Come rendere WordPress più sicuro in 11 Step
Ultimamente il tema della sicurezza legata all’utilizzo di WordPress è sempre più discusso sia online che nelle conferenze del settore.
Questo è dovuto alla grande diffusione del CMS e al conseguente aumento di attacchi hacker (Brute Force, SQL Injection ) nei confronti della piattaforma.
Circa 1/4 del web è fatto con WordPress. Ogni giorno migliaia di siti vengono hackerati a seguito di decine di migliaia se non centinania di migliaia di tentativi di hackeraggio.
Vediamo quindi 10 Step che possono aiutarci a “blindare” WordPress e renderlo più sicuro.
Partiamo dalle cose più semplici
1) Aggiornare WordPress
Dalla versione 3.7 WordPress permette di ricevere aggiornamenti automatici, questa opzione ci aiuta nella corretta gestione generale del nostro sito web.
Tenere la piattaforma aggiornata è fondamentale se vogliamo rendere sicuro il nostro sito, diminuire le possibilità di un attacco hacker e migliorare la velocità del sito.
Gli aggiornamenti includono sempre la soluzione a numerosi bug, spesso legali alla sicurezza e alla compatibilità.
Ogni volta che viene segnalata una vulnerabilità di WordPress o un bug, il team di sicurezza lavora per aggiustarla, dopo qualche tempo viene rilasciato un aggiornamento che aggiusta errori e exploit e il sito torna ad essere blindato dopo l’aggiornamento.
Questo significa che se non si sta usando l’ultima versione di WordPress, ma si sta usando una versione di cui si conoscono le vulnerabilità.
VUOI CONOSCERE GLI ALTRI STEP?
Compila il form, ti invieremo il PDF con la guida completa!
Ti piacciono le nostre guide?
Leggi anche:



2) Backup del database
Sempre tra le cose scontate ma non per questo meno importanti sulla sicurezza di WordPress è avere un regolare backup del sito e del database, molti servizi di hosting lo offrono di default.
Per star tranquilli si possono utilizzare alcuni plug-in come:
UpdraftPlus che fornisce piani gratuiti e a pagamento a seconda delle proprie esigenze.
Il consiglio è sempre quello di affidarsi ad un hosting ottimizzato per WordPress che fornisca questo tipo di servizio.
Avere a disposizione un backup è fondamentale, poichè permette, in caso di errori sul sito di qualsiasi genere, di “tornare indietro”, avendo a disposizione sempre una copia del sito.
3) Non utilizzare l’utente admin
Nelle prime versioni di WordPress il CMS creava di default un utente “admin”.
Questo utente è ancora utilizzato su molti siti.
In un tentativo di attacco Brute-Force, “admin” sarà sicuramente utilizzato per provare ad accedere al sistema, va cancellato e sostituito con un nome utente più sicuro.
Utilizzare un nome del tipo “simone-lucci.31-56” aumenta la sicurezza del nostro sito WordPress.
4) Creare password lunghe con caratteri alfanumerici
Creare password complesse è fondamentale per la sicurezza di WordPress.
Per creare password in maniera veloce si può utilizzare un generatore di password sicure: https://www.nexcess.net/resources/tools/secure-password-generator/
Come per il nome utente, è consigliabile usare dei password lunghe con caratteri alfanumerici( Esempio: luca-2.4-h326-).
5) Utilizzare la versione più recente di Php
PHP è la spina dorsale del vostro sito e quindi utilizzare l’ultima versione di PHP sul vostro server è molto importante per la sicurezza di WordPress.
Ogni major release di PHP è in genere pienamente supportata per due anni dal momento del suo rilascio.
Durante questo periodo, i bug e i problemi di sicurezza sono corretti e aggiornati regolarmente.
Chiunque abbia una versione di PHP 7.0 o inferiore non ha più supporto per la sicurezza ed è esposto a vulnerabilità prive di patch.
Il modo più veloce e semplice per controllare su quale versione di PHP sta girando il nostro sito WordPress, è quello di entrare nella bacheca e andare su “Strumenti-> Salute del sito (Site Healt)“, dalla schermata basterà cliccare sul tasto “Informazioni” e successivamente aprire il tab “Server“, dove ci verranno fornite tutte le informazioni del server tra cui la versione PHP.
6) Cambiare il prefisso delle tabelle nel database
Il prefisso di default delle tabelle di WordPress è “wp_” questo (come l’utente di defalt “admin”) è una informazione importante che noi “regaliamo” ad eventuali hacker.
Cambiare il prefisso per esempio in “hsdfg67hjk32_” diminuisce le possibilità di essere vittime di attacchi SQL Injection.
Se avete gia installato WordPress e volete cambiare il prefisso delle tabelle si può fare con alcuni plugin come ad esempio: https://wordpress.org/plugins/brozzme-db-prefix-change/
Con questo plugin basterà scegliere il nuovo nome nel campo in questione e salvare.
7. Utilizzare HTTPS per Connessioni Criptate – Certificato SSL
Uno dei modi più trascurati per rafforzare la sicurezza di WordPress è installare un certificato SSL ed far girare il vostro sito su HTTPS.
HTTPS (Hyper Text Transfer Protocol Secure) è un meccanismo che consente al browser o all’applicazione web di collegarsi in modo sicuro a un sito web.
Molti host, nei loro pacchetti, includono certificati SSL gratuiti con Let’s Encrypt.
La Sicurezza Naturalmente, è il motivo principale per utilizzare HTTPS.
Gestire siti multi-autore, se si gira su su HTTP, ogni volta che una persona esegue l’accesso, le informazioni sull’accesso eseguito vengono passate al server come testo normale.
HTTPS è assolutamente vitale per mantenere una connessione sicura tra un sito Web e un browser. In questo modo potete prevenire meglio che hacker o intrusi ottengano l’accesso al vostro sito web.
Così anche blog, siti di notizie, agenzie, tutti possono trovare utile HTTPS, in quanto garantisce che le informazioni non passino mai in chiaro.
8) Nascondere la versione di WordPress
Ispezionando il codice di un sito WordPress è possibile vedere la versione installata, questo può facilitare il lavoro degli hackers che sapendo il numero della versione potrebbero (se il cms non è aggiornato) risalire a eventuali bug. Per nascondere la versione di WordPress utilizziamo il seguente codice nel file functions.php:
function wpversion_rimuovi_versione_wordpress() {
Restituzione ‘ ‘;
}
add_filter(‘the_generator’, ‘wpversion_rimuovi_versione_wordpress’);
Una volta fatto, non resterà che salvare il file. In questo modo il tag “generator” non verrà più mostrato né all’interno del codice sorgente del nostro sito web, né all’interno dei nostri feed xml.
Questo chiaramente è un ulteriore step molto importante per la sicurezza di WordPress.
9) Cancellare temi e plug-in inutili
Per la sicurezza di WordPress, per le performance dello stesso e per diminuire la possibilità di falle nel codice, è utile cancellare temi e plugin che non utilizziamo.
I plugin e i temi utilizzati devono (se possibile) essere sempre aggiornati all’ultima versione.
Questo è uno dei maggiori fattori di rischio in una installazione WordPress.
10) Utilizzare i permessi corretti
Per quanto rigurda i permessi di file e cartelle, tutte le cartelle dovrebbero essere 755 e i file 644, il wp-config.php dovrebbe essere settato con permessi 600 ecco un esempio:
directory principale www.miosito.com/0755
wp-admin www.miosito.com/wp-admin 0755
wp-content www.miosito.com/wp-content 0755
wp-include www.miosito.com/wp-includes 0755
.htaccess www.miosito.com/.htaccess 0644 readme.html
www.miosito.com/readme.html 0400
wp-config.php www.miosito.com/wp-config.php 0600
Questi settaggi sono un esempio alcune configurazioni server potrebbero essere anche più restrittive per esempio 0750 al posto di 0755.
11) Plug-in per la sicurezza
Ci sono molti plug-in per la gestione e l’aumento della sicurezza in WordPress, alcuni svolgono una specifica funzione altri sono pacchetto completo per la gestione della sicurezza del sito. Qui un elenco di quelli che consigliamo:
Wordfence
https://wordpress.org/plugins/wordfence/
Questo plugin è un pacchetto completo per aumentare la sicurezza di WordPress, consente di effettuare molte verifiche e accorgimenti per rendere il sito più sicuro.
Di seguito un elenco delle opzioni disponibili:
- Scan del sito per verificare che non ci siamo malware
- Monitoraggio dell’attività del sito in Real-Time per vedere chi e cosa visita il nostro sito
- Sistema di caching “Falcon” in grado di rendere il sito molto performante fino a 30/50 volte più veloce
- Possibilita di bloccare Ip (anche in automatico dopo tot. login falliti)
- Possibilità di login con verifica tramite cellulare (a pagamento)
- Blocco geolocalizzato degli ip per bloccare visite da un determinato stato (a pagamento)
- Scan del sito automatico
- Firewall
- Sistema di notifica che ci avvisa quando avviene qualcosa di sospetto
Wordfence può essere molto utile su siti che sono stati hackerati, tramite il suo sistema di scan può trovare eventuali malware presenti nel sito e prevenire futuri attacchi con le funzionalità di blocco ip.
Sucuri
Sucuri Security è un altro ottimo strumento di monitoraggio della sicurezza per i siti web WordPress.
Questo strumento basato sul web si combina con un plugin WordPress gratuito che protegge il sito web da codice malevolo, malware, hack HTA e molti altri inconvenienti.
Caratteristiche di sicurezza Sucuri
- Analisti di sicurezza esperti per monitorare le campagne di malware attive
- Pulizia automatica per ripulire il tuo sito da codice dannoso
- SEO Span Repair per prevenire spam di parole chiave e iniezioni di link
- Invia la rimozione dalla blacklist per tuo conto
- Firewall per prevenire futuri attacchi al tuo sito
ITemi Sicurezza
iTheme Security è un plugin di sicurezza WordPress che protegge i siti web bloccando gli utenti sospetti e prevenendo attacchi di forza bruta. Viene fornito con oltre 30 opzioni per proteggere il tuo sito WordPress.
Rileva bot, tentativi di hacker e blocca le vulnerabilità identificate.
Il plugin monitora il file system alla ricerca di modifiche non autorizzate (un problema comune negli host scadenti).
iThemes Security aumenta la sicurezza utilizzando la protezione tramite password e rafforza ulteriormente i certificati SSL per tutte le pagine, comprese quelle di amministrazione.
Stai seguendo le nostre guide su WordPress?
Funzioni di sicurezza di IThemes
- Autenticazione a due fattori per un URL di accesso più protetto
- SALT di WordPress e chiavi di sicurezza
- Pianificazione delle scansioni malware
- Genera password più sicure
- Google reCAPTCHA per tenere fuori i bot
WP Cerber Sicurezza
WP Cerber Security è un plugin di sicurezza WordPress difende il sito da attacchi di hacker, spam, trojan e malware.
Mitiga gli attacchi di forza bruta limitando il numero di tentativi di accesso, le richieste API XML-RPC/REST o utilizzando i cookie di autenticazione.
Tiene traccia delle attività degli utenti e dei malintenzionati con e-mail flessibili, notifiche mobile e desktop.
Blocca gli spammer utilizzando un motore antispam specializzato.
Utilizza Google reCAPTCHA per proteggere i moduli di registrazione, contatto e commenti.
Limita l’accesso con gli elenchi di accesso IP, monitora l’integrità del sito Web con uno scanner di malware avanzato e un controllo dell’integrità.
Rafforza la sicurezza di WordPress con una serie di regole di sicurezza flessibili e sofisticati algoritmi.