Blog
5 gennaio 2016 by Siti Web

Aumentare sicurezza WordPress: Guida definitiva 2016

Sicurezza WordPress: Guida definitiva 2016

La sicurezza WordPress è un argomento relativamente nuovo, in quanto è sempre stato affrontato con leggerezza dalla quasi totalità degli utenti.
Worpress è uno delle piattaforme più diffuse nel mondo del web, dunque è e sarà uno dei bersagli più importanti da parte degli hacker.
Generalmente gli attacchi mirano a inserire contenuto non autorizzato nei siti web con base WordPress per ottenere dei backlink che portano un momentaneo vantaggio SEO ad alcuni siti spazzatura.

La sicurezza di WordPress è una pratica ancora poco diffusa, lo capiamo guardando le ricerche che gli utenti fanno nei motori di ricerca. Pochi utenti cercano parole chiave come “sicurezza wordpress” oppure “come mettere in sicurezza wordpress“, probabilmente perché non hanno ancora conoscenza che il problema esiste e non è da sottovalutare.

Nel 2016 a proteggere il nostro computer da attacchi provenienti dall’esterno utilizzando metodi tradizionali come un antivirus e un firewall, dobbiamo difendere anche i nostri siti web con strumenti adeguanti, perché dal momento in cui vengono messi online, diventano soggetti di costanti attacchi.

Per renderci conto della gravità delle vulnerabilità di WordPress è sufficiente installare un plugin chiamato “Wordfence Security”, e monitorare gli attacchi in entrata al sito.
Il risultato è una continua notifica di utenti con IP prevalentemente provenienti dall’est Europa, che cercano di entrare nel sito e che vengono bloccati dal plugin dal plugin stesso.

Come mettere in sicurezza WordPress

sicurezza wordpress

Salva regolarmente dei backup

In caso di problemi anche gravi è molto utile, anzi indispensabile, avere sempre a portata di mano un backup quanto più aggiornato possibile del nostro sito web.
Oltre al backup dei file all’interno dell’FTP è importante salvare periodicamente anche il database collegato al nostro CMS. Nel database infatti sono salvati la quasi totalità dei contenuti di un sito web, eccetto i contenuti multimediali che sono salvati nell’FTP.

Questa operazione è possibile eseguirla manualmente, generalmente dal pannello fornito dall’host, oppure è possibile utilizzare dei plugin come ad esempio “WB DB Backup” che semplifica l’operazione di salvare un backup del database.
Se invece avete bisogno di salvare un backup completo che comprende sia il database che i file ftp potete installare “BackWPup”, oppure “UpdraftPlus” che oltre alla funzione di backup è in grado di ripristinare i file salvati.

Tieni WordPress e plugin sempre aggiornati

La forza di WordPress sta nell’essere in continua evoluzione e mutamento, e nell’essere un sistema aperto e monitorabile, quindi migliorabile.
Per questo la prima regola fondamentale è tenere sia il CMS che tutti i plugin sempre aggiornati all’ultima versione disponibile, nella quale si suppone che venga migliorata la sicurezza.

Usa credenziali difficili da individuare

Gli hacker nella maggior parte dei casi tentano di entrare nel nostro sito utilizzando metodi di brute force (forza bruta), cioè tentano di scovare le credenziali tramite dei software che provano ad oltranza combinazioni di username e password, prendendo spunto da un dizionario di parole e combinazioni che vengono usate più spesso.
Riguardo ai nomi degli utenti è importante non utilizzare nomi che vengono usati di frequente come ad esempio “admin”, “utente”, “amministratore”, o altri nomi che sono facilmente recuperabili come ad esempio nomi ricavati dal titolo del sito.
E’ importante anche per la password ricordarsi di non usare combinazioni prevedibili, o che richiamano il nome del sito stesso o date dell’anno . WordPress ci viene comunque incontro e dalle ultime versioni costringe l’utente che installa il CMS a utilizzare password sicure, quindi con combinazioni di caratteri difficili da trovare.

Nascondere l’indirizzo login ADMIN

Per evitare la maggior parte degli attacchi provenienti dall’esterno ci viene in aiuto un semplice ma potente trucchetto che può mettere i bastoni tra le ruote ai malintenzionati e aumentare la sicurezza WordPress.
Non tutti sanno infatti che, nell’ installare WordPress, è possibile cambiare l’indirizzo di login all’area riservata di WordPress, cioè il pannello di amministrazione o Back-end.
Per migliorare la sicurezza WordPress cioè è sufficiente installare uno dei numerosi plugin come ad esempio “iTheme Security”, oppure “rename-wp-login.php”.

Sicurezza WordPress: utilizza i captcha

Una volta che il nostro sito è “pubblicato”, diventa da subito bersaglio di attacchi che possono causare blocchi temporanei del sito o inserimento non voluto di contenuto nelle nostre pagine web.
In genere gli hacker utilizzano software che, tramite la forza bruta, provano tutte le combinazioni possibili di username e password per individuare le credenziali di accesso al tuo sito.
Per aumentare la sicurezza WordPress può essere utile inserire un captcha nella schermata di login.
Grazie a questo sistema i software che provano combinazioni casuali username e password vengono bloccati perché non sono in grado di riconoscere e completare il captcha, interrompendo così l’attacco.
Il miglior plugin per inserire un captcha nella pagina di login è “Better Login Security and History”, che oltre al captcha prende nota di tutti gli accessi eseguiti.

Disabilita l’accesso del pannello amministratore da mobile

Tutte le precauzioni che abbiamo preso fino adesso per mettere in sicurezza il nostro sito WordPress possono essere messe a rischio grazie ad una nuova falla scoperta dagli hacker per tentare di entrare dal pannello amministratore.
Gli hacker infatti riescono ad aggirare le protezioni e riescono ad entrare nel nostro sito dal pannello amministratore per mobile, che diventa una vera e propria porta d’accesso.
L’interfaccia XML-RPC, è un sistema a se stante che può essere per fortuna disabilitato in modo semplice utilizzando un plugin chiamato “Disable XML-RPC”.

Scannerizzare in sito con servizi esterni

E’ utile eseguire degli scan del proprio sito utilizzando dei servizi esterni che controllano da cima a fondo le nostre pagine e ci aiutano a scoprire se nel nostro sito web ci sono delle vulnerabilità.
Uno di questi servizi è sitecheck.sucuri.net il quale controlla se nel nostro sito web sono presenti malware, errori al sito o plugin da aggiornare.

Tenersi informati

E’ importante non abbassare mai la guardia, ma continuare ad informarsi e ad aggiornarsi sulle novità per capire come blindare WordPress con i suoi plugin.
Solo cosi è possibile conoscere e utilizzare le migliori tecnologie per affrontare la quasi totalità degli attacchi hacker.

Affidati agli esperti

Quando non hai tempo o la possibilità di tenere sicuro il tuo sito, è importante incaricare un esperto che lo faccia per te.
La pericolosità di un attacco hacker è enorme, oltre alla possibilità di rovinare l’immagine dell’azienda, per esempio con l’inserendo di link esterni o contenuti inerenti a casinò online e pornografia, c’è il grosso rischio di incorrere in penalizzazioni da parte di Google, che come sappiamo, sono difficili e impegnative in termini di risorse da rimediare.
Contatta ora senza impegno, la nostra agenzia Biquadro e affidati agli esperti per mettere in totale sicurezza il tuo sito in WordPress.

1 Comment

Agenzia Biquadro

Entra in contatto con la nostra Agenzia Web. Per qualsiasi richiesta vostra richiesta non esitate a contattarci, saremo lieti di aiutarti!

Telefono: 0423 759385
Email: info@biquadroagency.it
Modulo Contatti: Scrivici

Ultimi Lavori