Suggerimenti per Mantenere WordPress in Sicurezza

immagine-mantenere-in-sicurezza-sito-web-wordpress mantenere wordpress in sicurezza
La sicurezza di WordPress è un aspetto fondamentale!

Mantenere WordPress in Sicurezza! WordPress al sicuro! Perché parliamo di sicurezza WordPress? Semplice, perché tutti i siti web sono potenzialmente vulnerabili.

Non importa quanto lavoro hai fatto per lanciare il tuo sito web, questo può essere sempre vulnerabile, anche se non si è fatto niente di teoricamente sbagliato. Semplicemente è così che funziona internet e di conseguenza qualche volta può capitare che il nostro sito web venga preso di mira da qualche attacco. In questo articolo vedremo come fare per prevenire questi attacchi e per mettere in sicurezza la nostra installazione di WordPress.

Fortunatamente la maggior partte degli attacchi può essere evitata spendendo un pò di tempo ad implementare questi 10 suggerimenti di sicurezza. Bene, iniziamo…

10 consigli di sicurezza per mantenere il vostro sito WordPress (Mantenere WordPress in Sicurezza!)

Rivedere questi passaggi più o meno una volta al mese dovrebbe essere sufficiente per mantenere al sicuro il vostro sito web. Un sito web è come il corpo umano; se una certa parte è danneggiata, tutto l’intero sistema ne può risentire. E’ quindi fondamentale non tralasciare mai questo aspetto.

Ecco cosa fare e come procedere:

1. Aggiornare WordPress regolarmente

Con ogni nuova versione WordPress viene migliorato e la sua sicurezza anche. Un sacco di bug e vulnerabilità vengono corretti ogni volta che viene rilasciata una nuova versione. Se non si aggiorna regolarmente, resteremo a rischio di potenziali attacchi.

Per aggiornare WordPress è necessario prima andare nel pannello di amministrazione (“Dashboard”, /wp-admin/) . Nella parte superiore della pagina, vedremo un annuncio ogni volta che è disponibile una nuova versione. Fare clic per aggiornare e quindi fare clic sul pulsante blu “Aggiorna ora“. Ci vogliono solo pochi secondi.

immagine-aggiornamento-wordpress-esempio

2. Aggiornare i temi e i plugin

Lo stesso vale per plugin e temi. E’ sempre buona norma tenere aggiornati sia il tema in uso sia i plugin installati sul nostro sito. Questo consente di evitare le vulnerabilità e i vari bug.

Così come per la maggior parte dei software, di tanto in tanto, alcuni plugin potrebbero essere stati violati o contenere falle di sicurezza. Aggiornandoli regolarmente evitiamo ogni possibile vulnerabilità. Ad esempio, in passato, famosi plugin come Ninja Forms (link descrizione vulnerabilità) e WooCommerce (link descrizione vulnerabilità) hanno avuto questi problemi risolti poi con gli aggiornamenti.

Quindi, come aggiornare i temi e i plugin in WordPress?

Cominciamo con i plugin. Sempre dal pannello admin ci basterà andare in Plugin -> Plugin Installati. Apparirà l’elenco di tutti i plugin. Se un determinato plugin necessita di un aggiornamento verrete informati a tal riguardo dal sistema di WordPress. Vi basterà fare un clicc per aggiornare all’ultima versione. Ricordate sempre di controllare le note di rilascio dell’ultima versione del plugin per evitare potenziali malfunzionamenti dovuti a possibili incompatibilità.

immagine-aggiornamento-plugin-wordpress-esempio

In questo caso, come si può vedere dall’immagine, ci sono due versioni nuove per due dei plugin. Tutto quello che dovremo fare, come detto poco sopra, sarà cliccare su “Aggiorna ora” e, in pochi secondi, avremo i nostri plugin aggiornati all’ultima versione.

Per aggiornare i temi, invece, dovremo andare in Aspetto -> Temi. Nella pagina vedremo tutti i temi installati. Quelli obsoleti saranno contrassegnati nello stesso modo dei plugin. Anche qui basterà premere su “Aggiorna ora” per aggiornare all’ultima versione disponibile.

immagine-aggiornamento-temi-wordpress-esempio

Oltre ad aggiornare tutti i plugin e il tema, dobbiamo tenere in considerazione l’idea di rimuovere tutti quei temi o plugin che ormai non utilizziamo più. Questi sono solo un peso non necessario per il nostro sito web.

3. Eseguire il backup del sito regolarmente

Il backup del sito consiste nel creare una copia di tutti i dati del sito, così da poterlo poi salvare in un luogo sicuro. In questo modo, se necessario (nel caso in cui succeda qualcosa di inaspettato), sarà possibile ripristinare il sito dalla copia di backup.

Per eseguire il backup del sito è necessario un plugin. Ci sono un sacco di buone soluzioni in giro per il web. Ad esempio, BlogVault è uno dei tanti plugin che vi consigliamo. E’ accessibile (nel senso che rientra in un prezzo decente), facile da usare e si prende cura di tutto per voi. C’è anche una alternativa gratuita, se preferite: UpdraftPlus.

Per maggiori informazioni su come effettuare un backup completo del vostro sito WordPress vi rimandiamo alla seguente pagina della documentazione ufficiale di WordPress: Backup di WordPress >> WordPress Codex.

4. Limitare i tentativi d’accesso e modificare spesso la password

Non lasciate che il vostro form di login permetta un numero illimitato di tentativi di accesso, perché questo è esattamente ciò che aiuta un hacker ad entrare nel vostro pannello di amministrazione. Se gli permettiamo di tentare un numero infinito di volte, alla fine è possibile che gli hacker riescano a scoprire i dati di accesso. Limitare i tentativi a disposizione è la prima cosa che si deve fare per prevenire ogni possibilità di hackeraggio.

immagine-limita-accesso-login-wordpress-esempio

È possibile utilizzare alcuni plugin specializzati per limitare gli eventuali tentativi di accesso. Ci sono due soluzioni molto popolari, entrambi gratuiti:

1) Login LockDown

immagine-login-lockdown-plugin-per-wordpress

2) WP Limit Login Attempts

immagine-wp-limit-login-attempts-plugin-per-wordpress

Inoltre, è buona norma cambiare regolarmente le password di accesso, così da restringere le possibilità di successo degli hacker. Ovviamente non si intende tutti i giorni, ma almeno una volta ogni 2-3 mesi non sarebbe male.

Nota: LastPass è un ottimo strumento che memorizza i dati delle password in modo sicuro e permette di generare password sicure.

5. Installare un FireWall

Un altro dei nostri suggerimenti di sicurezza per WordPress è quello di installare un sistema di Firewall.

5.1 Installare un Firewall sul proprio computer

I firewall di solito proteggono il computer da varie minacce online. In questo modo, ogni cosa strana che tenta di connettersi al vostro computer sarà revisionata e, se sospetta, tenuta lontana.

Questo non ha nulla a che fare con il vostro sito WordPress, ma l’installazione di un firewall sul proprio computer è una pratica consigliata per un motivo fondamentale: Voi utilizzate il vostro computer per connettervi all’area privata del vostro sito in WordPress. Se il proprio computer è stato compromesso, allora anche la vostra connessione con il sito web può essere a rischio.

Un paio di strumenti per questo scopo: Norton Internet Security, Comodo o ZoneAlarm (quest’ultimo è gratuito).

5.2 Installare un Firewall sul sito web WordPress

A parte l’installazione di un firewall sul proprio computer è anche possibile installare questo strumento di sicurezza direttamente sul vostro sito web WordPress. Questo tipo di firewall protegge il sito da virus, malware, attacchi di hacker, etc.

Sucuri fa un grande lavoro in questo senso, ed è uno dei migliori servizi di sicurezza per WordPress.

Esistono inoltre soluzioni gratuite per i firewall, come ad esempio:

1) Wordfence Security

immagine-wordfence-security-plugin-per-wordpress

2) iThemes Security

immagine-ithemes-security-better-wp-security-plugin-per-wordpress

6. Limitare l’accesso agli utenti sul tuo sito

Se non sei l’unico utente che ha accesso al tuo sito presta attenzione quando crei nuovi account. Si dovrebbe tenere tutto sotto controllo e cercare di limitare l’accesso a qualsiasi tipo di utente che non ne ha necessariamente bisogno.

Se si dispone di molti utenti è possibile limitare le loro funzioni e le autorizzazioni. Essi devono avere accesso solo alle funzionalità essenziali per fare il loro lavoro.

immagine-gestione-utenti-permessi-wordpress-esempio

Force Strong Passwords può aiutare con questo problema, assicurando che tutti abbiano delle password complesse. Per impostazione predefinita WordPress raccomanda una password forte, ma non vi costringerà a cambiarla se ne avete una debole. Force Strong Passwords bloccherà gli utenti che non hanno password abbastanza forti. Questa è una buona soluzione per tutte le persone che entrano come amministratore. In sostanza, questo plugin è il vostro unico modo di far sì che tutti utilizzino password complesse e quindi difficili da indovinare.

7. Rinominare l’URL di Accesso

Per impostazione predefinita l’URL che si utilizza per accedere alla dashboard è wp-login.php o wp-admin, aggiunto dopo l’URL principale del sito. Ad esempio: TUOSITO.com/wp-login.php o TUOSITO.com/wp-admin/.

Ovviamente questi due sono gli URL più gettonati dagli hacker che tentano di ottenere l’accesso al vostro sito web. Modificando queste due URL riduciamo la possibilità di essere hackerati e di perdere in definitiva il nostro database (se accidentalmente non si ha delle copie di backup pronte all’uso). Indovinare un URL di accesso personalizzato è molto più difficile per gli hacker.

Il plugin iThemes Security, prima citato, ci aiuta a fare questa modifica. Per esempio, l’URL di accesso può trasformarsi in qualcosa di simile a TUOSITO.com/pannello-admin/.

8. Abilitare le scansioni di sicurezza

Le scansioni di sicurezza vengono fatte da software / plugin specializzati che passano in rassegna tutto il tuo sito web in cerca di file o codici sospetti. Se viene trovato qualcosa, il plugin fa pulizia in automatico. Questi scanner funzionano proprio come gli anti-virus.

Ecco alcuni suggerimenti: CodeGuard, VaultPress o Sucuri SiteCheck.

9. Utilizzo dell’SSL

SSL (Secure Socket Layer) è un’ottima strategia attraverso la quale è possibile crittografare i dati di amministrazione. L’SSL rende il trasferimento dei dati tra il browser dell’utente e il server sicuro. Maggiori informazioni sull’SSL: Quale tipo di certificato SSL scegliere? – Articoli di Klayz.

Ci sono due modi per ottenere un certificato SSL:

1) Acquistarne uno da una società di terze parti come RapidSSL.
2) Chiederne uno al vostro fornitore di hosting. Qualche volta questa è una caratteristica di default in alcuni piani di hosting più avanzati.

Utilizzando la crittografia SSL, oltre che a rendere più sicuro il vostro sito web, permette un rango più elevato nella classifica di Google. Questo perché Google favorisce i siti che utilizzano SSL.

10. Proteggere il wp-config.php

Il file wp-config.php è uno dei più importanti tra i file potenzialmente vulnerabili sul sito in WP. Ospita informazioni cruciali e dati sulla vostra intera installazione di WordPress. E’ tecnicamente il nucleo del vostro sito WordPress. Se gli succede qualcosa di brutto non saremo più in grado di utilizzare il blog normalmente.

Una cosa semplice che si può fare è prendere il file wp-config.php e semplicemente spostarlo nella directory parente (un passo sopra la directory principale di WordPress). Il vostro sito WordPress non sarà influenzato affatto da questa mossa, ma gli hacker non saranno più in grado di trovarlo.

Bene, il vostro sito è protetto a sufficienza! Avete bisogno di aiuto in relazione a questi suggerimenti di sicurezza di WordPress? Commentate qui sotto oppure visitate il forum dedicato a WordPress sulla Community di Klayz!

Articolo liberamente ispirato a 10 WordPress Security Tips to Keep your Site Safe di ThemeIsle.com Blog, tradotto e riadattato da Klayz.com. Si ringrazia Daniel per i permessi di riproduzione e di traduzione.

 
2 Kudos
Non ti
muovere!

Condividi il Post