Oggi ci occuperemo assieme di un tema scottante la sicurezza di WordPress…e in generale come evitare malware e o un possibile attacco hacker al tuo sito.
In questo breve articolo proveremo ad analizzare assieme alcuni semplici accorgimenti che chiunque anche il web designer alle prime armi può ( e deve) utilizzare per rafforzare la sicurezza del proprio sito in WordPress e prevenire un possibile attacco hacker.
E tu cosa fai per garantire la sicurezza di un sito?Ti è mai capitato di subire un attacco hacker?Quanto ne sai di malware?
Per proteggere il tuo sito in WordPress ed evitare che venga compromesso, o magari infettato da malware che ne possono compromettere il corretto funzionamento e compromettere l’account amministratore, devi seguire alcune precauzioni di sicurezza di base.
Scopriamole assieme!!!
A. Cambia il tuo nome utente “admin”
Per fare ciò, aggiungi un nuovo utente a WordPress con i privilegi di amministratore, accedi con il nuovo utente e quindi rimuovi l’account utente creato all’istallazione di WordPress .
B. Proteggi con una password la pagina wp-login.php
Questo passaggio è fondamentale per congiurare attacchi hacker e malware. È possibile creare un prompt di accesso aggiuntivo quando si accede alla dashboard. Questo viene fatto tramite la funzione htpasswd di Apache.
Può sembrare scoraggiante e complicato. Insomma roba da smanettoni, ma è abbastanza semplice da configurare. Ecco come:
1. Crea un il file chiamato .htpasswd un livello sopra il tuo public_html.
2. Utilizza questo strumento per creare il nome utente e la password. Apparirà qualcosa del genere:
johndoe:$apr1$/wgZzm81$zF4gGPC77ReyLvtQh2Z2A.
Copia questa riga nel tuo file .htpasswd.
3. Inserisci il codice seguente nel file .htaccess nella directory principale di WordPress (di solito public_html). Mettilo in cima sopra ogni altra cosa che c’è.
ErrorDocument 401 default
<Files wp-login.php>
AuthName “WordPress Admin”
AuthType Basic
AuthUserFile /home/CPANELUSERNAME/.htpasswd
require valid-user
</Files>
Sostituisci CPANELUSERNAME con il tuo vero nome utente. Spesso è il nome utente che usi per accedere a cPanel.
Ora ogni volta che proverai ad accedere alla tua pagina / wp-admin o wp-login.php ti verrà presentato un ulteriore prompt di login. È necessario inserire le credenziali solo una volta per sessione e puoi anche salvarle nel tuo browser in modo da non doverle digitare ogni volta.
C. Utilizza una password sicura
Non essere tentato di scegliere una password di base solo perché è facile da ricordare…. potresti mettere a serio rischio la sicurezza deData di nascita,nome della nonna o del gatto..senza nulla togliere la gatto e alla nonna -_-
Puoi impostare il tuo browser per salvare o ‘ricordare’ le tue password, quindi non c’è motivo per non creare una password con una stringa casuale, come Jgi&ud76G(yh-e.
Se per qualche motivo decidessi comunque di scegliere una password che potresti ricordare più facilmente o semplicemente perché il nome del gatto è sacro, potresti facilmente aumentare la complessità della tua password usando parole non comuni, usando sia lettere maiuscole che minuscole, numeri e caratteri speciali (come! @ ^ * – ( )) rendere tutto a prova di malware
Ad esempio se il nome del tuo gatto è “doraemon”, e vuoi usarlo come password perché è facile da ricordare, cerca di renderlo un po’ più complesso aggiungendo qualche accorgimento ^DoRaemOn1$2^. È bello, pulito, facile da memorizzare e abbastanza sicuro.
D. Aggiorna sempre core di WordPress e plug-in
Quando vengono rilasciate nuove versioni i di WordPress, è necessario eseguire l’aggiornamento il prima possibile (dopo aver fatto un backup del sito…mi raccomando!!!). Per la sicurezza di WordPress è indispensabile fare attenzione ad aggiornamenti e rilasci.Spesso le nuove versioni servono a risolvere problemi di sicurezza e bug della versione precedente e prevenire malware. Se non esegui l’upgrade, rischi di lasciare il tuo sito web in balia di utenti malintenzionate e hacker dell’ultima ora.
Lo stesso vale per i plug-in di terze parti che stai utilizzando. Dovrebbero sempre essere aggiornati. E mi raccomando se hai personalizzato un plug-in per farlo funzionare con il tuo sito Web, devi aggiornarlo, quindi personalizzarlo nuovamente…l’aggiornamento potrebbe cancellare modifiche manuali da te effettuate…fai sempre copia di tutto!
E. Limita l’utilizzo di plug-in e attenzione al tema scelto
Ricordati di disinstallare temi e plug-in che non usi. I vecchi plug-in che sono stati abbandonati e non aggiornati per anni anni non dovrebbero essere utilizzati possono diventare la porta di ingresso per malware indesiderati o favorire un attacco hacker al tuo sito. Questi plug-in possono presentare lacune di sicurezza e rappresentano un rischio troppo elevato per la maggior parte degli utenti. Tutti i plug-in e i temi non utilizzati devono essere rimossi dal tuo WordPress. Non ha senso lasciare qualcosa che non viene utilizzato.
Dovresti provare ad usare solo quei plug-in che sono assolutamente necessari. Se il tuo sito può fare a meno di un particolare plug-in, dovresti considerare l’idea di non utilizzarlo ed eliminarlo. Ciò contribuirà a mantenere basso l’utilizzo delle risorse (ovvero a un sito più veloce) e a rendere più facile la pulizia (in caso di hack) in quanto il sito presenterà meno complessità.
Minore è il numero di plug-in utilizzati dal tuo sito Web: meno potenziali buchi di sicurezza…. Come al solito less is more
Altri utili suggerimenti in pillole della nonna
Conserva sempre i backup locali. Non puoi mai avere troppi backup (magari tramite plug-in che caricano decine di copie nel tuo spazio…) e non puoi fare mai affidamento esclusivamente sui backup del tuo host. Dovresti scaricare i tuoi file via FTP, in particolare tutti i tuoi / wp-content / uploads /, i tuoi file personalizzati (ad esempio il tema figlio se ne hai creato uno) e fare un backup del tuo database usando phpMyAdmin.
Occhio alla scelta dell’host per il tuo sito. Scegli un host che prenda sul serio la sicurezza. Non ha senso fare tutto il possibile per proteggere il tuo sito se poi il tuo host non ha un sufficiente livello di sicurezza e consente ad altri client di accedere ai tuoi file.
Attenzione alle autorizzazioni di file e cartelle del tuo sito: Non utilizzare mai le autorizzazioni 777. I permessi dei file dovrebbero essere impostati per lo più 644. E l’autorizzazione per le cartelle dovrebbe essere 755. L’utilizzo delle autorizzazioni di file 777 è considerato un rischio per la sicurezza di WordPress, poiché rende tali file scrivibili. Non si dovrebbero mai usare le autorizzazioni 777 per qualsiasi file o cartella WordPress.
Puoi aggiornare facilmente i permessi sia dal Cpanel che tramite Filezilla.
Se il tuo host lo richiede, per favore cambia host!La sicurezza di WordPress non è un optional!
Pensi che il tuo sito si stato vittima di un attacco hacker o che sia stato infettato da un malware?E non sai come muoverti?in generale cosa fai per garantire la sicurezza di un sito?
NO PROBLEM: SOS cirillos
scrivici per una aiuto saremo lieti di poterti aiutare!
Nelle prossime settimane vedremo assieme come fare una scansione del nostro sito in WordPress alla ricerca di malware e capiremo come gestire al meglio la sicurezza di un sito…perciò stay stunned!!!
Ciao e alla prossima!!!
