Sicurezza di WordPress – Guida completa per la sicurezza di WordPress [Plugin gratuito incluso]

Utilizzato da un terzo del totale dei siti Web, WordPress riesce sempre a catturare l’attenzione degli hacker. Negli ultimi anni, l’entità degli attacchi a WordPress è allarmante e richiede un’azione. Nonostante gli attacchi, WordPress Security è ancora un concetto fortemente frainteso e sottovalutato. E, i proprietari di siti web trovano più conveniente trascurarlo. 

[id visualizzatore = “6282”]

Tuttavia, sulla scia di questi exploit, molte persone vengono a patti con la necessità di aggiornare i propri standard di sicurezza di WordPress. Ma spesso si trovano in mare a decidere quali pratiche di sicurezza sono legittime e quali no. Non ti preoccupare! Abbiamo fatto la ricerca per te. In questo articolo, stai per trovare l’elenco completo delle misure di sicurezza WordPress essenziali e attuabili per il tuo sito. Inoltre, questo elenco è indipendente dalla tua tecnologia e può essere facilmente applicato da chiunque. 

Inoltre, passa attraverso gli URL seguenti se stai cercando

• La guida alla rimozione definitiva di hack per WordPress
• Il miglior plug-in di sicurezza per WordPress 

Sicurezza di WordPress – Parliamo di numeri

WordPress è gestito da un gruppo di sviluppatori competenti. Tuttavia, rimane il CMS più brutalmente attaccato al mondo. Secondo uno studio , oltre il 70% dei siti Web WordPress è vulnerabile agli attacchi. Inoltre, i recenti hack sul plugin WordPress come GDPR, WP Live chat hanno messo a rischio migliaia di siti Web. Inoltre, i dettagli di CVE rivelano che la maggior parte di questi attacchi è di scripting cross-site.

[id visualizzatore = “6272”]

Come puoi vedere nel grafico, la maggior parte dei siti WordPress ha subito XSS, seguito da Code Execution. Inoltre, un’altra ricerca rivela che il 40% di tutti gli attacchi è mirato a siti Web di piccole e medie dimensioni. Quindi, le persone che credono che solo i grandi siti Web vengano violati ottengono la risposta.

[id visualizzatore = “6319”]

Inoltre, la maggior parte di questi attacchi è il risultato diretto della trascurata sicurezza di WordPress. Secondo Kinsta, il 55% dei siti Web compromessi aveva versioni obsolete di plug-in, temi o CMS.

[id visualizzatore = “6335”]

Ora, sappiamo già che le conseguenze di un hack possono essere disastrose per un’azienda. Ci sono molte cose che possono andare storte. Ad esempio, l’attaccante può intromettersi con i dati riservati e dei clienti. Possono rubare le tue credenziali, configurare male il tuo sito web e quant’altro. E se ottengono una sospensione dei tuoi dettagli finanziari / di pagamento, puoi anche essere in bancarotta. Altre conseguenze nascoste di un hack possono includere, sfiducia per il tuo marchio, perdita di autorità, valore di dominio, ecc. Inoltre, un hack può anche causare una caduta delle classifiche di ricerca del tuo sito.

Guida correlata – Problemi di sicurezza di WordPress 2019

Come proteggere la sicurezza di WordPress

Costruire un sito Web degno richiede tempo, impegno ed energia. Ma, tutti questi sforzi si trasformeranno in un fiasco se la sicurezza non è curata. Certamente, non prestare la dovuta attenzione alla sicurezza di WordPress può avere effetti collaterali duraturi. 

Tuttavia, proteggere il tuo sito Web è molto più semplice di quanto pensassi. Quindi, se hai seguito diligentemente questo elenco di misure di sicurezza di WordPress per il tuo sito Web, ti garantisco che i rischi si ridurranno al minimo indispensabile.

1. Effettua regolarmente il backup del tuo sito Web WordPress

Ammettiamolo: nessuno è a prova di hacking su Internet. Quindi, la prima cosa da fare per il tuo sito Web WordPress è la corretta gestione del rischio. Questo per dire, pianificare in anticipo uno scenario come un hack. Inoltre, con buoni backup in archivio, puoi eliminare con sicurezza la versione compromessa e ripristinare immediatamente il tuo sito Web. Chiaramente, in un evento come un improvviso hack, i backup possono salvarti da una debacle completa.

Il motivo del backup è ripristinare il tuo sito Web nelle migliori condizioni di lavoro in caso di hacking. Inoltre, i b ackup dovrebbero essere presi spesso e regolarmente. Ora, la frequenza può variare da giornaliera a settimanale a mensile a seconda della frequenza con cui si aggiorna il contenuto del sito Web.

Inoltre, assicurati di eseguire più backup (con l’ora e la data correttamente menzionate). Poiché un hack può rimanere nascosto per giorni, in tal caso, potrebbe essere necessario un backup datato.

Pertanto, per rendere più funzionali i backup, è necessario includere nel backup i seguenti file e cartelle:

1. I file di WordPress

• L’installazione principale
• Plugin WP
• Temi WordPress
• Immagini e file
• Script JavaScript e PHP e altri file di codice
• File aggiuntivi e pagine Web statiche

2. Il database di WordPress

Il database WordPress memorizza informazioni cruciali come dettagli di post, pagine, commenti, tag, utenti, categorie, campi personalizzati, ecc. Pertanto, è estremamente importante includerli nel backup.

La verifica della funzionalità del backup fa parte del processo. Alla fine, assicurati di verificare se il backup completa il suo motivo e consente il ripristino rapido e completo del tuo sito Web funzionante.

Nota: mantenere il backup rispetto a una data e ora.

a) Backup del database WordPress

Per il backup del database WordPress, utilizzare la riga di comando MySQL. Altrimenti, è possibile utilizzare anche interfacce amministrative come phpMyAdmin.

È possibile eseguire i backup manualmente, tramite cPanel, cloud, ecc. Abbiamo trattato alcuni metodi qui:

a) Come eseguire il backup manuale di WordPress

Attenersi alla seguente procedura per eseguire manualmente un backup:

• Comprimi i file del tuo sito web
• Scaricalo sul tuo dispositivo locale
• Conservalo da remoto
• Crea un gestore di backup con nome file, data e ora di backup come parametro

Ora, il backup manuale può rivelarsi un’attività noiosa e che richiede tempo. Devi monitorare attentamente il download di ogni singolo file. Inoltre, la gestione dei backup richiede ancora molto lavoro.

L’unica alternativa gratuita che offre funzionalità di backup complete che si distinguono dall’elenco è BackWPup. Puoi saltare tutto questo e utilizzare invece un plugin per WordPress. Plugin come Updraftplus, Backupbuddy, ecc. Automatizzano l’intero processo di backup ed è super facile da usare.

b) Backup di WordPress tramite cPanel 

Un’altra opzione è il backup tramite Cpanel. Ecco come puoi farlo:

1. Accedi al tuo pannello di controllo cPanel.
2. Fai clic sull’icona “Backup”.
3. Seleziona “Genera / Scarica un backup completo”.
4. Seleziona “Home Directory” in “Destinazione backup” e inserisci il tuo indirizzo e-mail, prima di fare clic sul pulsante “Genera backup”.
5. Riceverai un’email quando il backup è pronto.

c) Cloud Backup di WordPress

Il backup sul cloud è il modo più conveniente per eseguire il backup di un sito Web WordPress. Vari servizi cloud come Amazon S3, Dropbox, stash, ecc. Semplificano la procedura di backup.

2. Migliora la sicurezza aggiornando CMS, plugin e temi alle ultime versioni

Dopo aver protetto un piano di backup, il modo più semplice per proteggere il tuo sito Web è l’ aggiornamento . Ogni aggiornamento, sia esso per core CMS, plug-in o temi, include patch di vulnerabilità e modifiche di sicurezza. Essere veloci con questi aggiornamenti può ridurre incredibilmente il rischio. Anche i migliori esperti di sicurezza ritengono che mantenere aggiornato il tuo sito Web elimini la maggior parte dei rischi.

[id visualizzatore = “6321”]

Tuttavia, a volte un aggiornamento importante può interrompere alcune funzionalità di un sito Web. Pertanto, è buona norma eseguire un backup in anticipo. Successivamente, imposta il tuo sito Web in modalità manutenzione prima di avviare un aggiornamento importante.

 Inoltre, il core di WordPress ha tre diversi tipi di aggiornamenti:

• Aggiornamenti di sviluppo principali, noti come “bleeding edge”
• Aggiornamenti di base minori, come le versioni di manutenzione e sicurezza
• Principali aggiornamenti della versione principale

Le versioni secondarie vengono automaticamente aggiornate da WordPress nel backend. Quindi, devi occuparti solo delle principali versioni principali. Allo stesso modo, aggiornare i temi sono anche plugin.

Suggerimento professionale: puoi utilizzare il nostro plug- in di protezione avanzata WP per risolvere oltre 12 problemi come (Interrompi enumerazione utente, Disabilita XMLRPC, Nascondi numero versione e molti altri)

Ancora una volta, ci sono due modi per aggiornare core, temi e plugin: Manuale e Automatico . Entrambi i metodi sono stati spiegati di seguito –

a) Manuale

Aggiornamento di base – L’aggiornamento di un sito Web WordPress è piuttosto semplice. Poiché WordPress installa automaticamente tutte le patch minori, è necessario inviare solo gli aggiornamenti della versione principale. Per farlo,

1. Accedi al tuo wp-admin
2. Vai alla sezione Aggiornamenti.
3. Verifica se sono disponibili aggiornamenti. Se ci sono, aggiornali tutti.

Aggiornamento di temi e plug-in: per aggiornare temi e plug-in, attenersi alla seguente procedura,

1. Accedi al tuo wp-admin
2. Vai alla sezione Aggiornamenti.
3. Verifica se sono disponibili aggiornamenti. Se ci sono, aggiornali tutti.

b) automatizzato

Aggiornamento di base – Come già discusso, WordPress per impostazione predefinita automatizza le patch di sicurezza minori. Tuttavia, puoi sovrascrivere tali modifiche modificando il file wp-config.php aggiungendo o modificando la seguente istruzione – 

define( 'WP_AUTO_UPDATE_CORE', true )

Per gli aggiornamenti principali, controlla la sezione degli aggiornamenti nel back-end di WordPress e avvia l’aggiornamento se disponibile.

Aggiornamento di temi e plugin – I temi e i plugin possono essere aggiornati automaticamente usando i filtri. Il posto migliore per mettere un filtro è in un plugin da usare . Inoltre, WordPress non consiglia di inserire filtri nel file wp-config.php. Questo perché mettere i filtri in wp-config.php può creare conflitti con altre parti del codice.

Per abilitare gli aggiornamenti automatici per temi e plugin, aggiungi il seguente codice

add_filter( 'auto_update_plugin', '__return_true' );
add_filter( 'auto_update_theme', '__return_true' );

3. Aggiorna il tuo PHP all’ultima versione

A proposito di aggiornamenti, c’è un altro aggiornamento di cui devi occuparti: la versione di PHP. PHP è il linguaggio di programmazione principale di WordPress. Certamente, aggiornarlo all’ultima versione stabile migliorerà la tua sicurezza di WordPress.

Nota: PHP versione 7.0 e precedenti non dispongono di supporto per la sicurezza e sono vulnerabili a vulnerabilità note e senza patch. Pertanto, è necessario aggiornare all’ultima versione di PHP, ovvero 7.3.

[id visualizzatore = “6323”]

Nota: la versione 7.2 di PHP non sarà più supportata dopo il 30 novembre 2019.

Ecco come puoi aggiornare il tuo PHP:

1. Accedi al tuo cPanel
2. Vai alla sezione Software. Fai clic su Configurazione PHP
3. Successivamente, seleziona l’ultima versione stabile di PHP e fai clic su Aggiorna.
4. Controlla le modifiche in phpmyinfo

4. Rimuovere plugin / temi defunti

Se non utilizzi un plug-in da più tempo, devi liberartene per proteggere WordPress. Questo perché anche se il plugin non è più in uso o è disabilitato, i file esistono ancora. Inoltre, questi file potrebbero contenere vulnerabilità sconosciute a te. Soprattutto, gli aggressori potrebbero sfruttare facilmente queste vulnerabilità. Quindi, elimina i plugin e i temi defunti.

Ecco come puoi farlo:

1. Accedi alla tua dashboard di WordPress
2. Vai alle sezioni Plugin
3. Identifica i plugin inattivi ed eliminali.

5. Installa un plug-in per firewall di WordPress 

Devo dire che il monitoraggio continuo del tuo sito Web è umanamente impossibile? Quindi, la scommessa migliore qui è un Web Application Firewall. Un firewall è un sistema di monitoraggio continuo per il tuo sito Web. Ancora più importante, rileva e blocca il traffico dannoso dal tuo sito Web. 

Sebbene ci siano decine di firewall tra cui scegliere, dovresti scegliere solo quelli testati dagli hacker. Astra’s Firewall è una soluzione solida come una roccia. Ti proteggerà in tempo reale dagli attacchi informatici. Inoltre, funziona sul tuo server e non richiede modifiche al DNS.

Blog correlato – In che  modo Firewall può aiutarti a proteggere il tuo sito Web WordPress

Ecco le caratteristiche distinte del firewall Astra:

• Filtraggio del traffico buono da traffico cattivo e blocco del traffico Web indesiderato.
• Blocco delle minacce future come SQLi, attacchi di forza bruta, CSRF, attacchi DDoS, LFI, RFI, scripting cross-site, bot dannosi, spam e altri exploit zero-day
• Oltre ad essere intuitivo, è anche un firewall intelligente per rilevare schemi di attacchi e configurarsi per l’attacco successivo.
• Il firewall Astra è anche un ottimo modo per bloccare / autorizzare gli indirizzi IP.
• Inoltre, il WAF di Astra migliora anche la velocità e le prestazioni di un sito Web.

Velocità e sicurezza sono due aspetti desiderabili della sicurezza del sito Web e un firewall migliora entrambi. Inoltre, in questa crescente era di minacce e attacchi online, un firewall è un must.

6. Ospita il tuo sito Web WordPress su un server sicuro

Il server di hosting svolge un ruolo importante nella sicurezza del tuo sito Web WordPress. Scegliere saggiamente un host può essere un punto di svolta nella sicurezza di WordPress. Durante la selezione di un server è necessario considerare quanto segue:

• Autorità
• Recensioni e valutazioni
• Supporto
• Personalizzazione
• Tempo di caricamento

7. Personalizza la pagina di accesso per aumentare la sicurezza contro gli attacchi di Brute-Force

La protezione delle pagine di accesso e di amministrazione è un altro modo per proteggere WordPress. Gli aggressori possono entrare nel tuo sito Web attraverso la forza bruta se non viene garantito. Ora, gli attacchi di forza bruta utilizzano il metodo hit and trial per indovinare la combinazione di nome utente e password del tuo sito Web a una velocità incredibilmente alta.

Imposta nomi utente e password forti e unici per ciascuna di queste pagine. Evita di usare un nome utente ovvio come “admin”, il nome del tuo sito web, il tuo nome, una parola corretta che potrebbe essere trovata nel dizionario. Lo stesso vale per le password, astenersi dall’usare ‘Password’, il proprio nome, il nome del proprio sito Web, ecc. Come password.

Guida correlata – Come modificare l’URL di amministrazione in WordPress

8. Limitare i tentativi di accesso

Un altro modo per proteggere la tua area di amministrazione di WordPress dalla forza bruta è limitare il numero di tentativi di accesso su di essa. Plugin come Limitare i tentativi di accesso e Loginizer possono essere utili in questo.

9. Impostare i ruoli utente corretti

Non tutti gli utenti devono avere tutti i privilegi in WordPress. È possibile distribuire i ruoli richiesti per ciascun utente in base alle proprie responsabilità sul sito Web. Puoi controllare e monitorare meglio chi fa cosa sul tuo sito Web con questi ruoli. Per impostazione predefinita, WordPress definisce sei ruoli, in ordine decrescente dei loro poteri: super amministratore, amministratore, editore, autore, collaboratore e abbonato.

 È possibile utilizzare il set predefinito di ruoli utente o creare ruoli personalizzati in base alle proprie esigenze. Il predefinito può essere assegnato dalla dashboard stessa, mentre per i ruoli personalizzati sarebbe necessario un plug-in. Il plug-in Editor ruoli utente è più adatto a questo scopo.

 Ecco come è possibile definire ruoli utente personalizzati con questo plugin:

1. Installa un plug-in “Editor ruoli utente”
2. Vai su “Utenti”> Altri ruoli Passo
3. Definire / aggiungere ruoli personalizzati per un determinato utente.

10. Proteggi il file wp-config

 wp-config.php contiene i dettagli di configurazione del tuo sito Web WordPress. Qualsiasi assurda compromissione in questo file può interrompere completamente il tuo sito web. Quindi, il file wp-config deve essere gestito con estrema cura e deve essere protetto con la massima urgenza. Inoltre, memorizza anche informazioni riservate sulle credenziali del database WordPress.

Alcuni modi per proteggere il file wp-config sono:

• Spostandolo fuori dalla cartella principale
• Blocco dell’accesso interno e modifiche del codice al tuo wp-config.php
• Modifica del file wp-config.php predefinito
• Impostazione dell’autorizzazione 400 nel file wp-config.php. Ciò significa che l’utente e i gruppi hanno il permesso di leggere solo e gli altri non hanno alcun accesso.

11. Limitare l’accesso a wp-admin

Wp-admin è l’area dell’amministratore del tuo sito web. Si può dire che è il controller del tuo sito web. Gli hacker cercano costantemente di forzarlo per dirottare l’intero sito web. Questo rende vitale proteggere l’area wp-admin per rafforzare la sicurezza di WordPress. Puoi proteggere la tua area wp-admin come segue:

Limitare l’accesso e consentire solo determinati indirizzi IP alla tua pagina di amministrazione è un modo per proteggerlo. In questo modo, qualsiasi IP sconosciuto viene automaticamente bloccato. Nella cartella wp-admin, crea un file .htaccess e incolla qui il seguente codice:

Order Deny, Allow
Deny from all
Allow from xx.xx.xx.xx
Modifica xx.xx.xx.xx per contenere il tuo indirizzo IP. Per la whitelisting IP multipla, ripeti “Consenti da” nella riga successiva e così via.

Di solito, c’è un link Registra sulla tua pagina di login di WordPress. Disabilita questo modulo di registrazione per scoraggiare l’accesso a wp-admin. 

 12. Aggiorna le chiavi di sicurezza di WordPress

Le chiavi di sicurezza segrete garantiscono la sicurezza dei cookie nel tuo sito Web WordPress. È necessario impostare le chiavi di sicurezza per scoraggiare l’eventuale furto di cookie e la rappresentazione degli utenti. Dopo aver impostato le chiavi di sicurezza segrete, annullerà tutte le sessioni correnti e richiederà all’utente di eseguire nuovamente l’autenticazione. Soprattutto, l’amministratore deve modificare le chiavi di sicurezza in caso di compromissione o addirittura sospetto di compromissione.

È possibile generare chiavi segrete sia manualmente che con l’aiuto di un generatore di chiavi online. WordPress ha anche il suo generatore di chiavi segrete ufficiale . Genera chiavi da qui e incolla queste chiavi nel file wp-config e sei a posto.

13. Creare un prefisso univoco del database

Il database WordPress è l’area in cui si trovano informazioni / dati importanti riguardanti il ​​sito Web e gli utenti. Ovviamente, questo lo rende un obiettivo desiderato. Per impostazione predefinita, wpdb contiene 11 tabelle che includono tabelle per: dati degli utenti, URL del sito, post, pagine, commenti, ecc.

Inoltre, tutte queste tabelle hanno il prefisso predefinito universalmente noto wp_ prima di esse. I nomi di queste tabelle sono anche comunemente noti. In caso di regole errate di convalida e sanificazione per l’inserimento di query, un hacker può eseguire comandi SQL per recuperare i dati dalla tabella del database nota.

Per proteggere il database, è necessario modificare il prefisso del database in qualcos’altro. Inoltre, cambiare il prefisso del database al momento dell’installazione è il modo ideale. Tuttavia, se non lo hai modificato, puoi anche modificarlo con il comando SQL o con l’aiuto di un plug-in. Entrambi questi metodi sono descritti di seguito:

a) Manuale

Come accennato in precedenza, il prefisso del database può essere modificato con l’aiuto del comando SQL. Eseguendo una serie di comandi. Per le istruzioni dettagliate e la procedura segui questo link.

b) automatizzato

Esistono diversi plugin su WordPress che aiutano ad automatizzare l’intero processo di modifica dei prefissi. Uno di questi plug-in gratuiti è il plug-in del prefisso della tabella delle modifiche.

14. Ulteriori fattori di autenticazione per la sicurezza dell’amministratore di WordPress

Per proteggere il tuo sito Web, ancora di più, l’autenticazione a due fattori è uno strumento intelligente. Questo strumento garantisce la vera identità di un utente sul tuo sito Web richiedendo più di una password per accedere. In questo modo, impedisce a qualsiasi utente falso e non autenticato di accedervi, anche se è capitato di indovinare la tua password. Il plugin di autenticazione a due fattori è un ottimo modo per applicare questa sicurezza sul tuo sito web.

15. Installa il plug-in di logout automatico

Non tutti gli utenti di WordPress sono abbastanza attenti e vigili da disconnettersi dopo il completamento di ogni sessione. Il furto di cookie e il dirottamento di sessione rappresentano anche importanti vettori di attacco su WordPress. È necessario impostare un logout automatico in modo che tutti i clienti inattivi vengano disconnessi dal sito Web.

16. Rafforza le tue password per rafforzare la sicurezza di WordPress

Può sembrare una misura di sicurezza troppo ovvia, ma anche in questo caso molti lo trascurano. Optare sempre per password uniche e forti per i tuoi account WordPress. Inoltre, astenersi dall’utilizzare la parola password, admin e le parole appropriate dal dizionario come password. Assicurati che la tua password sia una combinazione di lettere (maiuscole e minuscole), numeri e caratteri speciali.

17. Crittografia dei dati SSL 

Avere un certificato SSL (Secure Socket Layer) per il dominio del tuo sito Web aumenta la sua autorità e sicurezza. Crittografa il trasferimento di dati tra l’utente e il server. Da quando le classifiche di Google hanno iniziato a essere influenzate da HTTPS, sono nate molte società di autorizzazioni. Tuttavia, non tutti questi sono considerati autorevoli da Google. Pertanto, è necessario ottenere il certificato SSL da una fonte verificata e attendibile.

Inoltre, non reindirizzare tutte le pagine Web su HTTPS può anche avere effetti negativi sul tuo sito Web. Avere entrambe le pagine HTTP e HTTPS in un sito Web è noto come contenuto MIxed. Ora, Google contrassegna regolarmente i siti Web per contenuti misti. Quindi, assicurati di reindirizzare tutte le tue pagine su HTTPS.

18. Commenti di controllo

WordPress è famigerato per i commenti pervasivi di spam. Pertanto, è necessario rivedere attentamente i commenti prima di consentirli sul proprio sito Web. Inoltre, puoi disabilitarlo del tutto o aggiungere diverse condizioni per bloccare lo spam. Ciò richiede uno sforzo manuale. Puoi anche scegliere un plugin come Askimet per fare il lavoro.

19. Imposta rigide autorizzazioni per file e cartelle in WordPress

Puoi raggiungere un’altra pietra miliare della sicurezza di WordPress impostando autorizzazioni per file e cartelle più rigide. Le autorizzazioni consigliate per file / cartelle per diversi file / cartelle sono:

• Per wp-config.php = 400
• Per la cartella dei caricamenti = 755
• Per file .htaccess = 400
• Per wp = content = 755
• Per wp-Includes = 755
• Per index.php = 444

20. Nascondi il numero di versione di WordPress per proteggere WordPress da vulnerabilità note

Le vulnerabilità note in diverse versioni di WordPress sono facilmente disponibili su Internet. Questi database fungono da tesoro per gli hacker. Usano bot / botnet per cercare siti Web WordPress con queste versioni obsolete. Una volta che un bot raggiunge il tuo sito Web, per prima cosa cerca il suo numero di versione e la vulnerabilità elencata in esso. Quando trovano uno di questi siti Web, sfruttano la vulnerabilità.

 Puoi proteggere il tuo sito Web da questi attacchi semplicemente nascondendo il tuo numero di versione di WordPress.

Manuale

Nascondi il numero di versione di WordPress dal meta tag Generator,

1. Passare alla directory principale
2. Vai alla directory / wp-content / themes /
3. Nel file Functions.php, aggiungi la seguente riga di codice
   

   remove_action('wp_head', 'wp_generator');

Nascondi il numero di versione di WordPress dai feed RSS predefiniti come segue

1. Passare alla directory principale
2. Vai alla directory / wp-content / themes /
3. Nel file Functions.php, aggiungi le seguenti righe di codice in fondo

Automated 

Sono disponibili plug-in che nascondono il numero di versione di WordPress, si consiglia di utilizzare il plug-in Meta Generator e Version Info Remover .

21. Disabilita l’esecuzione di PHP quando non è necessario

Mentre WordPress esegue automaticamente l’esecuzione di file PHP per tutte le directory del sito Web, è meglio disabilitarlo per tali directory come / wp-content / uploads /. Sarai in grado di farlo utilizzando l’accesso FTP. Ecco come:

1. Accedi al tuo sito Web con FTP
2. Passare alla directory / wp-content / uploads /
3. Incolla il seguente codice e salva il documento nel formato .htaccess.
   <Files *.php>
deny from all
</Files>

22. Migliora la protezione dell’hardware

È logico proteggere l’hardware con cui accedi al tuo sito web. Un PC non protetto con vulnerabilità di sicurezza costituisce un modo per gli hacker di accedere al tuo sito Web. Assicurati che il tuo gadget sia ben protetto da un firewall e da un software antivirus installato. Questo non solo bloccherà gli attacchi di WordPress ma anche eventuali minacce alla sicurezza online in arrivo.

Come nel caso di un sito Web, i plug-in defunti sono un problema, anche le applicazioni obsolete e defunte sono un invito alla minaccia. Pertanto, rimuovere tutte le applicazioni non necessarie / obsolete dal dispositivo.

La maggior parte delle applicazioni richiede autorizzazioni diverse subito dopo averle installate. Come regola generale, prova a dare loro i privilegi minimi.

23. Disabilita le iniezioni di script

Non consentire iniezioni di script per impedire agli hacker di iniettare codice dannoso nei documenti PHP esistenti. È possibile disabilitare le iniezioni di script aggiungendo il seguente codice:

Options +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY_STRING} (<|%3C).*script.*(>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|[|%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|[|%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]

24. Scarica plug-in da fonti affidabili

Non tutti i plugin hanno sviluppatori dedicati dietro di loro. Molti plugin su WordPress non vengono nemmeno gestiti così spesso. Quindi, prima di optare per qualsiasi plug-in casuale da parte di terzi, è necessario considerare i seguenti punti:

• Recensioni e valutazioni
• Ultimo aggiornamento e frequenza degli aggiornamenti
• Supporto

25. Scansiona periodicamente WordPress per malware e backdoor

Monitorare il tuo sito Web è altrettanto importante che proteggerlo. Avere uno scanner malware proattivo che scansiona periodicamente il tuo sito Web è fondamentale per la sicurezza di WordPress. La scansione del tuo sito ogni tanto alla ricerca di virus e malware ti consente di essere aggiornato con il benessere del tuo sito Web.

Lo scanner di malware basato sull’apprendimento automatico di Astra è perfetto per questo. Altri scanner includono:

Effettuando la scansione del sito Web, sarai in grado di rilevare il rischio di violazioni della sicurezza invece di dover affrontare gli attacchi reali mentre si verificano.

26. WordPress Security Audit

Hai applicato ogni misura di sicurezza sul tuo sito, tuttavia, anche in questo caso necessita di una manutenzione regolare. Un controllo di sicurezza premium può essere di grande aiuto qui. Ogni tanto il tuo sito web deve essere verificato per nuove vulnerabilità e sicurezza non funzionante.

Il programma di test di valutazione delle vulnerabilità e penetrazione di Astra consente agli ingegneri di esaminare le possibili vulnerabilità nel tuo sito Web. In un controllo di sicurezza come questo, il codice sorgente, i plug-in e i temi sono controllati a fondo. Scopre anche scappatoie e backdoor nel tuo sito web.

Guida correlata –   Come eseguire WordPress Security Audit e Pentesting

 Conclusione

Le misure di sicurezza di WordPress elencate in questa guida qui sono vangeli di sicurezza. È necessario perseverare per applicare e mantenere questi sul tuo sito WordPress per una maggiore sicurezza. Questi suggerimenti per la sicurezza di WordPress assicureranno che il tuo sito Web rimanga protetto dalle minacce online.

Puoi anche unirti al nostro corso GRATUITO sulla sicurezza di WordPress – https://webpro.getastra.com/wordpress-security-course

Hai trovato utile questo articolo? Condividi con i tuoi amici

Share this...

Facebook

Pinterest

Twitter

Linkedin