Questo articolo è stato originariamente scritto nel febbraio 2014 e riceve aggiornamenti regolari man mano che cambiano le tattiche.
Suggerimento:se il tuo sito Web è attualmente compromesso, questa non è la guida che desideri. Consulta la nostra guida alla pulizia di un sito WordPress compromesso. Poi torna qui per rafforzarlo dopo il sito web è stato pulito.
Come e perché i siti web vengono deturpati, violati o corrotti?
La maggior parte dei siti è compromessa da vulnerabilità note in applicazioni e script basati sul Web obsoleti . In poche parole, ciò significa che se esegui versioni obsolete di software popolari come bacheche, software di blog o sistemi di gestione dei contenuti, il tuo sito Web potrebbe essere a rischio. Altri modi in cui un sito Web viene comunemente compromesso sono dovuti a password non sicure o rubate e autorizzazioni file errate.
Perché qualcuno dovrebbe voler hackerare il mio sito web? Non memorizzo alcuna informazione personale o finanziaria sul mio sito, quindi non dovrei preoccuparmene, giusto? Molte persone pensano che, poiché pensano che nessuno voglia compromettere il loro sito Web, non devono preoccuparsi della sua sicurezza. Smettila .
Anche se potrebbero non volere nessuna delle informazioni sul tuo sito, la maggior parte delle volte il tuo sito verrà utilizzato per diffondere virus, spyware o ingannare i tuoi visitatori affinché visitino i siti con loro. La maggior parte dei siti compromessi che vediamo hanno codice dannoso iniettato nei file per fare proprio questo.
Plugin e strumenti di sicurezza
Fai attenzione ai plugin e agli strumenti di sicurezza di WordPress. La maggior parte di loro tende a concentrarsi sulla prevenzione di ulteriori danni dopo qualcuno ha già violato il tuo sito o ha nascosto cose come la tua pagina di accesso a WordPress (che è come gettare un foglio sulla tua porta e sperare che nessuno se ne accorga), piuttosto che prevenire effettivamente le intrusioni.
Dopo che qualcuno ha ottenuto l'accesso, è eccezionalmente difficile accertare ciò che ha fatto, quindi è molto più importante bloccarlo in primo luogo. Pertanto, i nostri suggerimenti si concentrano sui tipi di modifiche che puoi apportare al tuo sito per evitare intrusioni .
Potresti pensare "ma non ti mancano dozzine di altre pratiche di sicurezza?!" Forse ne hai letto su altri blog o da altri provider di hosting o esperti di WordPress. Ci sono un sacco di articoli là fuori con oltre 50 miglioramenti di sicurezza che puoi apportare a WordPress... a nostro avviso qualsiasi cosa in più di quello che vedi qui sotto è eccessivo. La maggior parte di queste oltre 50 modifiche è progettata per impedire agli strumenti automatici di infliggere danni dopo hanno già ottenuto l'accesso amministrativo al tuo sito web. Seguire ogni passaggio di questa guida ti avvierà invece sulla strada per impedire l'accesso al tuo sito Web WordPress in primo luogo.
10 modi per rafforzare il tuo sito web
Suggerimento n. 1 :Esegui backup regolari! (Se ospiti con noi, ecco come automatizzare i backup) Se disponi di un backup, il ripristino di un backup è di ordini di grandezza più rapido e semplice rispetto alla pulizia di un sito WordPress compromesso.
1. Installa un plug-in Limit Login Attempts
Nota:questo è facoltativo se ospiti con noi. Il motivo può essere trovato nella casella sottostante.
Questo plug-in ti consentirà di limitare il numero di tentativi di accesso non riusciti per la dashboard di WordPress. Ciò proteggerà dalle persone che tentano di accedere al tuo sito Web con password casuali più e più volte nel tentativo di "forza bruta" del sistema. Puoi scaricare il plugin qui, che imposterà il limite a 3 tentativi.
Se hai utilizzato il nostro programma di installazione di applicazioni Web con un clic, questo plug-in dovrebbe essere installato per impostazione predefinita. In caso contrario, puoi installarlo utilizzando il link qui sopra.
Sapevi che il nostro hosting WordPress è dotato di strumenti a livello di server per rilevare automaticamente più tentativi di accesso dallo stesso IP e vietare gli indirizzi IP dannosi? Installare un plugin non fa male, ma con il nostro hosting non è più essenziale!
2. Utenti amministratori:utilizza password sicure e controllale
Non utilizzare mai una password "temporanea" che prevedi di modificare in un secondo momento:è troppo facile dimenticarsi di modificarla. Quando vai a cambiare la tua password in WordPress sotto Utenti, per impostazione predefinita fornisce una password sicura generata automaticamente. Si prega di utilizzare quello che fornisce e non provare a usarne uno tuo, che probabilmente sarà più debole.
Se hai difficoltà a conservare/ricordare password lunghe, non ti biasimo:usa un gestore di password come LastPass o 1Password che terrà traccia di tutte le tue password generate casualmente per te e le bloccherà tutte con una password principale sicura.
Si consiglia inoltre di controllare gli utenti amministratori ogni pochi mesi eliminando gli utenti amministratori non necessari. Imposta un'attività nel software dell'elenco delle cose da fare che preferisci per farlo trimestralmente.
3. Aggiorna sempre il tuo software
Nota:gli aggiornamenti sono automatizzati al 100% se ospiti il tuo sito wordpress con noi, assicurati che tutti i plug-in o i temi premium abbiano le loro licenze attivate e che gli aggiornamenti automatici siano abilitati nelle app Web con 1 clic.
Ciò include il software principale di WordPress, tutti i plug-in e tutti i temi che hai installato. Questo passaggio, combinato con password sicure, sono i due passaggi più importanti . Gli sviluppatori di WordPress e di plugin e temi rilasciano aggiornamenti sia per aggiungere funzionalità che per riparare falle di sicurezza. È fondamentale aggiornare il software ogni volta che è disponibile una nuova versione.
Se stai utilizzando plugin o temi commerciali, assicurati di seguire le loro istruzioni per salvare una chiave di licenza alle impostazioni del plug-in per abilitare l'aggiornamento automatico. Questa è un'opzione per la maggior parte dei plugin commerciali come BeaverBuilder, Gravity Forms e le estensioni WooCommerce.
Se il tuo tema o plug-in commerciale non supporta l'aggiornamento automatico, dovrai aggiungere un'attività ricorrente al software dell'elenco delle cose da fare preferito per verificare regolarmente la presenza di aggiornamenti e installarli manualmente. Quando incontriamo tali plug-in, lo sviluppatore deve aggiungere l'aggiornamento automatico e, se non lo desidera, troveremo un'alternativa. Questo perché non vale il tempo necessario per stare al passo con gli aggiornamenti manuali dei plugin o dei temi.
4. Elimina il vecchio software
Se hai più versioni di WordPress installate sul tuo sito web (o qualsiasi altro software per quella materia) e non ne usi più una, dovrai comunque assicurarti che sia aggiornata o rimuoverla completamente. Le installazioni software obsolete e dimenticate sono un metodo molto comune con cui gli strumenti di hacking automatizzati ottengono l'accesso al tuo sito web.
Lo stesso vale per i plugin e i temi installati. Se non li stai utilizzando, rimuovili!
5. Abilita e forza HTTPS
Usare HTTPS invece dell'insicuro HTTP è facile di questi tempi!
- Fai clic qui per sapere come installare un certificato Let's Encrypt sul tuo dominio
- Segui la nostra guida per scoprire come forzare HTTPS su tutto il tuo sito web.
Ora tutti gli accessi a WordPress saranno completamente protetti end-to-end. Nessuna password può essere sniffata via cavo!
6. Usa un plugin di sicurezza come WordFence o Sucuri
Ci sono alcune cose da notare al riguardo:
- Se sei ospitato da noi, questo non è uno strumento essenziale. Utilizziamo una combinazione di firewall che bloccano quasi tutti gli stessi tipi di tentativi di intrusione di WordFence, dagli attacchi di forza bruta al sondaggio della vulnerabilità.
- Molti plug-in di sicurezza sono una finzione che fornisce solo consigli e non proteggono attivamente il tuo sito web. Riteniamo che WordFence sia il migliore del gruppo, con Sucuri al secondo posto.
- WordFence è anche utile quando si pulisce un sito Web compromesso poiché tende a trovare la maggior parte file infetti e pulirli automaticamente.
- Se sei su un VPS, non fa male abilitare le scansioni settimanali di WordFence. Se utilizzi l'hosting condiviso, l'abilitazione di tali scansioni potrebbe consumare risorse inutilmente, in particolare se implementerai tutto il resto in questo elenco e se ospiti con noi.
Nota:ne abbiamo testati molti di questi strumenti per giungere a queste conclusioni. Abbiamo persino visto alcuni cosiddetti plug-in di sicurezza precedentemente installati su siti che sono stati violati:hanno fatto molto bene!
7. Nega l'accesso per accedere a chiunque tranne te stesso
Questo passaggio non è essenziale se disponi già di password molto sicure per tutti i tuoi utenti a livello di amministratore, tuttavia non c'è nulla di male nell'applicarlo se ti piace indossare un cappello di carta stagnola.
Leggi la nostra guida per sapere come proteggere con password la tua cartella wp-admin con l'autenticazione HTTP. Seguendo la guida, la cartella da inserire sarà la cartella wp-admin.
Una volta completato, avrai due livelli di immissione della password prima di raggiungere l'amministratore, HTTP Auth e il tuo accesso amministratore WordPress standard. Assicurati di rendere le password diverse; se sono uguali, un bot che cerca di indovinarli non avrà alcun problema dopo aver superato il primo livello.
8. Esegui l'ultimo PHP in modalità Fast-CGI o FPM quando possibile.
Se stai utilizzando un pannello di controllo aggiornato, potrai scegliere tra l'esecuzione di PHP tramite FastCGI o Apache PHP. Scegli il metodo FastCGI o FPM quando possibile.
In WordPress, ci sono molti temi e plugin che pensano di aver bisogno di permessi di accesso globale 777 impostati per poter scrivere correttamente nelle cartelle e caricare contenuti. Si sbagliano nella maggior parte dei casi. "777" significa che chiunque sia ospitato su quel server può leggere, scrivere ed eseguire qualsiasi file che dispone di tali autorizzazioni.
Questo è un grosso rischio per la sicurezza ed è un grosso problema se ti trovi in un ambiente di web hosting condiviso. Se un altro sito web viene compromesso sullo stesso server, sarà in grado di accedere a tutti i tuoi file e cartelle che hanno il set di autorizzazioni 777.
L'uso della modalità FastCGI o FPM costringe PHP a funzionare come nome utente ed eviterà del tutto questi problemi e funzionerà alla grande con le autorizzazioni predefinite per file e cartelle. Se stai ospitando con noi, la modalità FPM o FastCGI è l'impostazione predefinita per il tuo sito web.
Assicurati di eseguire l'ultima versione di PHP. Solo le ultime due versioni principali sono regolarmente supportate dagli sviluppatori PHP, quindi l'esecuzione di versioni precedenti come la 7.0 o precedenti (a partire da dicembre 2019) potrebbe creare rischi per la sicurezza del tuo sito.
9. Non archiviare mai le tue password sul tuo computer a meno che non siano crittografate
Molti programmi sul tuo computer memorizzano effettivamente le tue password in testo normale. Ciò significa che se hai un virus o un particolare spyware sul tuo computer, potrebbe essere in grado di accedere all'FTP o alle credenziali basate sul Web per l'installazione di WordPress o del tuo sito web.
Se vuoi salvare le tue password nelle tue applicazioni assicurati di verificare se sono crittografate o memorizzate in testo normale. Ad esempio, qualsiasi applicazione che memorizza le password utilizzando il sistema Keychain di Apple, dispone di un archivio delle password completamente protetto. Sfortunatamente FileZilla non lo è una di queste app, quindi il salvataggio della password nello strumento di gestione del sito di FileZilla potrebbe essere problematico se il tuo computer viene infettato da un virus che sa cercare i file di dati di FileZilla.
10. Assicurati di eseguire sempre un software anti-malware sul tuo computer
Anche se questo dovrebbe essere ovvio, è molto comune che le persone non eseguano nessuno di questi. Non importa quanto sia sicuro il tuo sito web o il tuo server se le persone sono in grado di ottenere le tue password dal tuo personal computer .
Se segui questi suggerimenti, ci sono solo due metodi rimanenti che potrebbero essere utilizzati per hackerare il tuo sito:
- Vulnerabilità zero day, dalle quali è impossibile prevedere e proteggersi, sebbene la risposta migliore sia rapida aggiornamenti, che la nostra utilità di app Web con 1 clic gestisce per te.
- Ingegneria sociale, in cui qualcuno ti induce con l'inganno a rivelare la tua password. Per evitare ciò, sii vigile e non rivelare la tua password.