Quando si tratta della sicurezza di WordPress, ci sono molte cose che potete fare per chiudere a chiave il vostro sito per impedire che hacker e vulnerabilità possano compromettere la vostra attività o il vostro blog. L’ultima cosa che vorreste che succedesse è svegliarvi una mattina per scoprire il vostro sito in rovina. Quindi oggi condivideremo con voi molti consigli, strategie e tecniche che potete utilizzare per migliorare la sicurezza di WordPress e rimanere protetti.

Le Vulnerabilità di WordPress

WordPress a volte subisce un brutto colpo per essere aperto a vulnerabilità nella sicurezza e non essere quindi una piattaforma intrinsecamente sicura per essere un’azienda. Tuttavia, questo è quasi sempre dovuto al fatto che gli utenti continuano a seguire quelle che nel settore si sono dimostrate le peggiori pratiche per la sicurezza. L’uso di software WordPress obsoleto, cattiva amministrazione del sistema, gestione delle credenziali e mancanza delle conoscenze necessarie sul web e sulla sicurezza tra gli utenti di WordPress non professionali, rendono gli hacker vincenti nel loro gioco cyber-criminale. Persino i leader del settore non seguono sempre le migliori pratiche. Reuters è stata violata nel 2012 perché utilizzava una versione obsoleta di WordPress.

Questo non vuol dire che le vulnerabilità non esistano. Secondo uno studio del secondo trimestre 2016 di Sucuri, una società speciaizzata nella sicurezza multipiattaforma, WordPress continua a guidare i siti Web infetti su cui ha lavorato (al 74%). E i primi tre plugin che influenzano la piattaforma sono ancora Gravity Forms, TimThumb e RevSlider. Questo dato è comunque leggermente in calo dal primo trimestre 2016.

Vulnerabilità WordPress

Vulnerabilità della sicurezza di WordPress

WordPress alimenta oltre il 32% di tutti i siti web su Internet e, con centinaia di migliaia di combinazioni di temi e plugin, non sorprende che le vulnerabilità esistano e vengano costantemente scoperte. Tuttavia, c’è anche una grande comunità intorno alla piattaforma di WordPress, per garantire che queste vulnerabilità vengano risolte in modo tempestivo. Il team di sicurezza di WordPress è composto da circa 25 esperti, tra cui responsabili dello sviluppo e ricercatori sulla sicurezza – circa la metà di essi lavorano da Automattic e molti di loro sono impegnati nel campo della sicurezza web.

Scoprite quali sono alcuni dei diversi tipi di vulnerabilità di WordPress di seguito.

Backdoor

Giustamente comosciuta come backdoor, questa vulnerabilità offre agli hacker passaggi nascosti che bypassano la crittografia di sicurezza per accedere ai siti WordPress tramite metodi anormali: wp-Admin, SFTP, FTP e così via. Una volta che sono state utilizzate, le backdoor consentono agli hacker di devastare i server di hosting con attacchi di contaminazione cross-site – compromettendo più siti ospitati sullo stesso server. Nel secondo trimestre 2016, Sucuri ha riportato che le backdoor continuano a essere una delle tante azioni post-attacco intraprese dagli hacker, con il 71% dei siti infetti aventi una qualche forma di backdoor injection.

Backdoor sicurezza WordPress

Distribuzione famiglie di Malware

Le backdoor sono spesso criptate per apparire come legittimi file di sistema di WordPress e si fanno strada attraverso i database di WordPress, sfruttando debolezze e bug delle versioni obsolete della piattaforma. Il fiasco di TimThumb è stato un ottimo esempio di vulnerabilità backdoor che sfrutta script oscuri e software obsoleti che compromettono milioni di siti web.

Fortunatamente, la prevenzione e la cura di questa vulnerabilità è abbastanza semplice. Potete scansionare il vostro sito WordPress con strumenti come SiteCheck, che possono facilmente individuare backdoor comuni. L’autenticazione a due fattori, il blocco degli IP, la limitazione dell’accesso all’amministrazione e la prevenzione dell’esecuzione non autorizzata di file PHP risolvono facilmente le comuni minacce backdoor. Approfondiremo queste cose di seguito. Anche Canton Becker ha un ottimo post su come mettere a posto il disordine causato dalle backdoor sulle vostre installazioni WordPress.

Pharma Hack

L’exploit Pharma Hack viene utilizzato per inserire il codice malevolo in versioni obsolete di siti web e plugin di WordPress, facendo sì che i motori di ricerca restituiscano annunci di prodotti farmaceutici quando viene cercato un sito web compromesso. La vulnerabilità è più una minaccia di spam che malware tradizionale, ma fornisce ai motori di ricerca un motivo sufficiente per bloccare il sito con l’accusa di diffondere spam.

Parti di un Pharma Hack possono essere anche delle backdoor in plugin e database, che possono essere ripulite seguendo le istruzioni del blog di Sucuri. Tuttavia, gli exploit sono spesso varianti viziose di iniezioni maligne crittografate nascoste nei database e richiedono un accurato processo di pulizia per correggere la vulnerabilità. Ciononostante, potete facilmente prevenire i Pharma Hack utilizzando i provider di hosting WordPress consigliati, con server aggiornati, e aggiornando regolarmente le vostre installazioni, i temi e i plugin di WordPress.

Tentativi di Accesso Brute-force

I tentativi di accesso brute-force utilizzano script automatici per sfruttare password deboli e accedere al vostro sito. L’autenticazione a due fattori, la limitazione dei tentativi di accesso, il monitoraggio degli accessi non autorizzati, il blocco degli IP e l’utilizzo di password forti sono alcuni dei modi più semplici ed efficaci per prevenire attacchi brute-force. Sfortunatamente, diversi proprietari di siti WordPress non si adeguano a queste pratiche di sicurezza, quindi gli hacker sono facilmente in grado di compromettere fino a 30.000 siti web in un solo giorno utilizzando attacchi brute-force.

Reindirizzamenti Malevoli

I reindirizzamenti malevoli creano backdoor nelle installazioni WordPress utilizzando FTSP, SFTP, wp-admin e altri protocolli e iniettano codici di reindirizzamento nel sito web. I reindirizzamenti vengono spesso inseriti nel file .htaccess e in altri file core di WP in moduli codificati, indirizzando il traffico Web verso siti maligni. Gli utenti di WordPress possono utilizzare scanner gratuiti come SiteCheck, che rilevano in modo efficace indirizzamenti dannosi, Bot vs. Browser e danno ascolto ai commenti degli utenti. Approfondiremo alcuni modi per prevenire questi accessi nei passaggi sulla sicurezza di WordPress che proponiamo più avanti.

Negazione del Servizio

Forse la più pericolosa di tutte, la vulnerabilità Denial of Service (DoS) sfrutta errori e bug nel codice per sovraccaricare la memoria dei sistemi operativi dei siti web. Gli hacker hanno compromesso milioni di siti web e raccolto milioni di dollari sfruttando versioni obsolete e bacate del software di WordPress con attacchi DoS. Sebbene i criminali informatici motivati ​​dal punto di vista finanziario siano meno propensi ad attaccare piccole imprese, tendono a compromettere siti obsoleti e vulnerabili creando catene di botnet per attaccare grandi imprese.

Persino le ultime versioni del software di WordPress non possono ritenersi completamente al sicuro dagli attacchi DoS di alto profilo, ma almeno vi aiuteranno ad evitare di rimanere intrappolati nel fuoco incrociato tra istituzioni finanziarie e sofisticati criminali informatici. E non dimenticate il 21 ottobre 2016. Questo fu il giorno in cui Internet è andata giù a causa di un attacco DNS DDoS. Leggete perché è importante utilizzare un provider DNS premium e una strategia di protezione dei sistemi per aumentare la sicurezza di WordPress.

Guida alla Sicurezza di WordPress 2018

Secondo Internet live stats, oltre 60.000 siti web vengono violati ogni giorno. Questo è il motivo per cui è così importante prendere un po’ di tempo per leggere i seguenti consigli su come migliorare la sicurezza di WordPress.

Siti WordPress violati

Fondamentalmente, la sicurezza non consiste in sistemi perfettamente sicuri. Una cosa del genere potrebbe essere poco pratica, o impossibile da ottenere e/o mantenere. Quello che si intende per sicurezza è la riduzione del rischio, non la sua eliminazione. Si tratta di utilizzare tutti i controlli più appropriati a vostra disposizione, entro limiti ragionevoli, che vi consentono di migliorare la vostra esposizione generale riducendo le probabilità di diventare voi stessi un bersaglio, e successivamente di essere hackerati. – WordPress Security Codex

Faremo in modo di mantenere questo post aggiornato con informazioni rilevanti man mano che le cose cambiano con la piattaforma di WordPress ed emergono nuove vulnerabilità.

Indice della Sicurezza di WordPress

1. Investire in un Servizio di Hosting WordPress Sicuro

Per quanto riguarda la sicurezza di WordPress, c’è da fare molto di più che bloccare gli accessi al vostro sito, anche se in questo post vi forniremo i migliori consigli su come farlo. Esiste anche una sicurezza a livello di server della quale è responsabile il vostro host WordPress. Qui da Kinsta prendiamo molto sul serio la sicurezza e gestiamo molti di questi problemi per conto dei nostri clienti. È molto importante scegliere un host affidabile per la vostra attività. Oppure, se state gestendo WordPress dal vostro VPS, dovete avere le conoscenze tecniche per fare queste cose da soli.

Hosting WordPress sicuro

L’Hardening del Server è la chiave per mantenere un ambiente WordPress completamente al sicuro. Occorrono più livelli di sicurezza hardware e software per garantire che l’infrastruttura IT che ospita i siti WordPress sia in grado di difendersi da minacce sofisticate, sia fisiche che virtuali. Per questo motivo, i server che ospitano WordPress dovrebbero essere aggiornati con il sistema operativo e il software (di sicurezza) più recenti, nonché essere accuratamente testati e scansionati alla ricerca di vulnerabilità e malware. Un esempio di questo tipo si è verificato quando siamo dovuti intervenire su NGINX per rimediare alle vulnerabilità di sicurezza OpenSSL che sono recentemente state scoperte.

Firewall a livello di server e sistemi di rilevamento delle intrusioni devono essere installati prima di installare WordPress sul server tenerlo in sicurezza anche durante l’installazione di WordPress e durante le fasi di costruzione del sito web. Tuttavia, ogni software installato sulla macchina per proteggere il contenuto di WordPress dovrebbe essere compatibile con i più recenti sistemi di gestione dei database al fine di mantenere prestazioni ottimali. Il server deve inoltre essere configurato per utilizzare protocolli di crittografia di networking e trasferimento file (come SFTP anziché FTP) per nascondere i contenuti sensibili da intrusioni pericolose.

Qui da Kinsta utilizziamo Google Cloud Platform per tutti i nostri clienti WordPress per garantire loro un hosting WordPress sicuro. Un grande vantaggio di Google Cloud Platform è che si basa su un modello di sicurezza che è stato sviluppato nel corso di 15 anni e attualmente protegge prodotti e servizi come Gmail, Search, ecc. Google al momento impiega a tempo pieno più di 500 professionisti della sicurezza. Kinsta utilizza anche i container Linux (LXC), e LXD per orchestrarli, al top di Google Cloud Platform, cosa che ci consente di isolare completamente non solo ciascun account, ma ogni singolo sito WordPress. Questa è una soluzione molto più sicura rispetto a quella offerta da altri concorrenti.

2. Utilizzare la Versione Più Recente di PHP

PHP è la spina dorsale del vostro sito WordPress e quindi utilizzare l’ultima versione di PHP sul vostro server è molto importante. Ogni major release di PHP è in genere pienamente supportata per due anni dal momento del suo rilascio. Durante questo periodo, i bug e i problemi di sicurezza sono corretti e aggiornati regolarmente. A partire da ora, chiunque abbia una versione di PHP inferiore a 5.6 non ha più supporto per la sicurezza ed è esposto a vulnerabilità prive di patch.

Versioni PHP per WordPress

Versioni PHP Supportate

E indovinate cosa? Secondo la pagina ufficiale di WordPress Stats, al momento in cui scriviamo, oltre il 35% degli utenti di WordPress utilizza ancora una versione di PHP precedente alla 5.6. Questo è spaventoso! A volte ci vuole tempo per aziende e sviluppatori per testare e garantire la compatibilità del loro codice, ma non ci sono scuse per lavorare su qualcosa che non abbia supporto di sicurezza.

Statistiche Versioni PHP WordPress

Statistiche sulle Versioni PHP di WordPress

Non sapete quale versione di PHP state utilizzando? La maggior parte degli host in genere inserisce questa informazione in una richiesta dell’header del vostro sito. Un modo rapido per verificare è eseguire il sito tramite Pingdom. Fate clic sulla prima richiesta e cercate un parametro X-Powered-By. In genere questo mostrerà la versione di PHP attualmente in uso sul vostro server.

Verifica versione PHP

Header HTTP X-Powered-By

Qui da Kinsta offriamo solo versioni stabili e supportate di PHP, tra cui 5.6, 7, 7.1, 7.2 e 7.3. Potete persino passare da una versione di PHP all’altra col clic di un pulsante all’interno del cruscotto di MyKinsta.

Cambiare versione PHP

Cambiare versione PHP

Se siete su un host WordPress che utilizza cPanel, potete passare da una versione di PHP all’altra facendo clic su “PHP Select” nella categoria software.

Versioni PHP in cPanel

Versioni PHP in cPanel

3. Username e Password Intelligenti

Sorprendentemente uno dei modi migliori per accrescere la sicurezza di WordPress è semplicemente utilizzare nomi utente e password intelligenti. Sembra abbastanza facile, vero? Bene, controllate la lista annuale 2017 di SplashData delle password più popolari che sono state rubate durante l’anno (ordinate in base alla popolarità).

  • 123456
  • Password
  • 12345678
  • querty
  • 12345
  • 123456789
  • letmein
  • 1234567
  • football
  • iloveyou

Esatto! La password più popolare è “123456”, seguita da una sorprendente “password”. Questo è uno dei motivi per cui qui da Kinsta forziamo sulle nuove installazioni di WordPress l’utilizzo di una password complessa per l’accesso da wp-admin (come mostrato di seguito a proposito del nostro processo di installazione ad un clic). Questo non è un optional.

Forzare password WordPress sicura

Forzare una password WordPress sicura

La funzione core wp_hash_password di WordPress utilizza il framework hashing della password phpass e otto passaggi di hashing MD5.

La migliore sicurezza parte dalla base. Google offre alcuni ottimi consigli su come scegliere una password sicura. In alternativa, potete usare uno strumento online come Strong Password Generator.

È anche importante utilizzare una password diversa per ogni sito web. Il modo migliore per archiviarle è localmente in un database crittografato sul vostro computer. Un buon strumento gratuito per questo scopo è KeePass. Se non volete seguire questa strada ci sono anche gestori di password online come LastPass o TeamPassword. Anche se i vostroi dati sono ospitati in modo sicuro nel cloud, questi sono generalmente più sicuri se non utilizzate la stessa password su più siti.

E per quanto riguarda l’installazione di WordPress, non dovreste mai usare il nome utente predefinito “admin”. Create un nome utente WordPress univoco per l’account di amministratore ed eliminate l’utente “admin”, se esiste. Potete farlo aggiungendo un nuovo utente dal menu “Utenti” del pannello di controllo e assegnandogli il profilo da “Amministratore” (come mostrato sotto).

Nuovo utente admin

Ruolo da Amministratore in WordPress

Una volta assegnato il ruolo di amministratore al nuovo account, è possibile tornare indietro ed eliminare l’utente “Admin” originale. Assicuratevi, quando fate clic su Elimina, di selezionare l’opzione “Attribuisci tutto il contenuto a” e di selezionare il vostro nuovo profilo da amministratore. Questo imposterà la persona come autore di quei post.

Elimina amministratore attribuisci contenuti

Attribuire tutto il contenuto all’Admin

Potete anche rinominare manualmente il vostro attuale nome utente da amministratore in phpMyAdmin, con il comando che segue. Assicuratevi di eseguire il backup del vostro database prima di modificare le tabelle:

UPDATE wp_users SET user_login = 'newcomplexadminuser' WHERE user_login = 'admin';

4. Usare Sempre l’Ultima Versione di WordPress e dei Plugin

Un altro modo molto importante per rafforzare la sicurezza di WordPress è di tenerlo sempre aggiornato. Ciò riguada sia il core di WordPress che i vostri plugin. Questi vengono aggiornati per un motivo preciso, e molte volte questo motivo riguarda miglioramenti della sicurezza e correzioni di bug. Vi consigliamo di leggere la nostra guida approfondita su questo argomento: Un’Analisi Approfondita degli Aggiornamenti Automatici di WordPress.

Tenere WordPress aggiornato

Tenere WordPress aggiornato

Sfortunatamente, milioni di aziende utilizzano versioni obsolete di software e plugin di WordPress, e continuano a credere di operare correttamente per il successo aziendale. Danno i loro motivi per non eseguire gli aggiornamenti, come “il loro sito si bloccherà” o “le modifiche principali se ne andrebbero” o “il plugin X non funzionerà” o perché “semplicemente non hanno bisogno della nuova funzionalità”.

In realtà, i siti web si bloccano principalmente a causa di bug nelle precedenti versioni di WordPress. Le modifiche al core non sono mai consigliate dal team di WordPress e da sviluppatori esperti che comprendono i rischi che queste comportano. Gli aggiornamenti di WordPress riguardano principalmente patch di sicurezza indispensabili, insieme con le funzionalità aggiuntive necessarie per eseguire gli ultimi plugin.

Lo sapevate che è stato segnalato che le vulnerabilità dei plugin rappresentano il 55,9% dei punti di ingresso noti per gli hacker? È quello che ha scoperto WordFence in uno studio del 2016 in cui hanno intervistato oltre 1.000 proprietari di siti WordPress vittime di attacchi. Aggiornando i vostri plugin potete essere sicuri che non sarete una di queste vittime.

Plugin e siti WordPress violati

Siti WordPress violati

É anche consigliato di installare solo plugin attendibili. Le categorie “in evidenza” e “popolari” della repository di WordPress possono essere un buon punto di partenza. Oppure scaricateli direttamente dal sito dello sviluppatore. Sconsigliamo decisamente di utilizzare plugin e temi WordPress annullati. Per prima cosa, non saprete mai quale parte del codice è stata modificata. Questo potrebbe facilmente portare ad una violazione del vostro sito. Inoltre, non pagare plugin WordPress premium non aiuta la community a crescere nel suo insieme. Abbiamo bisogno di supportare gli sviluppatori.

Potete utilizzare uno strumento online come VirusTotal per eseguire una scansione sui file di un plugin o di un tema per vedere se contiene qualche tipo di malware.

Virus Total

Virus Total

Come Aggiornare il Core di WordPress

Ci sono un paio di semplici modi per aggiornare un’installazione di WordPress. Se siete clienti Kinsta, abbiamo fornito backup automatici con un’opzione di ripristino ad un clic. In questo modo è possibile testare nuove versioni di WordPress e plugin senza doversi preoccupare di rompere nulla. Oppure potreste anche testare prima nel nostro ambiente di staging. Per aggiornare il core di WordPress è possibile fare clic su “Aggiornamenti” nella dashboard di WordPress e poi fare clic sul pulsante “Aggiorna ora”.

Aggiornare il core di WordPress

Potete anche aggiornare manualmente WordPress scaricando l’ultima versione e poi caricandola via FTP.

Importante! Sovrascrivere le cartelle sbagliate potrebbe bloccare il vostro sito. Se non vi sentite sicuri nel fare l’aggiornamento, confrontatevi prima con uno sviluppatore.

Seguite i passaggi sottostanti per aggiornare un’installazione esistente:

  • Eliminate le vecchie directory wp-include e wp-admin.
  • Caricate le nuove directory wp-include e wp-admin.
  • Caricate i singoli file dalla nuova cartella wp-content alla cartella wp-content esistente, sovrascrivendo i file esistenti. NON eliminate la cartella wp-content esistente. NON cancellate alcun file o cartella nella directory wp-content esistente (tranne quelli che vengono sovrascritti dai nuovi file).
  • Caricate tutti i nuovi file sciolti dalla directory principale della nuova versione alla vostra directory root dell’installazione esistente di WordPress.

Come Aggiornare i Plugin WordPress

L’aggiornamento dei plugin di WordPress è un processo molto simile all’aggiornamento del core. Fate clic su “Aggiornamenti” nella dashboard di WordPress, selezionate i plugin che desiderate aggiornare e fate clic su “Aggiorna plugin”.

Aggiornare i Plugin di WordPress

Aggiornare i Plugin di WordPress

Allo stesso modo, è possibile aggiornare un plugin manualmente. Basta prendere l’ultima versione dallo sviluppatore del plugin o dalla repository di WordPress e caricarla tramite FTP, sovrascrivendo il plugin esistente nella directory /wp-content/plugins.

È anche importante notare che gli sviluppatori non mantengono sempre aggiornato il loro plugin. Il team di WP Loop ha fatto una piccola analisi di quanti plugin di WordPress nella repository non sono aggiornati con al core di WordPress corrente. Secondo la loro ricerca, quasi il 50% dei plugin nella repository non è stato aggiornato da oltre 2 anni. Questo non significa che il plugin non funzionerà con la versione corrente di WordPress, ma si consiglia di scegliere plugin che vengono aggiornati attivamente. I plugin obsoleti hanno maggiori probabilità di contenere vulnerabilità.

Plugin WordPress non aggiornati

img src: WP Loop

Usate il vostro miglior giudizio quando si tratta di scegliere i plugin. Guardate la data dell’ultimo aggiornamento (“Last updated”) e il numero di valutazioni che ha il plugin. Come si vede nell’esempio qui sotto, questo è plugin non è aggiornato ed ha recensioni negative, quindi molto probabilmente è consigliabile starne alla larga.

Un vecchio plugin di WordPress

Un vecchio plugin di WordPress con una cattiva reputazione

Inoltre, esistono molte risorse per aiutarvi a rimanere al corrente degli ultimi aggiornamenti e vulnerabilità nella sicurezza di WordPress. Ecco alcuni esempi qui di seguito:

Archivio Sicurezza WordPress

Archivio Sicurezza WordPress

5. Bloccare l’Accesso al Pannello di Amministrazione di WordPress

A volte la popolare strategia della sicurezza tramite segretezza di WordPress è appropriatamente efficace per un sito aziendale di medie dimensioni e basato su WordPress. Se rendete più difficile per gli hacker trovare certe backdoor, è meno probabile che veniate attaccati. Bloccare il pannello di amministrazione e il login di WordPress è una buona strada per rafforzare la vostra sicurezza. Due ottimi modi per bloccare l’accesso prevedono innanzitutto di modificare la URL predefinita di accesso a wp-admin e poi di limitare i tentativi di accesso.

La sicurezza tramite segretezza può essere un modo molto efficace per rafforzare la sicurezza di #WordPress Click to Tweet

Come Modificare la URL di Accesso di WordPress

Di default, la URL di accesso del vostro sito WordPress è domain.com/wp-admin. Uno dei problemi che questo può comportare è che tutti i bot, gli hacker e gli script in circolazione lo sanno. Modificando la URL potrete rendervi meno visibili e proteggervi meglio dagli attacchi brute force. Questa non è una soluzione per tutti i problemi, è semplicemente un piccolo trucco che esservi molto utile a proteggervi. Per cambiare la vostra URL di accesso a WordPress vi consigliamo di utilizzare il plugin gratuito WPS Hide login.

Il plugin ha solo un’opzione ed è veloce da configurare. Una volta attivato, modificate semplicemente la URL di accesso a WordPress nella sezione “Generale” delle impostazioni. Ricordatevi di scegliere qualcosa di unico che non sia già presente in un elenco che un bot o uno script potrebbe tentare di scansionare.

Cambiare URL login WordPress

Nascondere la URL di accesso a WordPress

Come Limitare i Tentativi di Accesso

Mentre la soluzione vista sopra di modificare la URL di accesso da amministratore diminuirà la maggior parte dei tentativi di accesso non validi, anche la fissazione di un limite può essere molto efficace. Il plugin gratuito Cerber Limit Login Attempts è un ottimo modo per impostare facilmente la durata del blocco, i tentativi di accesso e whitelist e blacklist degli IP.

Limitare i tentativi di accesso a WordPress

Limitare i tentativi di accesso a WordPress

Se state cercando una soluzione di sicurezza WordPress più semplice, un’altra ottima alternativa è il plugin gratuito Login Lockdown. Login LockDown registra l’indirizzo IP e il timestamp di ogni tentativo di accesso fallito. Se vengono rilevati più di un certo numero di tentativi in un breve periodo di tempo dallo stesso intervallo di IP, la funzione di accesso viene disabilitata per tutte le richieste da quel range di IP. Ed è completamente compatibile con il plugin WPS Hide Login sopra menzionato.

Lockdown WordPress

Lockdown WordPress

Come Aggiungere l’Autenticazione Base HTTP (protezione htpasswd)

Un altro modo per bloccare il pannello di amministrazione è aggiungere l’autenticazione HTTP. Ciò richiede l’inserimento di un nome utente e una password prima di poter accedere alla pagina di login di WordPress. Nota: questo in genere non dovrebbe essere utilizzato nei siti eCommerce o nei siti con iscrizioni. Ma può fornire un modo molto efficace per impedire ai bot di colpire il vostro sito.

Autenticazione Base HTTP

Autenticazione Base HTTP

Apache

Se si utilizza un host cPanel, è possibile abilitare la protezione con password delle directory dal proprio pannello di controllo. Per configurarlo manualmente, dovete prima creare un file .htpasswd. Potete utilizzare questo pratico generatore. Quindi caricate il file in una directory nella cartella wp-admin, ad esempio:

home/user/.htpasswds/public_html/wp-admin/htpasswd/

Quindi create un file .htaccess con il seguente codice e caricatelo nella directory /wp-admin/. Assicuratevi di aggiornare il percorso della directory e il nome utente.

AuthName "Admins Only"
AuthUserFile /home/yourdirectory/.htpasswds/public_html/wp-admin/htpasswd
AuthType basic
require user yourusername

L’unico avvertimento per operare in questo modo è che si si interromperà il funzionamento di AJAX (admin-ajax) sul front-end del vostro sito. Questo è richiesto da alcuni plugin di terze parti. Quindi dovrete anche aggiungere il seguente codice al file .htaccess sopra.

<Files admin-ajax.php>
Order allow,deny
Allow from all
Satisfy any
</Files>

nginx

Se state utilizzando Nginx, potete anche limitare l’accesso con l’autenticazione base HTTP. Date un’occhiata a questo tutorial. Se siete clienti Kinsta, contattate il nostro team di supporto e lo aggiungeremo noi al vostro posto.

6. Sfruttare l’Autenticazione a Due Fattori

E, naturalmente, non possiamo dimenticare l’autenticazione a due fattori! Non importa quanto sia sicura la vostra password, c’è sempre il rischio che qualcuno la scopra. L’autenticazione a due fattori prevede un processo in 2 passaggi in cui non basta inserire la password per accedere, ma è necessario un ulteriore metodo. Generalmente si tratta di un messaggio di testo (SMS), una telefonata o una password a scadenza valida una sola volta (TOTP). Nella maggior parte dei casi, questo sistema è efficace al 100% nel prevenire attacchi brute force sul vostro sito WordPress. Perché? Perché è quasi impossibile che chi attacca abbia sia la vostra password che il vostro cellulare.

Ci sono realmente due parti quando si parla di autenticazione a due fattori. Il primo è il vostro account e/o la dashboard del vostro provider di hosting web. Se qualcuno ottiene l’accesso alla dashboard, potrebbe cambiare la vostra password, eliminare i vostri siti web, modificare i record DNS e ogni sorta di cose simili. Noi di Kinsta collaboriamo con Authy e disponiamo dell’autenticazione a due fattori per il cruscotto di MyKinsta.

La seconda parte dell’autenticazione a due fattori si riferisce alla vostra effettiva installazione di WordPress. Authy distribuisce un plugin ufficiale per WordPress che potete scaricare e utilizzare. Il loro piano gratuito è limitato a 100 autorizzazioni al mese, ma i loro piani a pagamento partono dal prezzo molto ragionevole di $0.09 ad autorizzazione, con utenti e autorizzazioni illimitati.

Se state cercando un’opzione completamente gratuita, il plugin Google Authenticator offre un’ottima alternativa. Questo plugin, inoltre, consente un numero illimitato di utenti. Una volta installato, potete fare clic sul vostro profilo utente, impostarlo come attivo e creare una nuova chiave segreta o eseguire la scansione del codice QR.

Autenticazione a due fattori in WordPress

Autenticazione a due fattori in WordPress

Potrete quindi utilizzare una delle app Authenticator gratuite sul vostro telefono:

Dopo averlo abilitato, per accedere vi richiederà la normale password oltre al codice dall’app di Google Authenticator sul telefono. Noterete un campo aggiuntivo che ora appare sulla vostra pagina di login di WordPress. Inoltre, questo plugin è completamente compatibile con il plugin WPS Hide Login menzionato in precedenza.

Login WordPress Google Authenticator

Google Authenticator code

Quindi assicuratevi di sfruttare l’autenticazione a due fattori, può essere un modo semplice per rafforzare la sicurezza di WordPress.

7. Utilizzare HTTPS per Connessioni Criptate – Certificato SSL

Uno dei modi più trascurati per rafforzare la sicurezza di WordPress è installare un certificato SSL ed far girare il vostro sito su HTTPS. HTTPS (Hyper Text Transfer Protocol Secure) è un meccanismo che consente al browser o all’applicazione web di collegarsi in modo sicuro a un sito web. Un grosso equivoco è che se non si accettano le carte di credito non è necessario SSL. Bene, lasciateci illustrare alcuni motivi per cui HTTPS è importante al di là del semplice eCommerce. Molti host, tra cui Kinsta, ora offrono anche certificati SSL gratuiti con Let’s Encrypt.

1. Sicurezza

Naturalmente, il motivo principale per utilizzare HTTPS è la maggiore sicurezza e, certo, questo è molto importante per i siti di eCommerce. Tuttavia, quanto sono importanti le vostre informazioni di accesso? Per quelli di voi che gestiscono siti WordPress multi-autore, se si gira su su HTTP, ogni volta che una persona esegue l’accesso, tali informazioni vengono passate al server come testo normale. HTTPS è assolutamente vitale per mantenere una connessione sicura tra un sito Web e un browser. In questo modo potete prevenire meglio che hacker o intrusi ottengano l’accesso al vostro sito web. Così anche blog, siti di notizie, agenzie, tutti possono trovare utile HTTPS, in quanto garantisce che le informazioni non passino mai in chiaro.

2. SEO

Google ha dichiarato ufficialmente che HTTPS è un fattore di ranking. Anche se è solo un piccolo fattore di ranking, la maggior parte di voi probabilmente trarrà vantaggio dalla SERP per battere la concorrenza.

3. Fiducia e Credibilità

Secondo un sondaggio di GlobalSign, il 28,9% dei visitatori cerca la barra degli indirizzi verde nel proprio browser. E il 77% di loro è preoccupato che i suoi dati vengano intercettati o male utilizzati online. Vedendo quel lucchetto verde, i clienti saranno immediatamente tranquillizzati sapendo che i loro dati sono più sicuri.

4. Dati di Referral

Molte persone non si rendono conto che i dati di referral da HTTPS a HTTP sono bloccati in Google Analytics. Quindi cosa succede ai dati? Bene, la maggior parte è solo accorpata nella sezione “traffico diretto”. Se qualcuno sta passando da HTTP a HTTPS, il referrer è invece sempre trasmesso.

5. Avvertenze di Chrome

Il team di Chrome ha annunciato che, a partire da gennaio 2017, segnalerà i siti HTTP che trasmettono password o carte di credito come non sicuri. Questo è particolarmente importante se il vostro sito web ottiene la maggior parte del suo traffico da Chrome. Potete consultare Google Analytics nella sezione Pubblico in Browser e sistema operativo, quindi consultate la percentuale di traffico che il vostro sito WordPress riceve da Google Chrome. Google sta rendendo molto più chiaro ai visitatori che il vostro sito WordPress potrebbe non essere in esecuzione su una connessione protetta.

6. Prestazioni

A causa di un nuovo protocollo chiamato HTTP/2, molto spesso, quelli che eseguono siti ottimizzati su HTTPS possono anche sperimentare aumenti di velocità. HTTP/2 richiede HTTPS per essere supportato dai browser. Il miglioramento delle prestazioni è dovuto a una serie di motivi, tra cui il miglior supporto di HTTP/2 del multiplexing, il parallelismo, la compressione HPACK con codifica Huffman, l’estensione ALPN e il server push. E con TLS 1.3 dietro l’angolo, le connessioni HTTPS saranno ancora più veloci.

State ripensando ad HTTPS adesso? Consultate la nostra guida approfondita alla migrazione di WordPress su HTTPS per prepararvi a partire.

Per applicare una connessione sicura e crittografata tra voi e il server durante il login e l’amministrazione del vostro sito, aggiungete la seguente riga al vostro file wp-config.php:

define ('FORCE_SSL_ADMIN', true);

8. Mettere in Sicurezza il Vostro File wp-config.php

Il vostro file wp-config.php è come il cuore e l’anima della vostra installazione di WordPress. È di gran lunga il file più importante del vostro sito per quel che riguarda la sicurezza di WordPress. Contiene le informazioni di accesso al database e le chiavi di sicurezza che gestiscono la crittografia delle informazioni nei cookie. Di seguito sono indicate un paio di cose che potete fare per proteggere meglio questo importante file.

1. Spostare wp-config.php

Di default il vostro file wp-config.php risiede nella directory principale della vostra installazione di WordPress (la vostra cartella HTML pubblica). Ma potete spostarlo in una directory non accessibile tramite www. Aaron Adams ha fornito una grande spiegazione del perché questo è così importante.

Per spostare il vostro file wp-config.php, basta semplicemente copiare tutto quello che vi è contenuto in un altro file. Quindi nel vostro file wp-config.php potete inserire il seguente frammento che semplicemente include l’altro file. Nota: il percorso della directory potrebbe essere diverso a seconda del vostro host web e della configurazione. In genere però è semplicemente una directory sopra.

<?php
include('/home/yourname/wp-config.php');

Nota: questo non funzionerà per gli utenti Kinsta, a causa della configurazione del nostro ambiente.

2. Aggiornare le Chiavi di Sicurezza di WordPress

Le chiavi di sicurezza di WordPress sono un set di variabili casuali che migliorano la crittografia delle informazioni memorizzate nei cookie dell’utente. A partire da WordPress 2.7, sono disponibili 4 chiavi diverse: AUTH_KEY, SECURE_AUTH_KEY, LOGGED_IN_KEY e NONCE_KEY. Quando installate WordPress, queste vengono generate casualmente. Tuttavia, se siete passati da diverse migrazioni o avete acquistato un sito da qualcun altro, potrebbe essere utile creare nuove chiavi di WordPress.

WordPress offre uno strumento gratuito che è possibile utilizzare per generare chiavi casuali. Potete aggiornare le vostre chiavi correnti memorizzate nel vostro file wp-config.php.

Alle prese con i tempi di inattività e problemi di WordPress? Kinsta è la soluzione di hosting progettata per farvi risparmiare tempo! Scopri i nostri servizi
Le chiavi di sicurezza di WordPress

Le chiavi di sicurezza di WordPress

Leggete di più sulle chiavi di sicurezza di WordPress.

3. Cambiare i Permessi

In genere i permessi sui file presenti nella directory principale di un sito WordPress saranno impostati su 644, il che significa che i file sono leggibili e scrivibili dal proprietario del file, leggibili dagli utenti del gruppo proprietario di quel file e leggibili da tutti gli altri. Secondo la documentazione di WordPress, le autorizzazioni sul file wp-config.php dovrebbero essere impostate su 440 o 400 per impedire ad altri utenti sul server di leggerlo. Potete facilmente modificare questa impostazione con il vostro client FTP.

Permessi su wp-config.php

Permessi su wp-config.php

9. Disabilitare XML-RPC

Negli anni passati XML-RPC è diventato un obiettivo sempre più grande per attacchi brute force. Come affermato da Sucuri, una delle funzionalità nascoste di XML-RPC è che è possibile utilizzare il metodo system.multicall per eseguire più metodi all’interno di una singola richiesta. Questo è molto utile in quanto consente all’applicazione di passare più comandi all’interno di una singola richiesta HTTP. Ma quello che succede è che questa funzionalità è usata anche per intenti malevoli.

Ci sono alcuni plugin di WordPress come Jetpack che si basano su XML-RPC, ma la maggior parte delle persone non ne ha bisogno e può essere utile semplicemente disabilitarne l’accesso. Non siete sicuri se XML-RPC sia attualmente in esecuzione sul vostro sito web? Danilo Ercoli, del team di Automattic, ha creato un piccolo strumento chiamato XML-RPC Validator. Potete eseguire il vostro sito WordPress attraverso questo strumento per vedere se XML-RPC è abilitato. Se non lo è, vedrete un messaggio di errore, come mostrato nell’immagine qui sotto del blog di Kinsta.

WordPress XML-RPC validator

WordPress XML-RPC validator

Per disabilitare completamente XML-RPC è possibile installare il plugin gratuito Disable XML-RPC. Oppure potete disabilitarlo con il plugin premium perfmatters, che consente anche miglioramenti delle prestazioni web. Se siete clienti di Kinsta, questi plugin non sono necessari perché, quando viene rilevato un attacco tramite XML-RPC, viene aggiunto un piccolo snippet di codice nel file di configurazione NGINX per fermarlo mentre è in corso – generando un errore 403.

location ~* ^/xmlrpc.php$ {
return 403;
}

10. Nascondere la Versione di WordPress

Nascondere la vostra versione di WordPress concerne ancora l’argomento della sicurezza di WordPress per oscuramento. Meno persone conoscono la vostra configurazione di WordPress, meglio è. Un’installazione non aggiornata di WordPress potrebbe essere un segnale di benvenuto per intrusi. Di default, la versione di WordPress viene visualizzata nell’intestazione del codice sorgente del sito. Ancora una volta, vi consigliamo semplicemente di assicurarvi che l’installazione di WordPress sia sempre aggiornata. Facendo così non dovrete preoccuparti di nascondere la versione.

Versione di WordPress nel codice sorgente

Versione di WordPress nel codice sorgente

WPBeginner ha un piccolo frammento di codice che potete usare per rimuovere la versione. Aggiungete semplicemente quanto segue al file functions.php del vostro tema WordPress.

Importante! La modifica del codice sorgente di un tema WordPress potrebbe bloccare il vostro sito se l’operazione non viene eseguita correttamente. Se non vi senti sicuri, vi consigliamo di contattare prima uno sviluppatore.
function wpversion_remove_version() {
return '';
}
add_filter('the_generator', 'wpversion_remove_version');

Potreste anche utilizzare un plugin premium come perfmatters (sviluppato da un membro del team di Kinsta), che vi consente di nascondere la versione di WordPress con un clic, insieme ad altre ottimizzazioni per il vostro sito WordPress.

Nascondere la versione di WordPress con perfmatters

Nascondere la versione di WordPress con perfmatters

Un altro posto dove appare la versione di WordPress si trova nel file readme.html predefinito (come mostrato di seguito), che è incluso in ogni versione di WordPress. Si trova nella root della vostra installazione, domain.com/readme.html. Potete tranquillamente cancellare questo file tramite FTP.

La versione di WordPress nel file readme

La versione di WordPress nel file readme

11. Aggiungere gli Ultimi Header di Sicurezza HTTP

Un altro passo in avanti per rafforzare la sicurezza di WordPress è l’utilizzo delle intestazioni di sicurezza HTTP. Queste sono solitamente configurate a livello di server e indicano al browser come comportarsi quando gestisce i contenuti del vostr sito. Esistono molte intestazioni di sicurezza HTTP diverse, ma quelle di seguito possono essere considerate le più importanti. KeyCDN ha pubblicato un ottimo post approfondito per chi volesse saperne di più sugli header di sicurezza HTTP.

Potete controllare quali header sono attualmente attivi nel vostro sito WordPress lanciando Chrome devtools e cercando gli header nella risposta iniziale del vostro sito. Di seguito è riportato un esempio di Kinsta.com. Potete vedere che stiamo utilizzando gli header strict-transport-security, x-content-type e x-frame-options.

Header Sicurezza HTTP WordPress

Header Sicurezza HTTP

Potete anche eseguire la scansione del vostro sito WordPress con lo strumento gratuito securityheaders.io di Scott Helme. Questo vi mostrerà quali header di sicurezza HTTP sono al momento attivi sul vostro sito. Se non siete sicuri di come implementare gli header, potete sempre chiedere aiuto al vostro host.

Header di sicurezza HTTP

Scansione degli header di sicurezza HTTP

Nota: è anche importante ricordare che quando si implementano le intestazioni di sicurezza HTTP, ciò potrebbe influire sui sottodomini di WordPress. Ad esempio, se si aggiunge l’intestazione Content Security Policy e si limita l’accesso in base ai domini, è necessario aggiungere anche i propri sottodomini.

12. Utilizzare Plugin di Sicurezza per WordPress

E ovviamente, dobbiamo ricordare alcuni plugin per la sicurezza di WordPress. Ci sono in giro molti ottimi sviluppatori e aziende che offrono grandi soluzioni per aiutare a proteggere meglio il vostro sito WordPress. Eccone alcuni.

Disponiamo di firewall hardware, sicurezza attiva e passiva, controlli di uptime al minuto e numerosi altri servizi avanzati per impedire agli hacker di accedere ai vostri dati. Se, nonostante i nostri sforzi, il vostro sito dovesse essere compromesso, lo ripareremo gratuitamente.

Ecco alcune funzionalità e utilizzi comuni dei plugin elencati sopra:

  • Generare e forzare password complesse durante la creazione di profili utente
  • Forzare le password a scadere e ad essere ripristinate regolarmente
  • Log delle azioni degli utenti
  • Aggiornamenti semplificati delle chiavi di sicurezza di WordPress
  • Scansione malware
  • Autenticazione a due fattori
  • reCAPTCHA
  • Firewall di sicurezza WordPress
  • Whitelist degli IP
  • Blacklist degli IP
  • Log delle modifiche dei file
  • Monitoraggio dele modifiche ai DNS
  • Blocco delle reti dannose
  • Visualizzazione delle informazioni WHOIS sui visitatori

Una funzionalità molto importante di molti plugin di sicurezza è l’utilità di checksum. Vuol dire che controllano l’installazione di WordPress e cercano le modifiche sui file del core forniti da WordPress.org (tramite l’API). Eventuali modifiche a questi file potrebbero suggerire che c’è stata una violazione. Potete anche utilizzare WP-CLI per eseguire i vostri checksum.

Un altro ottimo plugin che merita una menzione d’onore è il plugin WordPress Security Audit Log. Questo plugin è fantastico per quelli di voi che lavorano su WP multisite o semplicemente multi-autore. Assicura la produttività degli utenti e consente agli amministratori di vedere tutto ciò che viene modificato; cose come accessi, modifiche della password, modifiche ai temi, modifiche ai widget, nuove creazioni di post, aggiornamenti di WordPress, ecc. Praticamente tutto ciò che accade viene registrato! Al momento in cui scriviamo, il plugin WP Security Audit Log vanta oltre 40.000 installazioni attive con una valutazione di 4,7 stelle su 5.

Security Audit Log Viewer WordPress

Security Audit Log Viewer

Il plugin dispone anche di add-on premium aggiuntive, come notifiche email, gestione sessioni utente, ricerca e report. Date un’occhiata anche a questi plugin di sicurezza WordPress che possono aiutarvi a bloccare i malintenzionati.

13. Rafforzare la Sicurezza del Database

Ci sono un paio di modi per migliorare la sicurezza del vostro database WordPress. Il primo è utilizzare un nome intelligente per il database . Se il vostro sito si chiama trucchi pallavolo, di default il vostro database di WordPress è chiamato molto probabilmente wp_trucchipallavolo. Cambiando il nome del vostro database a qualcosa di più oscuro, è possibile proteggere il vostro sito rendendo più difficile agli hacker identificare e accedere ai dati del vostro database. I ragazzi di WPMUDEV hanno scritto un piccolo grande tutorial su come cambiare il nome del vostro database su installazioni esistenti.

Una seconda raccomandazione è quella di utilizzare un diverso prefisso per le tabelle del database. Di default WordPress usa wp_. Cambiare questo a qualcosa come 39xw_ può essere molto più sicuro. Quando installate WordPress, vi viene richiesto un prefisso tabella (come mostrato qui sotto). Ci sono anche modi per cambiare il prefisso delle tabelle di WordPress su installazioni esistenti.

Prefisso tabelle WordPress

Prefisso tabelle WordPress – img src: jatinarora

14. Utilizzare Sempre Connessioni Sicure

Non potremo mai sottolineare abbastanza quanto sia importante l’utilizzo di connessioni sicure! Assicuratevi che il vostro host WordPress stia prendendo precauzioni come SFTP o SSH. SFTP o Secure File Transfer Protocol (noto anche come protocollo di trasferimento file SSH), è un protocollo di rete utilizzato per i trasferimenti di file. È un metodo più sicuro rispetto al consueto FTP. Noi di Kinsta supportiamo solo connessioni SFTP per garantire che i vostri dati rimangano sicuri e criptati. La maggior parte degli host di WordPress utilizza in genere la porta 22 per SFTP. Noi di Kinsta facciamo un ulteriore passo in avanti e diamo ad ogni sito una porta casuale che può essere trovata nel cruscotto di MyKinsta.

Come Utilizzare SFTP

Informazioni SFTP

È anche importante assicurarsi che il router di casa sia configurato correttamente. Se qualcuno viola la vostra rete domestica, potrebbe avere l’accesso ad ogni tipo di informazione, comprese eventualmente le informazioni rilevanti del vostro sito WordPress. Ecco alcuni semplici consigli:

  • Non abilitate la gestione remota (VPN). Gli utenti comuni non usano mai questa funzione e, tenendola spenta, potete evitare di esporre la vostra rete al mondo esterno.
  • I router utilizzano per impostazione predefinita gli IP in un dato intervallo, come 192.168.1.1. Utilizzate un intervallo diverso, ad esempio 10.9.8.7.
  • Abilitate il massimo livello di crittografia sul vostro Wifi.
  • Create una whitelist di IP per il vostro Wifi in modo tale che solo le persone con la password e determinati IP possano accedervi.
  • Mantenete aggiornato il firmware del router.

E fate sempre attenzione quando accedete al vostro sito WordPress in luoghi pubblici. Ricordate, Starbucks non è una rete sicura! Prendete precauzioni come verificare l’SSID di rete prima di fare clic su Connetti. Potete anche utilizzare un servizio VPN di terze parti come ExpressVPN per crittografare il vostro traffico Internet e nascondere il vostro indirizzo IP agli hacker.

15. Controllare le Autorizzazioni su File e Server

Le autorizzazioni sui file sia per l’installazione che per il server sono fondamentali per rafforzare la sicurezza di WordPress. Se le autorizzazioni sono troppo blande, qualcuno potrebbe facilmente accedere al vostro sito e provocare il caos. D’altra parte, autorizzazioni sono troppo rigide potrebbero compromettere la funzionalità del vostro sito. Quindi è importante impostare le autorizzazioni corrette su tutta la linea.

Autorizzazioni sui File

  • Read – Le autorizzazioni di lettura vengono assegnate se l’utente dispone dei diritti per leggere il file.
  • Write – Le autorizzazioni di scrittura vengono assegnate se l’utente dispone dei diritti per scrivere o modificare il file.
  • Execute – Le autorizzazioni di esecuzione vengono assegnate se l’utente ha i diritti per eseguire il file e/o eseguirlo come script.

Autorizzazioni sulle Directory

  • Read – Le autorizzazioni di lettura vengono assegnate se l’utente ha i diritti per accedere ai contenuti della cartella/directory identificata.
  • Write – Le autorizzazioni di scrittura vengono assegnate se l’utente ha i diritti per aggiungere o eliminare i file contenuti nella cartella/directory.
  • Execute – Le autorizzazioni di esecuzione vengono assegnate se l’utente ha i diritti per accedere alla directory ed eseguire funzioni e comandi, inclusa la possibilità di eliminare i dati all’interno della cartella/directory.

Potete utilizzare un plugin gratuito come iThemes Security per effettuare la scansione delle autorizzazioni nel vostro sito WordPress.

Permessi sui file di WordPress

Scansione dei permessi sui file di WordPress

Ecco alcuni consigli tipici per quanto riguarda le autorizzazioni su file e cartelle in WordPress. Date un’occhiata all’articolo del Codex WordPress sulla modifica dei permessi sui file per una spiegazione più approfondita.

  • Tutti i file dovrebbero essere 644 o 640. Eccezione: wp-config.php dovrebbe essere 440 o 400 per impedire ad altri utenti presenti sul server di leggerlo.
  • Tutte le directory dovrebbero avere 755 o 750.
  • Nessuna directory dovrebbe mai essere avere 777, comprese le directory degli upload.

16. Disabilitare la Modifica dei File nella Dashboard di WordPress

Molti siti WordPress hanno più utenti e amministratori, cosa che può rendere più complessa la messa in sicurezza di WordPress. Una pratica molto negativa è quella di fornire agli utenti con ruolo author o contributor l’accesso da amministratori, ma sfortunatamente, si verifica sempre. È importante dare agli utenti i ruoli e le autorizzazioni corretti in modo che non rompano nulla. Per questo motivo può essere utile semplicemente disabilitare la pagina “Aspetto – Editor” in WordPress. Molti di voi probabilmente ci sono incappati una volta o l’altra. Andate a modificare rapidamente qualcosa nell’Editor dell’Aspetto e all’improvviso vi trovate una schermata bianca della morte. È molto meglio modificare il file localmente e caricarlo via FTP. E, naturalmente, nella migliore pratica, dovreste prima provare cose come questa su un sito di sviluppo.

Editor Aspetto di WordPress

Editor Aspetto di WordPress

Inoltre, se il vostro sito WordPress viene violato la prima cosa che un hacker potrebbe fare è provare a modificare un file o un tema PHP tramite l’Editor dell’Aspetto. Questo è un modo rapido per eseguire codice dannoso sul vostro sito. Se non diamo accesso all’editor nella dashboard, tanto per cominciare, è possibile prevenire gli attacchi. Inserite il seguente codice nel vostro file wp-config.php per rimuovere le funzionalità ‘edit_themes’, ‘edit_plugins’ e ‘edit_files’ per tutti gli utenti.

define ('DISALLOW_FILE_EDIT', true);

17. Prevenire l’Hotlinking

Il concetto di hotlinking è molto semplice. Trovate un’immagine da qualche parte su Internet e utilizzate la URL dell’immagine direttamente nel vostro sito. Questa immagine sarà visualizzata sul vostro sito web ma sarà servita dalla posizione originale. Questo è in realtà un furto poiché utilizza la larghezza di banda del sito collegato. Questo potrebbe non sembrare un grosso problema, tuttavia potrebbe generare alti costi aggiuntivi. The Oatmeal è un ottimo esempio. L’Huffington Post ha utilizzato l’hotlink per un suo fumetto composto da più immagini, e questo ha ricevuto un conto della enorme cifra di oltre $1.000.

Hotlinking

Il conto dell’hotlinking

Prevenire l’Hotlinking in Apache

Per evitare l’hotlinking in Apache basta aggiungere il seguente codice al file .htaccess.

RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?yourdomain.com [NC]
RewriteRule \.(jpg|jpeg|png|gif)$ http://dropbox.com/hotlink-placeholder.jpg [NC,R,L]

La seconda riga definisce il referrer consentito – il sito che è autorizzato a collegarsi direttamente all’immagine, questo dovrebbe essere il vostro sito web. Se si desidera autorizzare più siti, è possibile duplicare questa riga e sostituire il referrer. Se volete generare regole più complesse, date un’occhiata a questo generatore di protezione di htaccess dall’hotlinking.

Impedire l’Hotlinking in NGINX

Per evitare l’hotlinking in NGINX è sufficiente aggiungere il seguente codice al file di configurazione.

location ~ .(gif|png|jpe?g)$ {
valid_referers none blocked ~.google. ~.bing. ~.yahoo yourdomain.com *.yourdomain.com;
if ($invalid_referer) {
return 403;
}
}

Impedire l’Hotlinking su CDN

Se state servendo le immagini da un CDN, la configurazione potrebbe essere leggermente diversa. Ecco alcune risorse con i provider CDN più diffusi.

18. Fare Sempre i Backup

I backup sono l’unica cosa di cui tutti sanno di aver bisogno ma che non sempre fanno. La maggior parte delle raccomandazioni riportate sopra sono misure di sicurezza che è possibile adottare per proteggersi meglio. Ma non importa quanto sia sicuro il vostro sito, non sarà mai sicuro al 100%. Quindi avrete bisogno di backup nel caso in cui succeda il peggio. La maggior parte dei provider di hosting WordPress gestiti ora fornisce backup. Kinsta dispone di backup automatici che vi consentono di fare sonni tranquilli. Inoltre, potete ripristinare il vostro sito con un solo clic.

Backup WordPress

Backup automatici di WordPress

Se il vostro host non offre backup, ci sono alcuni famosi servizi e plugin per WordPress che potete utilizzare per automatizzare il processo.

Servizi di Backup WordPress

I servizi di backup di WordPress di solito hanno una tariffa mensile bassa e archiviano i backup nel cloud.

Plugin di Backup WordPress

I plugin di backup di WordPress vi permettono di prelevare i vostri backup via FTP o integrarli con una fonte di archiviazione esterna come Amazon S3, Google Drive o Dropbox. Consigliamo vivamente di utilizzare una soluzione incrementale in modo da utilizzare meno risorse.

Nota: non consentiamo l’utilizzo di plugin di backup sui server di Kinsta a causa di problemi sulle prestazioni. Ma facciamo così perché gestiamo tutto questo a livello di server, in modo da non rallentare il ​​vostro sito WordPress.

19. Protezione DDoS

DDoS è un tipo di attacco DOS in cui vengono utilizzati più sistemi per colpire un singolo sistema generando un attacco Denial of Service (DoS). Gli attacchi DDoS non sono una novità – secondo la Britannica il primo caso documentato risale ai primi anni del 2000. A differenza di un hacker che ha violato il vostro sito, questo tipo di attacchi normalmente non danneggia il sito, ma lo interrompe per poche ore o qualche giorno. Cosa potete fare per proteggervi? Uno dei migliori consigli è quello di utilizzare un servizio di sicurezza di terze parti affidabile, come Cloudflare o Sucuri. Se gestite un’attività, può aver senso investire nei loro piani premium.

Protezione DDoS di Cloudflare e Sucuri

Protezione DDoS di Cloudflare e Sucuri

La loro protezione DDoS avanzata può essere utilizzata per mitigare gli attacchi DDoS di tutte le forme e dimensioni, compresi quelli che hanno come target i protocolli UDP e ICMP, nonché gli attacchi SYN/ACK, di amplidicazione del DNS e Layer 7. Altri vantaggi comprendono la possibilità di associare un proxy che aiuta a nascondere l’indirizzo IP di origine, sebbene questo non sia proprio blindato.

Date un’occhiata al nostro caso di studio su come fermare un attacco DDoS. Avevamo un cliente con un piccolo sito di e-commerce su Easy Digital Download che ha ricevuto oltre 5 milioni di richieste su una singola pagina in 7 giorni. Generalmente il sito generava solo tra 30-40 MB al giorno come consumo di banda, e un paio di centinaia di visitatori al giorno. Ma, inaspettatamente, il sito è salito istantaneamente a 15-19 GB di trasferimento dati al giorno! É un aumento del 4650%. E Google Analytics non ha mostrato traffico aggiuntivo. Quindi non va bene.

Alto consumo di banda

Alto consumo di banda per un attacco DDoS

Il cliente ha implementato sul proprio sito il firewall dell’applicazione Web di Sucuri e tutta la larghezza di banda e le richieste sul sito sono state immediatamente rilasciate (come mostrato di seguito) e da allora non si è verificato nemmeno un problema. Quindi, si tratta sicuramente di un buon investimento e di un risparmio di tempo se vi imbatti in problemi come questi.

Firewall applicazione web Sucuri

Aggiunta del firewall dell’applicazione web di Sucuri

Sommario

Come potete vedere, ci sono numerosi modi per aumentare la sicurezza di WordPress. L’utilizzo di password intelligenti, l’aggiornamento del core e dei plugin e la scelta di un sicuro host WordPress gestito, sono solo alcuni di quelli che manterranno il vostro sito WordPress attivo e funzionante. Per molti di voi, il sito WordPress costituisce la vostra azienda e il vostro reddito, quindi è importante prendersi del tempo e mettere in atto alcune delle migliori pratiche di sicurezza sopra menzionate.

Avete qualche consiglio importante sulla sicurezza di WordPress che ci è sfuggito? Se è così, fatecelo sapere qui sotto nei commenti.