Per molti siti WordPress, semplicemente è sufficiente prendere piccole misure per proteggere un sito web ed evitare che venga violato.
WordPress è un obiettivo frequente per l’hacking. Gli hacker prendono di mira il tema, i file principali di WordPress, i plugin e persino la pagina di login.
In questo articolo vedremo i passi da fare per proteggere efficacemente il tuo sito dagli hacker e quali sono I plugin migliori per la sicurezza.
Indice:
Come gli hacker attaccano WordPress
I 5 consigli top per proteggere il tuo sito
Come gli hacker attaccano WordPress
Tutti i siti sul web sono sotto costante attacco. Che si tratti di un forum phpBB o un sito WordPress, tutti i siti sono sondati dagli hacker. Non è insolito per un hacker scansionare migliaia di pagine e provare ad accedere centinaia di volte al giorno. I siti sono sotto attacco da diversi hacker allo stesso tempo.
Di solito non è una persona che sta cercando di accedere al tuo sito. Gli hacker impiegano un software automatizzato che sonda le debolezze specifiche del sito web.
Questi programmi software automatizzati che scansionano il web sono chiamati bot. Li chiamo bot hacker per distinguerli dai bot scraper (software che cerca di copiare contenuti).
I 5 consigli top per proteggere il tuo sito
1. Proteggi il tuo sito WordPress con un firewall
Un firewall è un programma software che blocca un intruso. A mio parere, il miglior firewall per WordPress è un plugin chiamato Wordfence.
Wordfence controlla se il comportamento di un visitatore del sito web corrisponde a quello di un bot abusivo. Se il bot infrange certe regole, come chiedere troppe pagine web in un breve lasso di tempo, Wordfence blocca automaticamente il bot.
Wordfence è anche programmato per consentire ai bot legittimi come Google e Bing di accedere al sito.
Ci sono caratteristiche avanzate che permettono ad un hosting di vedere quali bot stanno attaccando un sito e di vedere da dove il bot proviene, come se si tratta di un cattivo bot proveniente da Amazon Web Services o Bluehost per esempio. Wordfence fornisce all’hosting provider la possibilità di bloccare il bot in base al suo indirizzo IP, l’intero intervallo di indirizzi IP, o anche in base a un falso user agent del browser che il bot sta utilizzando.
Informazioni sugli agenti utente (UA)
Un user agent è un’informazione identificativa che un browser invia per dire a un sito web che browser è (Chrome, Firefox) e su quale sistema operativo sta operando (Windows 10, Mac OS X).
I bot usano molti user agent diversi per ingannare i siti web. Per esempio, alcuni bot fingono di essere un browser su Windows XP.
La quantità effettiva di utenti reali su Win XP è vicina allo zero, posso creare una regola con Wordfence per bloccare tutti gli user agent con Windows XP come sistema operativo e con quell’unica regola, posso bloccare migliaia di bot cattivi, indipendentemente dal paese da cui provengono o dall’indirizzo IP.
I bot cattivi a volte rispondono cambiando in un altro user agent, quindi combinando queste regole, un hosting provider ha la possibilità di bloccare una vasta gamma di bot hacker cattivi.
La versione a pagamento di Wordfence può bloccare interi paesi. Quindi, se non hai visitatori legittimi del sito da alcuni paesi, puoi bloccare tutti i visitatori che provengono da quei paesi.
Inoltre, la versione a pagamento di Wordfence vi proteggerà in anticipo da molti temi e plugin compromessi prima che questi plugin vengano corretti.
Un altro plugin gratuito che fornisce un ulteriore livello di protezione è chiamato Sucuri Security.
Sucuri aiuta ad indurire la sicurezza di WordPress per impedire ai bot cattivi di trarre vantaggio da certi tipi di attacchi. Ha anche una funzione di scansione malware che controlla tutti i file per vedere se sono stati alterati.
Sucuri vi avviserà ogni volta che qualcuno accede al vostro sito, aiutando gli hosting a identificare se un hacker sta facendo il login. Sucuri può anche avvisare un hosting se un file è stato modificato, cosa che gli hacker fanno.
Queste sono le caratteristiche della versione gratuita di Sucuri:
✓ Controllo delle attività di sicurezza.
✓ Monitoraggio dell’integrità dei file.
✓ Scansione remota del malware.
✓ Monitoraggio delle blacklists.
✓ Efficace irrobustimento della sicurezza.
✓ Azioni di sicurezza post-hack.
✓ Notifiche di sicurezza.
Wordfence e Sucuri sono a mio parere le scelte migliori per la sicurezza di WordPress.
LEGGI QUI IL MIO ARTICOLO: I 6 migliori plugin WordPress per la sicurezza del tuo sito
2. Limita i login al tuo sito
WordFence è in grado di bloccare i bot che compilano ripetutamente i nomi utente e le password sulla pagina di login di WordPress.
Ma se volete concentrarvi sulla limitazione dei login, c’è un plugin chiamato Limit Login Attempts Reloaded che permette agli editori di bloccare automaticamente tutti gli hacker che inseriscono un certo numero di combinazioni di nome e password fallite.
3. Backup del tuo sito WordPress
È importante creare automaticamente un backup giornaliero del tuo sito web. Qualsiasi evento catastrofico può essere recuperato con un backup.
Ci sono molte soluzioni di backup per WordPress che possono essere configurate per inviare i backup via e-mail ogni giorno o inviarli a un luogo di archiviazione cloud come Dropbox e ripristinare il sito esattamente come era prima.

4. Aggiornare tutti i temi e i plugin
È importante aggiornare sempre tutti i temi e i plugin. WordPress fornisce un modo per aggiornare tutti i plugin automaticamente, il che è comodo per le aziende che non si collegano e fanno aggiornamenti spesso.
Abilitando la funzione di aggiornamento automatico puoi essere sicuro di avere il software più aggiornato. Avere un plugin non aggiornato è una delle principali cause di hacking.
Ci sono ragioni per non abilitare la funzione di aggiornamento automatico, ma gli aspetti negativi tendono a verificarsi raramente. Ad esempio, un plugin aggiornato potrebbe essere incompatibile con altri plugin.
5. Attenzione ai plugin abbandonati
Alcuni plugin possono continuare a funzionare anni dopo essere stati abbandonati dal loro sviluppatore. Quello che può succedere è che questi vecchi plugin possono contenere una vulnerabilità. Ma poiché sono abbandonati, non saranno mai riparati.
Gli hacker a volte comprano vecchi plugin e li aggiornano con malware e virus.
Controllate tutti i vostri plugin WordPress per assicurarvi che non siano stati abbandonati e che sembrano essere aggiornati su una base abbastanza frequente.
Per molti siti, semplicemente eseguendo questi piccoli passi per proteggere un sito web è sufficiente per evitare che i siti vengano violati. Le versioni gratuite di questi plugin forniscono una straordinaria quantità di protezione e le versioni premium danno ancora più protezione.

Con questo articolo ti ho mostrato le 5 best practices per ostacolare gli attacchi hacker al tuo sito WordPress. Se hai bisogno di un consiglio contattami qui.
Un saluto.
Irina
Recent Comments