Sicurezza WordPress: Trucchi e Plugin per mettere un blog al sicuro

In questa guida scoprirai come mettere al sicuro il tuo blog WordPress tramite plugin e piccoli trucchi da applicare subito nel tuo blog.

Perché fare sicurezza su WordPress?

Se ancora non ti è capito, ma purtroppo prima o poi succederà, anche avendo l’hosting più performante e qualificato del mondo è possibile subire un attacco da parte di hacker.

Questi criminali informatici compiono queste azioni per farsi pubblicità, per testare nuove tattiche oppure per semplice invidia.

La community di WordPress lavora costantemente per rilasciare aggiornamenti e patch di sicurezza ma saltano fuori sempre nuovi metodi per sfruttare falle di sicurezza e creare danni ad un sito che usa questo CMS.

Danni comuni di un attacco

Se il tuo blog viene preso di mira, potrei subire un vero e proprio deface, ossia la homepage e le pagine del blog vengono totalmente cambiate secondo l’intento del criminale.

La maggior parte degli attacchi proviene da Russia, Cina e Pakistan.

Un altro tipo di intrusione va a modificare specifiche pagine del sito inserendo link di affiliazione per procurare guadagni all’hacker a tua insaputa.

Infine c’è la vera e propria cancellazione, dove tutti i files del tuo sito vengono eliminati lasciandoti la cartella vuota. In questo caso se non hai una copia di backup, avrai perso tutto.

Esistono molti altri tipi di attacchi e ogni giorno se ne scoprono di nuovi.

Crea il tuo sito in 9 minuti

La nostra guida completa per creare il tuo sito WordPress dalla A alla Z in 9 minuti senza essere un esperto.

➤ Vai alla guida

Metodi per migliorare la sicurezza di WordPress

Iniziamo dal presupposto che non esiste un sito sicuro al 100%, anche mettendo in pratica tutti i consigli che troverai online, perché c’è sempre il fattore umano e tante altre falle di sicurezza note solo a pochi.

D’altra parte applicando questi accorgimenti ridurrai esponenzialmente il numero di tentativi di intrusione e sicuramente avrai un sito più sicuro.

Mantieni WordPress aggiornato

Assicurati di avere sempre l’ultima versione di WordPress perché la community lavora senza sosta per applicare delle toppe sulle vulnerabilità che vengono segnalate dagli utenti.

In questo modo, proteggerai il tuo blog da vulnerabilità che sono state chiuse di recente, lasciando a bocca asciutta gli hacker meno aggiornati.

Oltre a WordPress in sè, dovresti tenere aggiornato anche il tema grafico e i vari plugin perché spesso sono proprio questi ad avere problematiche sfruttate da chi organizza un attacco.

Utilizza Password sicure

Il fattore umano gioca un ruolo determinante nella sicurezza di un sito, dato che possono essere chiuse tutte le vulnerabilità del CMS, ma se usi password come pippo o la tua data di nascita, purtroppo con un semplice bot è possibile scoprirle in pochissimo tempo.

Se un hacker possiede la tua password FTP oppure WordPress può fare quello che vuole con il tuo sito.

Una password sicura possiede tutte le seguenti componenti:

  • lettere maiuscole e minuscole non consecutive
  • numeri
  • simboli speciali come $ % £
  • lunghezza di almeno 15 caratteri

Ad esempio una password sicura potrebbe essere y&sT%4s&5Hjs£dus

Usa un hosting sicuro

Gli hosting migliori spesso offrono buoni livelli di protezione da attacchi DDos, firewall, backup automatici, configurazioni apposite e altri addon per la sicurezza come gli antispam per la posta elettronica.

Limita i tentativi di login e attiva un firewall

Usando plugin per la sicurezza come All in One Security puoi specificare molte misure di sicurezza, tra cui limitare il numero di login e persino il percorso usato per accedere all’area di amministrazione.

Oltre a questo puoi anche decidere di bloccare un IP se effettua più di 5 tentativi errati di login.

Modifica il nome utente dell’amministratore e il prefisso delle tabelle

Quando configuri un nuovo blog WordPress ti viene suggerito il nome admin come username per accedere a WordPress ma risulta essere un grande vantaggio per un eventuale hacker.

Puoi usare un altro username in modo da rendergli la vita molto più difficile.

Nella medesima finestra viene anche suggerito il prefisso wp_ per le tabelle nel database, ma puoi modificarlo in modo da evitare il funzionamento di query sul database verso percorsi noti.

Usa un file .htaccess sicuro

Se il tuo hosting offre accesso al file .htaccess che trovi in /public_html puoi scrivere a mano alcune regole di sicurezza efficaci.

  • Blocca la navigazione per cartella
  • Proteggi il file wp-config.php
  • Blocca l’accesso a IP sospetti
  • Blocca l’accesso al file .htaccess
  • Blocca l’accesso alle richieste a xmlrpc.php

Puoi fare tutte queste misure di sicurezza aggiungendo questo codice nel tuo file .htaccess sotto le istruzioni già presenti.

Per disabilitare queste regole di sicurezza, basta rimuoverle.

Options -Indexes
<files wp-config.php>
order allow,deny
deny from all
</files>
<Limit GET POST>
order allow,deny
deny from xxx.xxx.xx.x
allow from all
</Limit>
<files ~ "^.*\.([Hh][Tt][Aa])">
order allow,deny
deny from all
satisfy all
</files>
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>

Perché non condividi questo articolo? Grazie!

The following two tabs change content below.

Federico Magni

Ciao, sono Federico Magni e mi occupo di WordPress dal 2007. Vorrei offrirti risorse gratuite e consigli pratici per rendere più efficace il tuo sito e ottenere i risultati che ti meriti in termini di visite, vendite e iscritti.

Altri articoli di Federico Magni (vedi tutti)

E tu cosa ne pensi?

Ricevi le migliori guide WordPress via WhatsApp

GRATIS E TI CANCELLI QUANDO VUOI
ISCRIVITI GRATIS

Crea grafiche e marketing VINCENTI

PROVA GRATIS E TI CANCELLI QUANDO VUOI
PROVA GRATIS
Crea gratis grafiche e marketing vincenti.
PROVA GRATIS