WordPress è il CMS più usato al mondo, attualmente circa il 25% di tutti i siti internet usano WordPress. Sfortunatamente, a causa della sua popolarità, molti hacker ne sono interessati. Ecco perchè suggeriamo d'aggiungere dei livelli di sicurezza al sito WordPress per minimizzzare il rischio di un attacco hacker.
- Aggiorna sempre
- Rimuovi i plugin e i temi che non utilizzi.
- Proteggi la cartella wp-admin con una password
- Crea un nome utente d'amministrazione personalizzato
- Disattiva l'esecuzione PHP nella tua cartella degli upload
Aggiorna sempre
Gli aggiornamenti di WordPress sono in parte fix di sicurezza che potrebbero essere sfruttati dagli hacker se non eseguiti il prima possibile. L'aggiornamento si può eseguire dall'amministrazione di WordPress. Se non si ha l'accesso all'amministrazione di WordPress l'aggiornamento lo si può eseguire manualmente.
Oltre all'installazione principale di WordPress, è importante controllare se ci sono aggiornamenti per i plug in e temi installati. Suggeriamo di rimuovere qualsiasi plugin e tema non utilizzati al momento, si possono installare nuovamente in qualsiasi momento.
Suggerimento: Se non si vuole avere problemi con l'aggiornamento manuale, si può installare il plugin Easy Updates Manager, il quale si prende cura di tutti gli aggiornamenti di WordPress.
Rimuovi i plugin e i temi che non utilizzi.
Ogni plugin e tema che hai installato può costituire un rischio per la sicurezza, per cui, meno ne hai, meglio è.
Ti consigliamo di rimuovere tutti i temi che non utilizzi, tranne i temi predefiniti di WordPress (2017, 2018, ecc.). Lo stesso vale per i plugin di cui non hai più bisogno.
Si assicuri di rimuovere vecchie installazioni di WordPress presenti nello spazio web, create in precedenza come prova o backup. Queste installazioni sono anch'esse fulnerabili ad attacchi hacker.
Suggerimento: Installa solo plugin e temi provenienti da fonti affidabili. Se trovi una versione gratuita di un tema per il quale normalmente dovresti pagare, c'è una grossa probabilità che contenga malware... "gratuito".
Proteggi la cartella wp-admin con una password
Un altro modo per bloccare gli hacker è quello di proteggere la cartella wp-admin con una password, in questo modo si aggiunge un altro livello di sicurezza all'amministrazione WordPress.
Puoi seguire la nostra guida per proteggere il tuo sito con .htaccess. Si assicuri di proteggere solo la cartella wp-admin e non l'intero sito, altrimenti il sito non sarà visualizzabile online. Inserisci i file nella cartella wp-admin.
Nota: Se esiste già un file .htaccess nella cartella wp-admin, non rimpiazzarlo, aggiunga semplicemente il codice generato al file esistente.
Crea un nome utente d'amministrazione personalizzato
Spesso gli hacker tentano d'accedere all'amministrazione di WordPress con un Brute Force Attack (attacco di forza); degli automi tentano l'accesso con milioni di combinazioni di password e nome utente. Per rendere più difficile indovinare i dettagli di log in, suggeriamo di creare un nome utente personalizzato.
È possibile cambiare il nome utente d'amministrazione da phpMyAdmin, nella tabella wp_users. Questa guida spiega come accedere al propio database.
Una volta fatto l'accesso:
- Trovi la tabella wp_users (può essere anche nominata 0_users).
- Trova il nome utente dell'admin e clicchi Modifica.
- Sotto alla voce utente login, nella sezione Value inserisca un nuovo nome utente.
- Clicca Avanti per salvare.
Suggerimento: Ci sono anche numerosi plugin che possono migliorare la sicurezza, noi raccomandiamo d'usare: Wordfence Security o iThemes Security.
Disattiva l'esecuzione PHP nella tua cartella degli upload
Sei hai effettuato un'installazione manuale di WordPress, ti consigliamo di disattivare l'esecuzione PHP nella tua cartella degli upload. Se hai utilizzato l'installer in 1-clic, l'esecuzione è disattivata per impostazione predefinita.
Capita spesso che una backdoor PHP si trovi nella cartella degli upload. Da lì, il malware si diffonde in altre posizioni del tuo sito. Non puoi evitare che la backdoor venga caricata, ma, disattivando l'esecuzione PHP, puoi impedire che si diffonda altrove.
# Block executables
<FilesMatch "\.(php|phtml|php3|php4|php5|pl|py|jsp|asp|html|htm|shtml|sh|cgi|suspected)$">
deny from all
</FilesMatch>
# Block javascript except for visualcomposer (VC) plugin
RewriteEngine On
RewriteCond %{REQUEST_URI} !^.*wp-content/uploads/visualcomposer-assets/.*\.js$
RewriteRule ^(.*\.js)$ - [F,L]
Nota: Se nel tuo spazio web disponi già di un file .htaccess, non è necessario che ne crei un altro. Puoi semplicemente aggiungere il codice al file esistente.
Articoli correlati
