WordPress è il CMS più utilizzato al mondo. Attualmente, circa il 40% di tutti i siti web gira su WordPress. D'altra parte, proprio a causa della sua popolarità, è anche molto popolare tra gli hacker. Ecco perché ti consigliamo di aggiungere ulteriore sicurezza al tuo sito web WordPress per ridurre al minimo il rischio di subire attacchi.
Di seguito abbiamo compilato un elenco di consigli da implementare per garantire un sito WordPress più sicuro:
- Aggiorna sempre
- Rimuovi i plugin e i temi che non utilizzi.
- Monitora lo stato del tuo sito web
- Proteggi la cartella wp-admin con una password
- Crea un nome utente d'amministrazione personalizzato
- Disattiva l'esecuzione PHP nella tua cartella degli upload
Aggiorna sempre
Parte degli aggiornamenti di WordPress risolvono i problemi di sicurezza che gli hacker potrebbero sfruttare, quindi è essenziale aggiornare il prima possibile. Puoi aggiornare facilmente la versione, i plug-in e i temi di WordPress dal tuo WP Admin. Se non hai accesso al tuo WP Admin, puoi anche aggiornare manualmente.
- Come faccio a mantenere aggiornato il mio sito WordPress?
- Aggiorna WordPress manualmente (senza accesso WP Admin)
Oltre all'installazione principale di WordPress, è importante controllare regolarmente se ci sono aggiornamenti per i plugin e temi installati.
Suggerimento: se non vuoi procedere all'aggiornamento manuale, trovi altre informazioni su Managed WordPress di one.com e sul suo Update Manager integrato.
Rimuovi i plugin e i temi che non utilizzi.
Ogni plugin e tema che hai installato può costituire un rischio per la sicurezza, per cui, meno ne hai, meglio è.
Ti consigliamo di rimuovere tutti i temi che non usi, ad eccezione dei temi WordPress predefiniti (Twenty Nineteen, Twenty Twenty, ecc.). Lo stesso vale per i plugin che non ti servono più. Puoi rimuoverli direttamente tramite il tuo WP Admin o eliminarli dal tuo spazio web.
Si assicuri di rimuovere vecchie installazioni di WordPress presenti nello spazio web, create in precedenza come prova o backup. Queste installazioni sono anch'esse fulnerabili ad attacchi hacker.
Suggerimento: installa plugin e temi solo da fonti attendibili. Se trovi una versione gratuita di un tema che normalmente è a pagamento, c'è un grosso rischio che venga fornito con malware "gratuito".
Monitora lo stato del tuo sito web
Assicurati di avere installato il plug-in genitore one.com gratuito per beneficiare delle sue utili funzionalità di analisi del sito web come Health Monitor.
Health Monitor esegue i controlli di base del sito web, ad esempio verifica se stai utilizzando l'ultima versione di WordPress. Questo strumento ti consente di monitorare i punti chiave per la sicurezza e per le prestazioni, e ti informa dei problemi che devono essere risolti. A seconda della situazione, riceverai il messaggio "Tutto bene" o un elenco di consigli su ciò che deve essere corretto.
Suggerimento: con Health Monitor Pro, incluso nel componente aggiuntivo Managed WordPress, puoi risolvere tali problemi con un solo clic.
Proteggi la cartella wp-admin con una password
Blocca gli hacker e proteggi la cartella wp-admin con una password, in questo modo aggiungi un altro livello di sicurezza alla gestione di WordPress.
Puoi seguire la nostra guida per proteggere il tuo sito con .htaccess. Si assicuri di proteggere solo la cartella wp-admin e non l'intero sito, altrimenti il sito non sarà visualizzabile online. Inserisci i file nella cartella wp-admin.
Nota: Se esiste già un file .htaccess nella cartella wp-admin, non rimpiazzarlo, aggiunga semplicemente il codice generato al file esistente.
Un altro modo per impedire agli hacker di sfruttare il tuo sito WordPress è reindirizzare la pagina di accesso di WordPress tramite il tuo pannello di controllo con la protezione avanzata dell'accesso.
Crea un nome utente d'amministrazione personalizzato
Spesso gli hacker tentano d'accedere alla gestione di WordPress con un Brute Force Attack (attacco di forza): degli automi tentano l'accesso con milioni di combinazioni di password e nome utente. Ti consigliamo di creare un nome utente univoco per rendere più difficile indovinare i tuoi dati di accesso.
È possibile cambiare il nome utente d'amministrazione da phpMyAdmin, nella tabella wp_users. Questa guida spiega come accedere al propio database.
Una volta fatto l'accesso:
- Localizza la tabella wp_users (può essere anche nominata 0_users).
- Trova il nome utente dell'admin e clicca su Modifica.
- Sotto alla voce login utente, nella sezione Valore inserisci un nuovo nome utente.
- Clicca su Avanti per salvare.
Disattiva l'esecuzione PHP nella tua cartella degli upload
Sei hai effettuato un'installazione manuale di WordPress, ti consigliamo di disattivare l'esecuzione PHP nella tua cartella degli upload. Se hai utilizzato il programma di installazione 1-click WordPress, puoi saltare questa sezione. Per le installazioni di tipo 1-click WordPress, l'esecuzione di PHP è disabilitata per impostazione predefinita.
È normale che una backdoor PHP si trovi nella directory degli upload. Da lì, il malware viene diffuso in altre posizioni del tuo sito. Non puoi impedire il caricamento della backdoor, ma puoi impedirne la diffusione altrove disabilitando l'esecuzione di PHP.
Puoi disabilitare l'esecuzione di PHP aggiungendo queste linee di codice al file .htaccess che si trova all'interno della cartella Uploads (wp-content/uploads).
# Blocca eseguibili
<FilesMatch "\.(php|phtml|php3|php4|php5|pl|py|jsp|asp|html|htm|shtml|sh|cgi|suspected)$">
rifiutato da tutti
</FilesMatch>
Consulta la nostra guida sulla creazione di un file .htaccess e disabilita l'esecuzione del file per tutti i passaggi necessari.
Nota: Se nel tuo spazio web disponi già di un file .htaccess, non è necessario che ne crei un altro. Puoi semplicemente aggiungere il codice al file esistente.
Articoli correlati
