lo scopo, a causa di misure di sicurezza lassiste, che sono per lo più dovute a mancanza di conoscenza o atteggiamento negligente da parte dei proprietari.

Se possiedi un sito Web WordPress o se ne pianifichi di possederne uno in futuro, sappi che non puoi permetterti di dare per scontata la sicurezza, a meno che, ovviamente, non te ne interessi seriamente.

Di seguito sono riportati alcuni suggerimenti sulla sicurezza di WordPress che ho compilato per aiutarti a mantenere il sito Web (e il tuo investimento) al sicuro!

I migliori 8 consigli e suggerimenti per migliorare la sicurezza di WordPress

1. Evita le password comuni

Le password comuni come QWERTY, o 123456, o il tuo nome sono molto facili da decifrare per gli hacker se hanno il tuo indirizzo e-mail.

Tieni al sicuro il tuo sito Web WordPress avendo una password di almeno otto caratteri composta da lettere maiuscole e minuscole, nonché numeri e simboli.

Se puoi, e non c’è motivo per cui non puoi, cambia la password ogni mese o giù di lì, migliorando la complessità ogni volta che fai.

Potrebbe interessarti: Come creare e utilizzare un account FTP per WordPress

2. Autenticazione a due fattori

Gli attacchi di forza bruta sono la strategia di hacking più comune e quasi sempre ci riescono.

Coinvolgono hacker che utilizzano macchine sofisticate o software “dizionari di password” per violare le password degli utenti.

Anche quando la tua password è lunga e complessa, potrebbe essere indovinata, da qualcuno che ha tempo e forza sufficiente per farlo.

L’autenticazione a due fattori (2FA) aggiunge un ulteriore livello di sicurezza al processo di accesso richiedendo informazioni aggiuntive che solo tu possiedi, oltre alla solita combinazione di nome utente e password.

Ad esempio, è possibile impostare un protocollo 2FA che invia un codice “One Time Use” al telefono quando si accede a WordPress. Con questo, anche se qualcuno conosce la tua password, non sarà in grado di accedere al tuo sito.

Potrebbe interessarti: Come cambiare la lingua in WordPress

3. Guarda il tuo nome utente

Comprensibilmente, la maggior parte delle persone ha i propri indirizzi e-mail personali o professionali, o “admin” come nomi utente, che gli hacker li trovano facili da indovinare.

Per sicurezza, cambia il tuo nome utente con qualcos’altro che non include il tuo nome.

Poiché WordPress limita il numero di volte in cui puoi cambiare il tuo nome utente, il modo migliore per farlo è creare un altro account utente, concedendogli i diritti di amministratore e cancellando l’account predefinito. Fai questo andando su Utenti> Nuovo utente e segui le istruzioni.

Tieni presente che per ogni nuovo account sono necessari un indirizzo email e una password diversi.

Dopo aver completato la registrazione, utilizzare l’account predefinito per assegnare compiti amministrativi a quello nuovo.

Successivamente, disconnettersi e accedere utilizzando il nuovo account, quindi andare al pannello degli utenti e fare clic sull’opzione di eliminazione del vecchio account.

Potrebbe interessarti: Come modificare l’URL di accesso WordPress con un semplice plug-in

4. Aggiorna WordPress e Plugin

Probabilmente sai che WordPress è un sistema open source sottoposto a manutenzione e aggiornamento costanti da parte di decine di sviluppatori.

Gli aggiornamenti di solito sono dotati di strumenti di sicurezza migliorati, tra le altre caratteristiche che migliorano le prestazioni.

L’utilizzo di plug-in o software obsoleti può esporre il tuo sito a minacce alla sicurezza e altri problemi, come ad esempio il tempo di caricamento lento, e quindi dovresti installare gli aggiornamenti più recenti non appena possibile.

Aggiornamenti minori di WordPress vengono sempre installati automaticamente, ma è necessario installare manualmente gli aggiornamenti principali, a meno che non si utilizzi un plug-in o si aggiunga del codice.

5. Utilizzare Web Application Firewall (WAF)

Nello spirito di essere proattivi, piuttosto che reattivi, utilizzare un firewall per applicazioni Web per impedire che script dannosi e malware raggiungano il tuo sito WordPress.

I firewall in genere bloccano tutto il traffico “sospetto” tra cui bot, tentativi DDoS e IP inseriti nelle blacklist e, a seconda del provider, ripuliscono il sito Web anche dopo un attacco.

Per vostra informazione, è molto costoso pulire o ripristinare un sito Web compromesso e il conto può arrivare anche a diverse centinaia di euro.

I servizi WAF, d’altra parte, costano più o meno 100€ all’anno, che è un piccolo prezzo da pagare per mantenere il tuo sito sicuro.

I servizi WAF più popolari includono:

  • Sucuri;
  • CloudFlare;
  • Indusface TAS.

6. Implementare il protocollo SSL

Se il tuo sito Web WordPress richiede agli utenti di registrarsi utilizzando dati personali, o si tratta di una piattaforma di e-commerce, il minimo che puoi fare è mettere in atto misure per proteggere non solo il tuo sito ma anche le informazioni degli utenti privati.

Il protocollo Secure Socket Layer (SSL), simboleggiato da un lucchetto verde bloccato sulla barra degli indirizzi, crittografa tutti i dati scambiati tra il tuo server e i browser degli utenti.

Ciò garantisce che gli hacker e altre persone ficcanaso non possano intercettare i dati dei clienti e ingannarli.

Il primo passo verso l’integrazione SSL è ottenere un certificato SSL da un’autorità di certificazione (CA). Il passaggio successivo consiste nel reindirizzare i dati sensibili da HTTP a HTTPS più sicuro. Fatto questo, i tuoi dati saranno al sicuro, e anche i tuoi clienti.

7. Vacci piano con i plugin

L’utilizzo di plugin poco costosi o poco sviluppati può rendere il tuo sito vulnerabile agli attacchi malware.

Pertanto, tieni a portata di mano tutti i plug-in gratuiti o economici che vedi recensiti sui social media e comprali solo da siti affidabili. E anche in questo caso, cerca le recensioni degli utenti o, ancora meglio, le recensioni degli esperti di siti attendibili, prima di aprire il tuo portafoglio.

Soprattutto, controlla la data dell’ultimo aggiornamento per ogni plugin o tema che intendi acquistare e la sua compatibilità con la versione di WordPress che stai utilizzando.

Evita i plugin che sono stati aggiornati più di un anno fa, poiché indica una mancanza di interesse da parte degli sviluppatori e potrebbe avere caratteristiche di sicurezza obsolete che potrebbero mettere in pericolo il tuo sito WordPress.

Potrebbe interessarti: Come installare plugin in WordPress usando 3 diversi metodi

8. Backup regolari

Purtroppo, non importa quanto tu cerchi di impedirlo, un hacker può comunque riuscire ad entrare nel tuo sito web.

A volte, il tuo sito WordPress potrebbe avere problemi causati da errori, come problemi durante l’installazione di plugin o errori amministrativi.

Il backup dei dati del tuo sito più volte alla settimana, inclusi tutti i file, le e-mail, i database e i post riduce notevolmente l’impatto di tali situazioni e rende più semplice ed economico il ripristino del sito.

I servizi di backup sono comunemente forniti dalle società di hosting, quindi potresti voler controllare il tuo piano e vedere cosa ti stanno offrendo.

Spero che questo tutorial ti abbia aiutato a capire come creare un account FTP per WordPress e come usarlo!

Se hai bisogno di altri consigli per quanto riguarda WordPress non esitare a dare un’occhiata alla nostra sezione di supporto dedicata.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.