10 Consigli per la sicurezza WordPress utilizzabili per Layman

Articolo scritto da:
  • WordPress
  • Aggiornato: Jun 06, 2018

Da quando è stato introdotto per la prima volta più di vent'anni fa, WordPress è cresciuto (e cresciuto) e ora può essere tranquillamente nominato come il sistema di gestione dei contenuti più popolare al mondo. Oggi, più di un quarto dei siti Web esistenti sono eseguiti su WordPress.

Tuttavia, da tempo immemorabile, più è popolare, più la gente vuole sfruttarla per mezzi nefandi. Basta guardare Microsoft Windows e il enorme numero di malware, virus e altri exploit progettato per indirizzare solo questo specifico sistema operativo.

Le versioni di WordPress 10 con la maggior parte delle vulnerabilità (source). La ricerca in 2017 ha identificato 74 diverse versioni di WordPress in Alexa Top 1 milioni di siti web; 11 di queste versioni non sono valide, ad esempio la versione 6.6.6 (source).

Perché il tuo blog WordPress è un obiettivo prezioso?

Nel caso ti stia chiedendo perché mai un hacker vorrebbe controllare il tuo blog WordPress, ci sono diversi motivi tra cui;

  • Usandolo per inviare segretamente email di spam
  • Ruba i tuoi dati come una mailing list o i dati della carta di credito
  • Aggiunta del tuo sito a una botnet che possono usare in seguito

Fortunatamente, WordPress è una piattaforma che ti offre una moltitudine di opportunità per difenderti. Avendo aiutato a configurare e amministrare personalmente diversi siti Web e blog, mi piacerebbe condividere con voi alcune delle cose più basilari che potete fare per proteggere il vostro sito WordPress.

Ecco i consigli di sicurezza utilizzabili da 10 che puoi utilizzare.

Suggerimento #1. Scegli un buon nome utente amministratore

Per esperienza, la maggior parte dei tentativi di hacking del sito tenta di accedere con tre scelte principali di nomi utente. I primi due sono sempre "admin" o "administrator", mentre il terzo è in genere basato sul nome del tuo dominio.

Ad esempio, se il tuo sito è crazymonkey33.com, l'hacker potrebbe tentare di accedere con "crazymonkey33".

Non è una buona idea.

Mancia #2. Assicurati di utilizzare una password complessa

Ormai probabilmente penseresti che le persone saprebbero usare password complesse e complesse per proteggere il loro account, ma ci sono ancora molti che pensano che la "password" sia ottima.

Una password complessa includerà una combinazione di:

  • Caratteri maiuscoli e minuscoli
  • Essere alfanumerico (AZ e az)
  • Includi un carattere speciale (!, @, #, $, Ecc.)
  • Almeno caratteri 8 di lunghezza

Più è casuale la tua password, più sicura sarà. Prova questo generatore di password casuali se hai problemi a trovarne uno. https://passwordsgenerator.net/

Suggerimento #3. Implementare un reCaptcha

Wall bop off dal tuo blog WP.

reCaptcha è stato progettato per impedire agli strumenti automatizzati di lavorare su un sito. Naturalmente, data la complessità degli strumenti di hacking oggi, questi possono essere facilmente aggirati, ma almeno c'è un ulteriore livello di sicurezza.

Ci sono un numero di plugin di reCaptcha puoi usare con la tua installazione che funzionerà praticamente fuori dalla scatola.

Suggerimento #4. Utilizza l'autenticazione a due fattori (2FA)

2FA è un metodo di autenticazione che richiede una verifica per il tuo accesso. Ad esempio, una volta effettuato l'accesso con nome utente e password, il sistema potrebbe inviare un SMS al tuo telefono cellulare o inviarti un'email con un codice da inserire per verificare la tua identità.

Questo metodo di autenticazione offre una buona protezione e oggi è utilizzato da molte banche e istituzioni finanziarie. Ancora una volta, questa esigenza può essere facilmente soddisfatta con a Plugin 2FA.

Guarda come miniOrange (un plugin 2FA) funziona con l'accesso a WordPress nel seguente video.

T

Suggerimento #5. Rinomina il tuo URL di accesso

La maggior parte degli hacker tenterà di accedere attraverso la pagina di accesso wordpress predefinita, che di solito è qualcosa come sample.com/wp-admin.

Per aggiungere un ulteriore livello di protezione, modifica l'URL della pagina di accesso in modo rapido e semplice con uno strumento simile WPS Nascondi accesso.

Tip #6. Proteggi la tua directory wp-admin

Aggiungi un ulteriore livello di sicurezza alla tua directory host.

La directory wp-admin è il cuore della tua installazione di WordPress. Come ulteriore salvaguardia, la password protegge questa directory.

Per fare ciò, è necessario accedere al pannello di controllo dell'account di hosting. Se stai usando cPanel or Plesk, l'opzione che stai cercando è 'Directory di protezione password'.

Mancia #7. Usa SSL per crittografare i dati

Connessione HTTP vs HTTPS (Fonte: Sucuri)

Oltre al sito stesso, dovrai anche salvaguardare la connessione tra te e il server ed è qui che entra in campo SSL per crittografare le tue comunicazioni. Con una connessione crittografata, gli hacker non saranno in grado di intercettare i dati (come la tua password) quando comunichi con il tuo server.

A parte questo, è anche buona norma implementare SSL ora dato che i motori di ricerca stanno penalizzando sempre più i siti che considerano "non sicuri".

Ulteriori informazioni su SSL nel nostro esaustivo Guida AZ a SSL.

Suggerimento #8. Assicurati che TUTTO il tuo software sia aggiornato

Non importa quanto sia buono o costoso il software, ci saranno sempre nuovi punti deboli che potrebbero lasciarli aperti all'exploit. WordPress non fa eccezione e il team rilascia costantemente nuove versioni con correzioni e aggiornamenti.

Gli hacker cercano quasi sempre di sfruttare la debolezza e un exploit conosciuto che viene lasciato non risolto è semplicemente una richiesta di guai. Questo vale il doppio per i plugin che sono spesso creati da aziende molto più piccole con meno risorse.

Se utilizzi plug-in, assicurati che gli aggiornamenti vengano rilasciati regolarmente o prendi in considerazione la possibilità di trovarne uno con funzionalità simili che viene aggiornato.

Detto questo, NON lo consiglio aggiornamenti automatici di WordPress e Plugin, soprattutto se stai eseguendo un sito live. Alcuni aggiornamenti possono causare problemi, sia internamente che in conflitto con altri plug-in e impostazioni.

Idealmente, crea un ambiente di test che rispecchi il tuo sito live e testane gli aggiornamenti. Una volta che sei sicuro che tutto funzioni correttamente, puoi applicare l'aggiornamento al sito live.

Pannelli di controllo come Plesk ti danno la possibilità di creare un clone del sito per questo scopo.

Suggerimento #9. Utilizzare una rete di distribuzione del contenuto (CDN)

Anche se questo potrebbe non salvare il tuo sito da hacker, aiuta a mitigare attacchi malevoli contro di esso. Alcuni hacker mirano a far cadere siti Web, rendendoli inaccessibili al pubblico. Un CDN contribuirà ad attenuare il colpo di un attacco Distributed Denial of Service sul tuo sito.

A parte questo, aiuta anche a velocizzare il tuo sito un po 'nascondendo del contenuto. Per esplorare questa opzione, guarda CloudFlare come esempio. CloudFlare offre servizi CDN a livelli di prezzi a più livelli, quindi puoi persino utilizzare le funzionalità di base gratuitamente. https://www.cloudflare.com

Suggerimento #10. Backup, backup e backup!

Non importa quali siano le misure di sicurezza o quanto cauti, gli incidenti accadono. Salva te stesso da uno schianto e da centinaia di ore di lavoro semplicemente assicurandoti di avere a disposizione servizi di backup adeguati.

Normalmente il tuo host web dovrebbe avere almeno alcune funzionalità di backup di base, ma se sei paranoico come me, assicurati sempre di eseguire i tuoi backup indipendenti. Eseguire il backup non è semplice come copiare semplicemente alcuni file, ma anche prendere in considerazione le informazioni nel database.

Cerca una soluzione di backup che sia provata e comprovata. Anche un piccolo investimento ne vale la pena per risparmiare sulle lacrime in caso di emergenza. Qualcosa di simile a BackupBuddy può aiutarti a salvare tutto incluso il tuo database in una volta sola.

Bonus Suggerimento: il tuo host web conta!

Sebbene tradizionalmente le società di web hosting offrissero semplicemente lo spazio per ospitare i nostri siti web, i tempi sono cambiati. I provider di hosting Web, riconoscendo l'urgente necessità di aumentare la sicurezza, hanno intensificato, con molti servizi a valore aggiunto per completare il loro web hosting.

Prendi per esempio HostGator, uno dei nomi più affermati nel gioco. Oltre alle funzionalità di base di Cloudflare, HostGator (al prezzo di $ 10 + / mo) include anche la protezione antispam, la rimozione automatica dei malware, i backup automatici, la privacy del dominio e altro.

Gestore di hosting gestito WordPress, Kinsta, crea firewall hardware e monitora attivamente i loro server per rilevare malware e attacchi DDoS con il suo sistema personalizzato.

Se questo è qualcosa che non ti è ancora venuto in mente, ti incoraggio vivamente a esaminare le funzionalità di sicurezza fornite dal tuo host e confrontarlo con le informazioni attualmente disponibili.

Per un elenco completo è possibile effettuare il check-out La raccolta di host web WHSR qui.

Adesso cosa?

Prima di scatenarti e iniziare a setacciare Internet in preda al panico alla ricerca di un milione e una soluzione di sicurezza, fai un respiro profondo. Come per tutto il resto, qualcuno ti ha già aiutato nel panico e ha cercato una soluzione.

Anche se implementerai tutte le soluzioni di sicurezza che riesci a trovare, sei tu sicuro sei al sicuro?

Ecco dove qualcosa Sicurezza Ninja entra, che ti aiuta a sondare il tuo sito per i punti deboli.

Demo rapida: come funziona Security Ninja.

Ci sono un paio di validi motivi per usare qualcosa come Security Ninja, ma lasciatemi dire che è uno strumento che consiglio di utilizzare in più fasi del tuo viaggio per proteggere il tuo sito.

Innanzitutto, eseguilo sul tuo sito web così com'è, prima di apportare modifiche. Lascia che il plugin colpisca e pungoli il tuo sito prima di darti i risultati.

Quindi, sulla base di questi risultati, lavora per proteggere il tuo sito. Security Ninja esegue più di 50 test per sondare le tue difese. Anche dopo aver apportato le modifiche, eseguirlo di nuovo (e ogni volta ci sono modifiche al sito o aggiornamenti del plugin) solo per testare il tuo sito.

Se questo suona come un po 'troppo lavoro per te, Security Ninja viene fornito con una serie di moduli aggiuntivi (versione pro, sito singolo $ 29) che può aiutarti a risolvere i problemi che trova.

Alcune altre caratteristiche chiave in questi moduli includono:

  • Scansiona i file core WP per identificare i file problematici
  • Ripristina i file modificati con un clic
  • Correggere gli aggiornamenti automatici WP rotti
  • Divieto 600 di milioni di IP errati raccolti da milioni di siti attaccati
  • Elenca gli aggiornamenti automatici, non è necessaria alcuna manutenzione o lavoro manuale
  • Proteggi il modulo di accesso dagli attacchi brute-force

Considerazioni finali

Mentre tutto ciò può sembrare un po 'eccessivo per l'utente medio di WordPress, ti assicuro che tutto questo (e altro) è necessario. Ignorando le statistiche di hacking in tutto il mondo e quant'altro per un po ', vorrei condividere con te alcune informazioni personali su uno dei siti più oscuri che aiuto a gestire.

Inizialmente iniziato come un semplice sito di biografia, ho creato www.timothyshim.com. Ovviamente, è stato solo qualcosa che ho impostato e il più delle volte lasciato in pace, semplicemente come punto di riferimento. Per ogni mese, questo sito che fondamentalmente non fa nulla e non raccoglie dati, affronta gli attacchi 30 - una combinazione di forza bruta e complessi.

Tutto quello di cui ha bisogno è che uno di loro abbia successo e io vorrei avere un veramente brutta giornata.

A proposito di Timothy Shim

Timothy Shim è uno scrittore, editore e appassionato di tecnologia. Iniziando la sua carriera nel campo dell'Information Technology, ha rapidamente trovato la sua strada nella stampa e da allora ha lavorato con titoli internazionali, regionali e nazionali tra cui ComputerWorld, PC.com, Business Today e The Asian Banker. La sua esperienza risiede nel campo della tecnologia dal punto di vista sia dei consumatori che delle imprese.