Ti stai chiedendo perché abbiamo pubblicato una checklist sulla sicurezza di WordPress se altri blogger lo hanno già fatto eccezionalmente bene?
La verità scioccante è che all'utente medio di WordPress non interessa molto la sicurezza e gli hacker si concentrano sulle vulnerabilità di WordPress. Il 70% di tutti i siti WordPress presenti nella Alexa Top 1.000.000 sono vulnerabili agli attacchi degli hacker. Anche i grandi nomi non prestano la necessaria attenzione alla sicurezza.
Mettere in sicurezza un sito web richiede tempo e risorse, ma a lungo termine ripaga sicuramente. Apprezziamo il tuo tempo e comprendiamo perché di tanto in tanto potresti trascurare la sicurezza del tuo sito.
L'unicità di questa lista di controllo è che condensa preziosi suggerimenti in un formato conciso e digeribile. Usalo periodicamente e rafforzerai notevolmente la sicurezza del tuo sito.
Eseguire il backup regolarmente
Il tuo sito non è più sicuro se ne hai una copia recente. Ma un backup recente ti dà la tranquillità necessaria quando lavori per migliorare la sicurezza del sito.
Inoltre, una copia del sito è d'oro quando il tuo sito è infetto da malware.
Non mancano ottimi plugin di backup e alcuni di essi sono gratuiti. UpDraftPlus , Duplicator e BackWPUp sono ottimi plugin che ti consentono di pianificare backup automatici, salvare i tuoi backup su diverse posizioni remote e ripristinare facilmente il tuo sito.
Tempo stimato
L'installazione, l'attivazione e la configurazione di un plug-in di backup richiedono 10 minuti. Dovresti anche controllare periodicamente l'integrità delle copie.
Installa un plugin di sicurezza
Un robusto plugin di sicurezza è il migliore amico di un amministratore del sito web accurato. Fortunatamente, proprio come i plugin di backup, gli utenti hanno a disposizione una serie di plugin di sicurezza e milioni di utenti soddisfatti ne hanno testati alcuni.
Trovo difficile credere che non troverai un plugin di sicurezza soddisfacente. Wordfence , All In One WP Security & Firewall e iThemes Security sono plugin che meritano pienamente la tua attenzione.
Le azioni più critiche di un plugin di sicurezza sono:
- Scansione dei file del sito contro malware
- Controllo dei file rispetto alle vulnerabilità della sicurezza
- Blocco degli utenti per IP o per paese
- IP nella whitelist e nella blacklist.
Tempo stimato
L'installazione, l'attivazione e la configurazione di un plug-in di sicurezza richiedono 20 minuti. Tieni presente che la maggior parte dei plugin di sicurezza sono ricchi di molte funzionalità. Controlla tutte le funzionalità per assicurarti di consolidare la sicurezza del sito.
Controlla il tuo hosting, temi e plugin
Questo suggerimento viene spesso ignorato anche dagli esperti e dai blogger attenti alla sicurezza. La loro ignoranza è dovuta al fatto che raramente devi controllare il tuo provider host, i temi e i plugin. Non commettere lo stesso errore!
Il tuo provider di hosting è fondamentale per la sicurezza e le prestazioni del tuo sito. Considera il tuo provider di hosting come il fondamento del tuo sito web. Non è possibile costruire un sito web robusto su basi deboli.
Scegli un fornitore che utilizza le tecnologie più recenti e garantisce un ambiente sicuro. Potresti essere tentato di risparmiare denaro utilizzando un fornitore economico, e questo è comprensibile. Tuttavia, a lungo termine, un buon provider di hosting è migliore perché i tuoi file saranno protetti. Inoltre, l’hosting è responsabile della velocità di caricamento. Non è un problema quanto sia vitale la velocità.
Aspettatevi di avere malware e vulnerabilità se utilizzate un tema o plugin di fornitori loschi. Disinstallare tutto ciò che solleva un punto interrogativo. Installa temi e plugin solo dal repository WordPress o da fonti attendibili.
Tempo stimato
30–45 minuti sono sufficienti per valutare il provider di hosting, il tema e i plug-in.
Rafforzare le password degli utenti
Questo è un suggerimento inutile presentato solo per il gusto di scrivere di più? Sfortunatamente, non lo è! Le password deboli sono responsabili dell’81 % delle violazioni dei dati aziendali . Pertanto, è una buona idea reimpostare le password di tutti gli utenti e chiedere loro di utilizzare credenziali più complesse.
Alcuni plugin di sicurezza costringono gli utenti a utilizzare password complesse, quindi, ancora una volta, un plugin fa il lavoro per te.
Tempo stimato
Dipende dalla complessità del sito, ma la reimpostazione delle password e l'invio di un'e-mail agli utenti con le tue intenzioni dovrebbero richiedere 15-20 minuti. Aggiungi altri cinque minuti per configurare un plug-in di sicurezza per richiedere password complesse.
Mantieni tutto aggiornato
Un esercito di sviluppatori di talento fa del suo meglio per rendere WordPress un ambiente sempre più sicuro. Al contrario, un esercito più numeroso di hacker esperti fa di tutto per identificare una vulnerabilità nel core di WordPress, in un plugin o in un tema.
Niente di creato dall’uomo è perfetto, quindi ogni prodotto è in una certa misura hackerabile. Sì, gli hacker possono entrare nel tuo sito anche se aggiorni tutto. Ma semplifichi il loro lavoro utilizzando vecchie versioni del core, dei temi e dei plugin di WordPress.
Tempo stimato
Ci vuole meno di un minuto ogni tanto per aggiornare queste cose. Aiuta a risparmiare tempo utilizzando un servizio come ManageWP.
Rimuovi tutto ciò che non è in uso
Ogni tema o plug-in installato ma non utilizzato rappresenta un'ulteriore vulnerabilità dal punto di vista della sicurezza. Vai alla tua dashboard e guarda i plugin e i temi che non hai utilizzato. Rimuovili per migliorare la sicurezza del tuo sito.
Bonus: rimuovendo questi elementi inutilizzati, il tuo sito si caricherà più velocemente!
Tempo stimato : è necessario circa un minuto per rimuovere temi e plug-in inutilizzati.
Gestione utenti
Maggiori sono i privilegi degli utenti, più insicuro è il sito. Di tanto in tanto, controlla gli utenti e determina i loro ruoli. Ad esempio, non creare un account editor per un utente responsabile solo della creazione di contenuti.
Consulta questa guida di WPBeginner sui ruoli utente e le autorizzazioni di WordPress prima di agire.
Tempo stimato
Dipende dalla complessità del sito e dal numero di account creati. Ma ci vogliono circa 15 minuti per valutare il ruolo di ciascun utente e limitare i privilegi, se necessario.
Disabilita la modifica dei file
Questo suggerimento ha un impatto maggiore sui siti con un numero elevato di utenti. L'editor integrato consente agli utenti (a seconda dei loro ruoli) di modificare il tema e i plugin direttamente dalla dashboard di WordPress. Tuttavia, è un’arma a doppio taglio.
In effetti, non ha prezzo quando è necessario modificare il codice, ma rappresenta un'enorme vulnerabilità. Dipende fortemente dalle competenze degli utenti, ma questi potrebbero aggiungere (volontariamente o meno) malware o frammenti di codice subdoli o addirittura mandare in crash il tuo sito. Non sottovalutare mai il potere di un punto e virgola mancante!
La soluzione migliore è disabilitare la modifica dei file. Rinunci alla comodità di cambiare il codice direttamente dal cruscotto. Ma puoi stare certo che le persone non addestrate non cambieranno il codice.
È abbastanza semplice disabilitare la modifica dei file. Inserisci questa riga di codice nel file del tuo sito
define('DISALLOW_FILE_EDIT', true);
Elimina questa riga di codice se desideri abilitare la modifica del file.
Tempo stimato
Ci vogliono da uno a cinque minuti, a seconda delle tue capacità.
Lo imposteremo per te quando configureremo il plugin di sicurezza premium che forniamo gratuitamente a tutti i nostri clienti.
Limita i tentativi di accesso
In sostanza, gli attacchi di forza bruta avvengono quando un hacker tenta di indovinare le credenziali del tuo sito. Indovinare le credenziali corrette è quasi impossibile digitando manualmente nomi utente e password. Ma è diventato fattibile utilizzando un software. Prova migliaia di combinazioni in un solo secondo.
Puoi aggiungere un ulteriore livello di sicurezza per il tuo sito web limitando il numero di tentativi di accesso. È semplice: installa e attiva un plugin. Limit Login Attempts Reloaded e WP Limit Login Attempts sono due plugin che sono stati provati e testati da migliaia di utenti soddisfatti.
Tempo stimato : sono necessari dieci minuti per configurare un plug-in che limiti i tentativi di accesso.
Lo imposteremo per te quando configureremo il plugin di sicurezza premium che forniamo gratuitamente a tutti i nostri clienti.
Concludendo
Non esiste un sito inattaccabile al 100%, ma applicare i suggerimenti di cui sopra è sufficiente per proteggere il tuo sito in modo significativo.
Naturalmente, questa lista di controllo non è esclusiva. Esistono molti altri modi per proteggere il tuo sito web. Gli utenti esperti, ad esempio, potrebbero inserire alcuni frammenti di codice per rendere il sito impenetrabile agli attacchi degli hacker.
Sei interessato ad apprendere suggerimenti di sicurezza più avanzati? Fatecelo sapere e pubblicheremo una guida alla sicurezza per utenti esperti.
Lascia un commento