Guide gratuite per imparare a creare siti web

Come aumentare la sicurezza di WordPress contro hacker e malware

Sicurezza WordPress
User illustrations by Storyset

Se ti stai chiedendo perché qualcuno vorrebbe hackerare il tuo sito web WordPress, non sei l’unico/a a porti questa domanda. Leggi questo capitolo per scoprire perché il tuo sito è stato preso di mira e, meglio ancora, cosa puoi fare per proteggerlo!

WordPress alimenta un quarto di tutti i siti web nel mondo. Ciò si traduce in milioni di siti web. WordPress è un software open source (codice aperto) che significa che chiunque può visualizzare l’intero codice e comprendere com’è stato programmato.

Ciò rende relativamente facile per gli hacker trovare aree vulnerabili un sito web WordPress.

Nei film più vecchi, gli hacker sono spesso raffigurati come individui seduti davanti a un computer che cercano di accedere a un sito web. Ci sono ancora singoli hacker che lo fanno oggi, ma spesso prendono di mira siti web di alto valore in modo da poterli trattenere per riscatto.

Il più delle volte, i bot e le botnet attaccano i siti web di WordPress alla ricerca di vulnerabilità in modo che possano prendere il controllo e utilizzare il sito o il server in cui è ospitato per inviare spam ad altri siti web.

I bot sono programmi scritti da hacker. Scansionano i siti WordPress alla ricerca di falle di sicurezza conosciute. Le botnet, d’altra parte, sono una rete di macchine infette da bot che cercano di hackerare un numero enorme di siti.

Sembra spaventoso, vero? Dato che i robot non sono lenti come noi umani, possono infettare un gran numero di siti molto rapidamente.

Ecco perché è estremamente importante aggiornare WordPress all’ultima versione, i tuoi temi e i tuoi plug-in. Perché se un bot arriva al tuo sito prima dell’aggiornamento, allora potrebbe trovare qualche vulnerabilità non risolta!

Perché hacker e robot attaccano i siti web WordPress?

Per sapere come proteggere il tuo sito, è importante sapere innanzitutto perché il tuo sito WordPress viene attaccato. Il più delle volte, gli hacker creano robot per essere in grado di svolgere le seguenti attività dannose:

Rubare i dati del tuo sito web: se raccogli le informazioni delle persone sul tuo sito web, ovvero se disponi di una mailing list o di un sito web di appartenenza, sei un obiettivo primario per gli hacker.

Possono utilizzare o vendere i dati rubati ad altre persone: A seconda del tipo di dati che rubano, possono utilizzare le informazioni per inviare e-mail di spam o utilizzare le informazioni più sensibili per commettere il furto di identità.

Usare il tuo sito per inviare spam: gli hacker possono controllare il tuo sito web e utilizzarlo per inviare e-mail di spam. Non te ne accorgerai nemmeno, ma quando è il momento di inviare e-mail al tuo elenco, nessuno riceverà nessuna delle tue e-mail. Questo perché il tuo sito è già stato inserito nella blacklist dai server di posta elettronica!

Ospitare contenuto illegale: a volte gli hacker usano le risorse di altre persone per nascondere contenuti illegali e immorali. Non vogliono che questi file vengano visualizzati nelle loro proprietà web, quindi cercano un partecipante non intenzionale e innocente in cui nascondere i propri file.

Attaccare altri siti web: gli hacker sono persone intelligenti. Invece di fare affidamento su un singolo bot, hanno trovato un modo sofisticato per attaccare ancora più siti web.

Innanzitutto, infetteranno il tuo sito e poi lo useranno come parte della loro botnet o bot-network per lanciare attacchi di massa su una rete ancora più vasta di siti web vulnerabili!

Spero che ora capisca perché anche il tuo nuovo sito web WordPress non è immune agli attacchi. Non è perché gli hacker nutrono rancore nei tuoi confronti, non è nulla di veramente personale.

Non ti conoscono ma vogliono utilizzare il tuo sito web e le tue risorse per eseguire le loro attività dannose e illegali.

Principali misure di sicurezza per proteggere il tuo sito WordPress

Esistono diversi modi per proteggere il tuo sito WordPress dagli hacker e dai malware. Comincio con quelli semplici che puoi implementare subito sul tuo sito web.

1. Aggiorna il core di WordPress, i temi e i plug-in

WordPress viene aggiornato frequentemente e pure i temi e i plug-in per rimanere compatibili con l’ultima versione di WordPress. L’uso di software obsoleti rende il tuo sito web estremamente vulnerabile agli attacchi dei bot.

Aggiornare il tuo sito WordPress è semplice. Quando accedi alla dashboard di WordPress, vedrai una notifica nella sezione Aggiornamenti. Tutto quello che devi fare è fare clic sul pulsante Aggiorna, attendere qualche minuto e voilà! Hai appena aggiunto un ulteriore livello di protezione al tuo sito web WordPress. Puoi anche attivare gli aggiornamenti automatici dei temi e dai plug-in nella colonna a destra.

E se volessi un livello di sicurezza i più?

Bene, la soluzione è installare un plug-in di sicurezza come WordFence. Questo plug-in può inviarti una notifica via e-mail ogni volta che qualcosa deve essere aggiornato sul tuo sito web o se viene rilevata qualche anomalia.

2. Rendi il tuo nome utente e password molto difficili da indovinare o decifrare

I robot tentano di accedere ai siti web WordPress indovinando prima il nome utente. Di regola, non dovresti mai usare nomi utente comuni come Admin o User. Rendi estremamente difficile per i robot indovinare il tuo nome utente.

Per le password, utilizzare una combinazione di numeri, lettere maiuscole e minuscole e simboli (di almeno 12 caratteri, fino ad un massimo di 50). Dovresti anche ricordarti di cambiare frequentemente la tua password.

So che scrivere tutto è una seccatura, motivo per cui ti consiglio di generare e archiviare le tue password utilizzando un gestore di password come LastPass o Bitwarden.

3. Disabilita la navigazione nella directory

Se tu vai a questo URL sul tuo sito web nomesito.com/wp-includes/ e sei in grado di visualizzare un elenco di nomi di file, devi disabilitare la navigazione delle directory.

Se non lo fai, gli hacker possono semplicemente esaminare i tuoi file e sarà facile per loro trovare il file più vulnerabile per avere accesso al tuo sito!

Per disabilitare la navigazione nelle directory, dovrai utilizzare un client FTP come Filezilla in modo da poter modificare il tuo file .htaccess. Dopo aver scaricato il tuo file .htaccess, aggiungi semplicemente questa riga in fondo al file:

Options All -Indexes

Prima di provare a farlo da solo/a, fai il backup del tuo file .htaccess nel tuo computer. Se non pensi di poter gestire da solo questa piccola modifica, ti preghiamo di ottenere aiuto qualcuno che conosce l’FTP e WordPress.

Per controllare se la navigazione nella directory è stata disabilitata, è sufficiente aggiornare la pagina nomesito.com/wp-includes/. Se vedi l’errore Pagina non trovata, hai disabilitato correttamente la navigazione nella directory.

4. Utilizzare l’autenticazione a due fattori

La maggior parte delle app moderne che gestiscono informazioni riservate ora utilizzano l’autenticazione a due fattori. Ad esempio, se accedi al tuo conto bancario online, ti verrà chiesto di inserire nome utente e password.

Quando inserisci le credenziali giuste, visualizzerai un messaggio sullo schermo che ti dice di inserire la password mono uso (OTP: One Time Password) che è stata inviata al tuo telefono o inviata tramite email al tuo indirizzo email predefinito.

È quindi necessario inserire il codice entro un breve periodo di tempo. Ecco come funziona l’autenticazione a due fattori. Come puoi vedere, questo rende più difficile il lavoro di un bot o di un hacker.

Esistono alcuni plug-in di autenticazione a due fattori per WordPress (come 2FAS — Two Factor Authentication), ma se hai installato il plug-in di sicurezza di WordFence come suggerito in precedenza, puoi semplicemente attivare questa funzione dalle impostazioni.

5. Nascondere o rinominare la pagina di accesso predefinita di WordPress

La pagina di accesso predefinita di WordPress termina con /wp-login.php o /wp-admin. Se rinomini la pagina, rendi più difficile il lavoro di un hacker nel tentativo di attaccare il tuo sito web.

Uno di questi plug-in disponibile nella directory dei plug-in di WordPress è WPS Hide Login. Per essere sicuro/a di non rendere invisibile la tua pagina di accesso, non dimenticare di aggiungere il nuovo link di accesso ai segnalibri!

6. Ottieni un certificato SSL per il tuo sito web

Se ti sei mai chiesto quale sia la differenza tra i siti web HTTP e HTTPS, è che i siti web HTTPS sono sicuri perché hanno un certificato SSL. SSL è l’acronimo di Secure Sockets Layer che crittografa tutte le comunicazioni tra il sito web e il browser.

SSL

I siti con un certificato SSL valido visualizzano un lucchetto verde sul tuo browser. Se fai clic sul lucchetto, verrà visualizzato qualcosa del tipo “è una connessione sicura e le tue informazioni sono private quando vengono inviate al sito”.

SSL lucchetto browser

I certificati SSL possono avere vari prezzi, da gratuiti a centinaia di euro all’anno, a seconda delle funzionalità.

Molte società di web hosting commerciale offrono tutte SSL gratuito con i loro piani di hosting, tra cui Vhosting.

7. Limitare i tentativi di accesso

WordPress ti consente di inserire la password sbagliata fino a quando non inserisci finalmente le credenziali giuste. Questo è principalmente il motivo per cui gli hacker eseguono attacchi di forza bruta su WordPress, provando combinazioni di nome utente e password finché non riescono a indovinare le giuste credenziali!

Ci sono molti plug-in che possono aiutarti a limitare il numero di tentativi di accesso sul tuo sito web.

Tuttavia, se hai già installato WordFence come suggerito un paio di volte in questo capitolo, puoi semplicemente attivare questa funzione sulla dashboard di WordFence o installare il plugin Limit Login Attempts Reloaded.

8. Installa un plug-in di sicurezza per WordPress

Il plug-in di sicurezza WordPress gratuito più popolare di gran lunga su WordPress.org è WordFence. Ha una versione premium, ma molte persone usano semplicemente la versione gratuita e sono abbastanza contente dei risultati.

In alternativa puoi installare Sucuri Security, iThemes Security o Malcare Security sono buone alternative. Sucuri è notevolmente più costoso della versione premium di WordFence, ma le recensioni dicono che Sucuri vale il prezzo. iThemes, d’altra parte, ha un buona reputazione nella directory dei plug-in di WordPress e i loro piani annuali sono convenienti. Malcare offre anche l’assistenza per la rimozione manuale del malware.

Conclusione

Se scegli un plug-in di sicurezza gratuito assicurati di controllare le recensioni e leggere la descrizione del prodotto per vedere se tutte le tue esigenze di sicurezza verranno soddisfatte. Se possiedi un sito complesso come un eCommerce, prendi in considerazione l’idea di abbonarti ad un plug-in di sicurezza premium. Per quanto riguarda lo spam invece leggi questo articolo.

Share this article
Shareable URL
Prev Post

Come scegliere il tema WordPress adatto per la tua attività

Next Post

I 5 libri migliori per imparare a creare un sito web con WordPress [Giugno 2023]

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

− 6 = 4

Read next
0
Share