![WordPress Security Tips for 2021 [ THE RIGHT WAY ]](https://i.ytimg.com/vi/_0dAkOoT1Kg/hqdefault.jpg)
Contenuto
- 01. Aggiungi ulteriore sicurezza agli account utente
- 02. Modificare i vecchi valori predefiniti
- 03. Mantieni aggiornato WordPress
- 04. Installa plugin affidabili e pulisci regolarmente la casa
- 05. Considera l'hosting gestito
- 06. Maschera, chiudi e nascondi
- 07. Esegui spesso i backup
- 08. Installa plugin di sicurezza e anti-spam
Negli ultimi 15 anni WordPress è diventato il sistema di gestione dei contenuti più popolare al mondo. Facile da utilizzare ed estremamente versatile, è una delle migliori piattaforme di blog in circolazione: la casa ideale per il tuo portfolio di design o qualcosa di più ambizioso.
C'è un vasto assortimento di temi WordPress tra cui scegliere, mentre se non hai paura di un po 'di codice troverai un sacco di tutorial WordPress che ti aiuteranno a fare i conti con le sue funzionalità più complesse. Per altre opzioni, prova le nostre guide al miglior costruttore di siti web e servizio di web hosting.
- Il miglior software antivirus
Un grande svantaggio della popolarità di WordPress, tuttavia, è che è un obiettivo primario per gli hacker. Se vuoi evitare di perdere il controllo del tuo nuovo sito brillante, segui questi suggerimenti per mantenerlo sicuro.
01. Aggiungi ulteriore sicurezza agli account utente
Una grande quantità di vulnerabilità deriva dagli account utente che danno intenzionalmente accesso al tuo sito, in particolare i ruoli di amministratore ed editore. Se un hacker ottiene l'accesso a uno di questi account, di qualsiasi utente del sito e non solo dell'amministratore principale, può apportare modifiche a piacimento sul sito web.
Assicurati sempre che gli account abbiano solo l'accesso di cui hanno bisogno. Ad esempio, se un utente sta solo scrivendo articoli, considera di dare loro solo l'accesso come collaboratore o editore, mai come amministratore. Tieni presente il livello di abilità dei tuoi utenti, assicurandoti che chiunque abbia accesso come amministratore o editor sia completamente addestrato a utilizzare tutte le funzionalità dell'account per evitare incidenti.
Puoi aggiungere funzionalità per consentire l'accesso temporaneo a un determinato livello di ruolo, ad esempio se hai un appaltatore che lavora sul sito e ha bisogno di un accesso amministrativo temporaneo, potresti darglielo con un tempo stabilito per scadere in modo che non sia necessario ricordarsi di revocare il loro accesso in un secondo momento.
Se un determinato livello di ruolo non richiede tutte le autorizzazioni predefinite, è possibile installare un plug-in di ruoli e autorizzazioni per disattivare determinate autorizzazioni che non verranno mai utilizzate. Puoi anche creare altri ruoli con solo un accesso specifico. Limita gli utenti alle sole autorizzazioni di cui hanno bisogno per evitare un uso improprio accidentale o intenzionale di una funzionalità.
Per aiutare a prevenire gli attacchi provenienti dagli accessi degli utenti, imposta un limite al numero di volte in cui un account può effettuare un tentativo di accesso non riuscito prima che il nome utente venga bloccato per un periodo di tempo. Questo per lo più cattura i bot che stanno indovinando le password, ma ricorda di avvisare i tuoi utenti che non dovrebbero tentare di accedere più del numero di volte che hai impostato di seguito. Se non riescono a ricordare la password e se la dimenticano, dovrebbero reimpostarla invece di provare a indovinare!
È inoltre buona norma ricordare agli utenti di utilizzare password sicure (oltre otto cifre, con maiuscole, minuscole, numeri, ecc.) E di cambiarle ogni tanto. Ricorda loro di non annotare mai le proprie password e di disconnettersi al termine della sessione per evitare accessi non autorizzati ai propri account.
L'autenticazione a due fattori è un ulteriore livello di sicurezza che può essere aggiunto agli accessi. Richiedono agli utenti di utilizzare i propri autenticatori durante l'accesso per aumentare il numero di credenziali necessarie rispetto allo standard. Gli utenti avranno bisogno di un codice o pin aggiuntivo per accedere, generalmente generato in modo casuale da un'app o inviato a un telefono tramite testo. Può sembrare una barriera in più all'accesso per gli utenti, ma è anche una barriera in più per gli hacker.
02. Modificare i vecchi valori predefiniti
Le nuove installazioni di WordPress ti fanno scegliere un nome utente personalizzato per il tuo account amministratore, ma se hai installato il tuo sito qualche tempo fa, il tuo account amministratore potrebbe avere il nome predefinito di "admin": questo rende più facile per gli hacker indovinare le tue credenziali di accesso a metà il lavoro è già fatto per loro. Cambia il nome utente amministratore predefinito con qualcos'altro per migliorare la sicurezza. Puoi farlo manualmente tramite il database nella tabella wp_users, oppure puoi creare un nuovo profilo amministratore ed eliminare quello vecchio tramite il pannello di amministrazione (assicurati di attribuire tutti i post del vecchio account a quello nuovo).
Puoi anche cambiare il prefisso del database predefinito in qualcosa di diverso da wp_ per aggiungere un ulteriore livello di oscurità alle tue impostazioni predefinite. Il modo più semplice per farlo su un'installazione esistente è tramite un plug-in, ma prima esegui il backup dei database.
03. Mantieni aggiornato WordPress
WordPress aggiorna e migliora costantemente la sua sicurezza integrata, quindi assicurati che la tua versione sia la più aggiornata per stare al passo con le vecchie vulnerabilità ed exploit. La maggior parte delle installazioni di WordPress si aggiorna automaticamente, ma se la tua non lo fa, tieni d'occhio il tuo pannello di amministrazione o Posta in arrivo per essere avvisato quando i nuovi aggiornamenti sono pronti per l'installazione. Gli hacker sono alla ricerca di siti che non sono stati aggiornati e solo il 22% dei siti WordPress esegue la versione più recente. Poiché WordPress gestisce quasi il 30% di tutti i siti Web sul Web, si tratta di molti siti Web obsoleti!
Se stai gestendo un sito di staging, puoi testare tutti gli aggiornamenti per verificarne la compatibilità con il tema e i plug-in correnti prima di essere pubblicati. Questa è una buona pratica per evitare che eventuali aggiornamenti automatici entrino in conflitto accidentalmente con le installazioni esistenti. Ti dà la possibilità di rilevare eventuali problemi prima di entrare in produzione. Non dimenticare di aggiornare anche i tuoi plugin e temi. Non sono solo le vecchie vulnerabilità principali di WordPress che possono fornire agli hacker un modo per entrare; anche tutto ciò che installi sul tuo sito Web WordPress deve essere sicuro. Il prossimo suggerimento ti dirà di più sulla scelta di plugin affidabili.
04. Installa plugin affidabili e pulisci regolarmente la casa
C'è la tentazione di installare tanti plug-in quanti sono i problemi da risolvere, ma troppi plug-in possono causare gonfiore e un plug-in inaffidabile può causare un rischio per la sicurezza. Controlla sempre che i plugin siano affidabili prima di installarli. Scarica tramite l'interfaccia o il sito Web ufficiale di WordPress e controlla sempre la valutazione a stelle e le recensioni per feedback negativi che potrebbero indicare un difetto di sicurezza.
I plugin sono creati da sviluppatori con tutti i diversi livelli di abilità. Anche se i plugin vengono controllati prima di essere aggiunti al sito WordPress, dovresti sempre fare le tue ricerche per assicurarti che il codice che stai installando sia solido.
Il sito Web di WordPress ti dirà quanti anni ha un plug-in, quando è stato aggiornato l'ultima volta e, soprattutto, se è compatibile con la tua versione di WordPress. Un plug-in che non è stato aggiornato da un po 'di tempo non è necessariamente cattivo, potrebbe semplicemente significare che non ha bisogno di un aggiornamento in quel momento. Controlla le revisioni recenti per confermare che il plug-in è ancora valido e che è ancora compatibile con la tua versione. Vale la pena evitare un vecchio plug-in con recensioni recenti a stelle basse e una compatibilità sconosciuta.
Elimina regolarmente temi e plug-in inutilizzati, poiché anche un plug-in disattivato può rappresentare un rischio per la sicurezza se viene rilevata e sfruttata una vulnerabilità. Mantieni pulita la directory dei tuoi plugin. Dovresti avere solo i plugin installati che stai attualmente utilizzando. Controlla i plug-in meno recenti quando esegui l'aggiornamento per vedere se sono ancora compatibili.
Rivedi periodicamente i tuoi plugin per assicurarti di avere ancora il migliore per il lavoro. Potrebbe esserci un nuovo plug-in che combina le funzionalità di alcuni che hai già e potrebbe essere supportato meglio, più sicuro e più facile da mantenere.
05. Considera l'hosting gestito
Non è solo la sicurezza del tuo sito a cui devi pensare. Se ospiti i tuoi siti su server condivisi, corri il rischio di contaminazione cross-server, dove gli hacker accedono attraverso un sito diverso e sono in grado di danneggiare altri siti che condividono lo stesso spazio. Considera l'hosting gestito o l'hosting Virtual Private Server (VPS) per eliminare questa minaccia, dove il tuo sito è ospitato separatamente.
Il costo è un'ovvia implicazione, ma per i siti con carichi e traffico elevati, i server dedicati possono migliorare le prestazioni e la sicurezza. Host diversi hanno soluzioni diverse; confrontane alcuni per valutare quale si adatta meglio alle tue esigenze.
06. Maschera, chiudi e nascondi
Gli hacker hanno meno effetto leva se non sanno da dove iniziare. Nascondi il numero di versione di WordPress dal codice in modo che solo gli amministratori sappiano quale versione di WordPress stai utilizzando. In questo modo, gli hacker non sanno quali vulnerabilità sono presenti da sfruttare.
Sposta la tua pagina di accesso da / wp-login a qualcosa che non è predefinito. Ciò costituisce un enorme ostacolo per i bot di attacco DOS e di forza bruta che esplorano i siti alla ricerca di moduli di accesso da prendere di mira. Aggiunge anche un valore più estetico, in quanto puoi cambiare l'URL in qualcosa di più facile da ricordare per i tuoi utenti.
Nega l'accesso esterno a wp-config.php e .htaccess utilizzando il seguente codice nel tuo file .htaccess:
File wp-config.php> order allow, deny deny from all / Files> Files .htaccess> order allow, deny deny from all / Files>
Puoi anche disabilitare la modifica dei file dal pannello di amministrazione se sai che i tuoi temi verranno modificati solo tramite caricamenti di file su un FTP. Ciò impedisce a chiunque abbia accesso al pannello di amministrazione di modificare direttamente i file accidentalmente o come hacker con intenti dannosi. Inserisci quanto segue nel tuo file wp-config.php:
define (’DISALLOW_FILE_EDIT’, true);
07. Esegui spesso i backup
Assicurati di eseguire il backup del tuo sito nel caso in cui il tuo sito venga violato e devi tornare a una versione pulita precedente. La frequenza con cui dovresti eseguire i backup dipende dalla frequenza con cui il tuo sito viene aggiornato.
È fondamentale eseguire il backup in un luogo in cui il tuo sito non è ospitato per evitare che qualsiasi attività dannosa sul tuo hosting WordPress possa infettare anche i tuoi backup. I backup possono essere archiviati sul tuo computer o su un servizio basato su cloud come Google Drive, Dropbox o Amazon S3 (controlla altre opzioni di archiviazione cloud qui).
Il backup in una posizione che non è il tuo server attuale aiuta anche se hai un plugin irrisolvibile o un conflitto di temi e non riesci ad accedere al tuo sito, o se si verifica un malfunzionamento catastrofico del server e perdi tutto il tuo lavoro.
Esistono plug-in di backup dedicati per aiutarti a tenere il passo, la maggior parte con opzioni per backup pianificati o manuali. Le versioni gratuite e premium ti offrono varie opzioni, BackupBuddy è il servizio a pagamento più popolare in quanto hanno il proprio spazio di archiviazione di terze parti per i tuoi file, oltre alla possibilità di ripristinare direttamente da un backup. Confronta altri plugin come UpdraftPlus e BackWPup per le loro versioni gratuita e premium per vedere quale ha le funzionalità che apprezzi di più.
08. Installa plugin di sicurezza e anti-spam
Molte funzionalità di sicurezza possono essere aggiunte con un plug-in di sicurezza completo, come iThemes Security o Sucuri, entrambi con versioni gratuite e premium. I plugin di sicurezza sono dotati di una suite di strumenti per bloccare le vulnerabilità sul tuo sito come quelle già menzionate in questo articolo; dal mascherare il numero di versione all'installazione dell'autenticazione a due fattori per gli accessi, gli elenchi di funzionalità sono spesso estesi.
Questi tipi di plug-in possono essere preziosi per rendere il tuo sito WordPress più sicuro e la maggior parte dei plug-in di sicurezza è facile da usare con l'installazione con un solo clic per le funzionalità più importanti e l'installazione opzionale per le funzionalità più avanzate o complesse. Questo li rende perfetti per i principianti di WordPress, poiché non è necessaria alcuna codifica per ottenere un sito ben protetto in pochi minuti. Gli utenti più avanzati avranno accesso a funzionalità che possono proteggere ulteriormente il tuo sito, come la chiusura dell'accesso non necessario a protocolli come XML-RPC e l'aggiornamento dei sali di WordPress utilizzati nella codifica.
Tali plugin aiuteranno a proteggere il tuo sito dalla forza bruta e dagli attacchi DOS, che possono portare i tuoi siti offline se c'è troppo carico sul server. Possono anche rafforzare il processo di accesso con livelli di sicurezza aggiuntivi per impedire che i tuoi account utente vengano utilizzati come metodo di attacco. La scansione del malware e i registri delle attività tengono traccia di qualsiasi comportamento sospetto o file danneggiati per la revisione, avvisandoti di eventuali attacchi in corso e dandoti un'idea di dove si trovano le vulnerabilità del tuo sito in modo da poterle risolvere.
Alcuni plugin di sicurezza includono anche opzioni di backup, per quel servizio all-inclusive. Avere tutte le tue esigenze di sicurezza organizzate da un plug-in significa che le funzionalità sono facili da organizzare, con meno rischi di conflitto tra plug-in simili. Assicurati di fare le tue ricerche, tuttavia, poiché questo plug-in sarà la cosa che ostacola il tuo sito e chiunque voglia danneggiarlo. Dovrai sceglierne uno che farà il lavoro in modo ammirevole.
Inoltre, un plug-in anti-spam come Akismet impedirà agli spammer di intasare il tuo sito con commenti non correlati. Se il tuo plug-in di sicurezza non lo sta già facendo, può aiutare il plug-in di sicurezza aggiungendo un ulteriore livello di sicurezza all'interazione con la tua comunità utilizzando strumenti di convalida come CAPTCHA e altri dispositivi anti-bot per assicurarti che solo persone reali stiano commentando. Un plug-in anti-spam aiuta a mantenere pulito il tuo sito e il tuo database dietro le quinte. Lo screening per commenti preziosi ha il vantaggio aggiuntivo di dare più peso ai tuoi contenuti mostrando solo il corretto coinvolgimento dei lettori.
Ogni plug-in viene fornito con i propri strumenti diversi, quindi confronta le opzioni per qualcosa che si adatta alle tue esigenze. Considera le versioni premium dei plugin per funzionalità aggiuntive poiché questa è parte integrante del tuo sito e in generale, i plugin a pagamento ti daranno il servizio più completo. Idealmente si desidera una suite che copra almeno le basi della sicurezza, come gli altri suggerimenti citati in questo articolo.
Questo articolo è stato originariamente pubblicato nel numero 272 della rivista di web design creativo Web Designer. Acquista il numero 272 qui o iscriviti a Web Designer qui.
