come i siti WordPress vengono violati
A causa della sua diffusa popolarità come CMS, WordPress è anche un obiettivo popolare per gli hacker.
Gli attacchi di hacking sono per lo più opportunistici piuttosto che mirati (anche se i siti di grandi marchi possono essere specificamente presi di mira). La maggior parte degli attacchi sono automatizzati, con i bot che cercano in alto e in basso su internet le debolezze di sicurezza da sfruttare.
Gli attacchi sono spesso effettuati tramite:
- Hosting di siti web insicuri
- Dati di accesso – per esempio, tentando diverse combinazioni casuali di username e password
- Debolezze di sicurezza nel software CMS, plugin o temi – di solito quando non sono stati aggiornati
Gli hacker hanno una grande varietà di motivi diversi, ma spesso si tratta di profitto. Hackerare i siti per distribuire malware, ottenere i dati degli utenti, inviare e-mail di spam o reindirizzare i visitatori del sito web può essere estremamente redditizio.
Tali violazioni della sicurezza possono avere un impatto estremamente negativo sul tuo sito web e sul tuo business – minando la fiducia degli utenti, causando violazioni legali e potenzialmente costando migliaia di sterline. Quindi è vitale proteggere il vostro sito WordPress contro l’hacking.
Il mio sito WordPress è vulnerabile all’hacking?
I principianti di WordPress e i proprietari di piccoli siti spesso pensano di non doversi preoccupare della sicurezza. Suppongono che il loro sito sia troppo piccolo e insignificante per interessare gli hacker.
Questo presupposto è sbagliato.
Siti WordPress di tutte le dimensioni vengono violati. Gli hacker utilizzano bot automatizzati per la scansione di internet alla ricerca di siti con debolezze di sicurezza e violano ovunque ci sia l’opportunità.
Un’altra cosa fondamentale da capire è che non si può nemmeno essere consapevoli quando gli hacker stanno tentando di entrare nel vostro sito. A meno che non riceviate regolarmente notifiche di sicurezza sui tentativi di hacking, probabilmente lo scoprirete solo quando un hacking avrà successo e qualcosa sul vostro sito andrà storto.
Il messaggio da portare via è che tutti i siti sono vulnerabili agli hacking – e prevenire è meglio che curare. Assicuratevi di installare un plugin di sicurezza e prendere altre misure di sicurezza preventive per mantenere il vostro sito al sicuro.
Come battere gli hacker di WordPress
Ora condividiamo i 10 modi migliori per mantenere il vostro sito WordPress sicuro e impedire che venga violato.
1) Scegliete un fornitore di hosting sicuro
Tutti i buoni fornitori di hosting includono una protezione di sicurezza per garantire che le informazioni del vostro sito web siano al sicuro sui loro server.
Quando scegli un fornitore di hosting, assicurati di controllare quali misure di sicurezza hanno (come firewall e FTP sicuro), come monitorano la loro rete di server e come rispondono a qualsiasi violazione della sicurezza.
Il vostro sito WordPress può essere particolarmente vulnerabile all’hacking se avete un piano di hosting condiviso, in quanto gli hacker possono potenzialmente utilizzare altri siti sullo stesso server per accedere al vostro.
L’opzione di hosting più sicura – ma anche la più costosa – è un server dedicato. Questo vale la pena considerare se hai livelli di traffico particolarmente elevati o se hai dati sensibili sul tuo sito.
2) Prendi un plugin di sicurezza
Avere un plugin di sicurezza di alta qualità è un must-have per evitare che il tuo sito WordPress venga violato.
I plugin di sicurezza generalmente includono:
- un firewall per bloccare il traffico sospetto
- una protezione di forza bruta contro molteplici tentativi di login casuali
- uno scanner che controlla i tuoi file, temi e plugin per problemi di sicurezza
- notifiche di sicurezza regolari
Si consiglia Wordfence – un eccellente plugin di sicurezza gratuito. Una volta installato, ‘Wordfence’ apparirà nel menu di sinistra della vostra dashboard di WordPress. È possibile fare clic qui in qualsiasi momento per analizzare il tuo sito, vedere le ultime notifiche e ottenere raccomandazioni per migliorare la sicurezza del sito.
3) Scegli un tema sicuro
Scegliere il tema giusto per il tuo sito è fondamentale. Naturalmente, deve avere l’aspetto e le caratteristiche giuste per la tua organizzazione. Ma deve anche essere robusto e sicuro.
Un tema sicuro deve:
- Essere aggiornato e patchato regolarmente
- Seguire buoni standard di codifica
- Non essere associato a bug o errori di compatibilità
Con oltre 7.000 temi WordPress disponibili, può essere difficile sapere da dove iniziare!
Il modo migliore per scegliere un tema sicuro è guardare su WordPress.org. Lì, è possibile sfogliare le recensioni dei temi, controllare quante installazioni un tema ha avuto, e vedere quando il tema è stato aggiornato l’ultima volta – tutte buone indicazioni di sicurezza.
Si può anche chiedere alla vostra agenzia WordPress per raccomandazioni di temi che soddisferanno le esigenze del vostro particolare sito web e organizzazione.
4) Tenere aggiornato WordPress
Tenere aggiornato WordPress è un’altra importante misura di sicurezza. Gli aggiornamenti del software di WordPress vengono effettuati regolarmente per ottimizzare le prestazioni e correggere eventuali problemi di sicurezza non appena vengono scoperti.
È possibile applicare aggiornamenti automatici per la maggior parte delle versioni principali di WordPress, in modo che il tuo sito venga aggiornato in background senza che tu debba fare nulla. Tuttavia, è ancora necessario agire manualmente i rilasci più grandi – assicurati di fare un backup del tuo sito prima!
I messaggi di aggiornamento appariranno sulla tua dashboard di WordPress non appena saranno disponibili. Basta cliccare su di essi per agire. E’ una buona idea aggiornare regolarmente anche i plugin e i temi.
5) Usa dettagli di login sicuri
Come detto sopra, uno dei modi principali in cui gli hacker possono accedere al tuo sito WordPress è attraverso tentativi di login automatici ‘indovinati’. Più ovvi sono il tuo nome utente e la tua password, più è probabile che questi tentativi abbiano successo.
Per prevenire l’hacking, assicurati di scegliere un nome utente atipico. Questo significa fondamentalmente non usare ‘admin’, che è così comune che di solito è il primo nome utente che gli hacker proveranno.
In secondo luogo, scegliete una password sicura che includa un mix di lettere, simboli e numeri. Per la massima sicurezza, dovrebbe essere di almeno 12 caratteri e non includere alcuna parola del dizionario.
Oltre a proteggere il tuo login alla dashboard di WordPress, assicurati di scegliere nomi utente e password sicuri per gli altri account legati al tuo sito web, come il tuo indirizzo email personalizzato. Altrimenti, anche questi potrebbero essere utilizzati per violare il tuo sito.
6) Aggiungi l’autenticazione a due fattori
Puoi rafforzare ulteriormente il tuo login WordPress abilitando l’autenticazione a due fattori. Questo è particolarmente utile se hai più utenti che accedono al back-end del tuo sito.
Con l’autenticazione a due fattori, gli utenti effettuano il login in due fasi. Prima, inseriscono il loro nome utente e la loro password. Poi, devono inserire un codice unico per verificare la loro identità.
Con il plugin di sicurezza Wordfence che abbiamo consigliato sopra, l’autenticazione a due fattori è facile da attivare. Utilizza un’app authenticator per generare i codici di accesso per gli utenti.
Per impostare il tutto, vai su Wordfence > Login Security nella tua dashboard di WordPress, e copia la chiave fornita. Poi scaricate Google Authenticator (o un’altra app di autenticazione), e inserite questa chiave.
A questo punto, l’app fornirà un codice a sei cifre. Basta inserirlo di nuovo nella tua dashboard di WordPress e fare clic su “Attiva”.
L’autenticazione a due fattori sarà ora abilitata. Questo significa che ogni volta che si tenta di accedere a WordPress, vi verrà richiesto di andare alla vostra app authenticator e raccogliere un codice di accesso.
7) Disabilita la modifica dei file
WordPress ha un editor di codice che ti permette di modificare i file del tuo sito attraverso la tua dashboard. Mentre questa è ovviamente una caratteristica utile, è anche un’enorme responsabilità in termini di hacking. Si consiglia quindi di disattivarlo.
Un altro modo per prevenire la modifica dei file è disabilitare l’esecuzione dei file PHP nelle cartelle /wp-content/uploads/. Per questo, apri Notepad – o un editor di testo simile – e incolla il seguente:
<Files *.php>
deny from all
</Files>
Se salvi questo come .htaccess e caricate il file nelle cartelle /wp-content/uploads/ del vostro sito web, questo impedirà anche agli hacker di fare attacchi backdoor alla vostra esecuzione PHP.
8) Scansionate il vostro sito web e il computer
È importante scansionare regolarmente il vostro sito web per controllare malware, virus e codice sospetto. Se usi il plugin Wordfence, questo può essere fatto andando su Wordfence >Scansione e cliccando su ‘Inizia nuova scansione’.
Se ci sono problemi, Wordfence ti suggerirà come risolverli e rendere il tuo sito nuovamente sicuro. Raccomandiamo di effettuare la scansione almeno una volta al mese – se puoi farlo più frequentemente, ancora meglio!
Tuttavia, non serve a nulla fare affidamento su un sito sicuro se il computer da cui si gestisce il sito è infetto o infettato. Quindi, assicurati di scansionare regolarmente anche il tuo computer o dispositivo.
Dovresti usare un buon software anti-virus sul tuo dispositivo, e assicurarti di aggiornare regolarmente il tuo sistema. Ti consigliamo anche di controllare le impostazioni della privacy sul tuo browser per evitare di essere violato mentre navighi in internet.
9) Usa HTTPS
Avere un sito HTTPS significa che le comunicazioni tra il tuo sito e i browser degli utenti sono criptate. Questo è quindi un altro modo fondamentale per prevenire l’hacking.
Se non hai già un sito HTTPS, è molto semplice da trasferire. Basta ottenere un certificato SSL (Secure Sockets Layer), che è disponibile per tutti i siti web, gratuitamente, da Let’s Encrypt.
Se hai già un certificato SSL, allora assicurati di impostare un promemoria sul calendario per rinnovarlo ogni due anni. Altrimenti, è facile dimenticare e lasciare che lo stato HTTPS del tuo sito – e le buone credenziali di sicurezza – decada.
10) Backup, backup, backup!
Sebbene il nostro ultimo consiglio non impedisca effettivamente l’hacking, è probabilmente il passo più importante da fare nel caso in cui il tuo sito venga violato.
Facendo regolarmente il backup del sito, puoi ripristinare il tuo sito rapidamente se necessario. Senza il backup, potreste perdere tutto ciò che avete progettato, pubblicato o scritto sul vostro sito.
Come fare il backup del vostro sito WordPress dipenderà dal tipo di hosting che avete. Assicurati di parlare con il tuo fornitore di hosting; potrebbero includere i backup come parte del tuo pacchetto di hosting.
In alternativa, parla con la tua agenzia WordPress o installa un plugin di backup. In qualsiasi modo lo facciate, assicuratevi di fare il backup del vostro sito WordPress regolarmente e conservate i vostri file di backup in modo sicuro, in modo da sapere che sono lì se ne avete bisogno.
.