Se disponi di un sito WordPress, le possibilità sono che il tuo sito venga costantemente attaccato dagli hacker.
Sono costantemente alla ricerca di debolezze che li lasceranno entrare, sia che si tratti di un plug-in obsoleto o di un tema o di una password facile da capire. Una volta entrati, possono ovviamente wreakhavoc.
Giusto per dimostrare di cosa sto parlando, ecco cosa dice la mia dashboard di WordPress in questo momento.
Ecco perché i tuoi siti WordPress sono assolutamente a prova di proiettile. Ecco i modi migliori per procedere basandomi sulle mie conversazioni di consulenza con le aziende.
Ottieni il nome utente e la password migliori possibili
Se l'ho visto una volta, l'ho visto mille volte. Le persone creano siti Web WordPress con nome utente e password entrambi impostati su "admin" e poi si chiedono perché siano stati hackerati.
La tua pagina di accesso è essenzialmente la porta principale del tuo sito web. Quindi ha senso renderlo il più difficile possibile per un intruso. Non lasceresti aperta la porta di casa tua, vero?
In_content_1 all: [300x250] / dfp: [640x360]->Molti host web automatizzeranno la configurazione di WordPress per te e quando lo faranno, dovresti specificare un nome utente diverso da "admin". Se usi "admin", stai rendendo troppo facile per loro un hacker.
Ottieni un nome utente impossibile da indovinare da qualcun altro. Non utilizzare un nome utente che usi altrove su Internet. Qualcuno deve solo cercare su Google di trovare questi nomi utente.
Per quanto riguarda la password, fatevi un enorme favoree ottenete un gestore di password. Un open-source gratuito che consiglio vivamente è KeyPass. Quindi fai in modo che la tua password di WordPress sia lunga almeno 30 caratteri con caratteri speciali gettati nel mix. Sì, è giusto. 30 caratteri.
Installa plug-in AnAnti-Brute-Force
Rafforzando quella metafora della porta, ha anche senso aggiungere alcuni blocchi di sicurezza. Per WordPress, secondo me, hai quattro opzioni: Google Authenticator, Authy, Blocco accesso o reCAPTCHA.
Per essere chiari, Google Authenticator e Authy fanno la stessa cosa. Ottieni un codice sul tuo smartphone e lo inserisci nella pagina di accesso. Senza di essa, ti viene negato l'ingresso.
Blocco accesso è un plug-in che limita il numero di tentativi di accesso errati prima che l'indirizzo IP della persona venga bloccato per un determinato periodo di tempo specificato. Puoi anche installare questo insieme a Authenticator per la sicurezza del super-duper.
reCAPTCHA non è il mio preferito ma è meglio di niente. Inoltre non è infallibile perché è stato rotto prima. Ma come ho detto, meglio di niente. reCAPTCHA obbliga l'utente a digitare una sequenza di parole o fare clic su determinate immagini.
Assicurati che tutti i plug-in e gli aggiornamenti siano aggiornati
Il prossimo passo è assicurarti che tutti i tuoi temi e plugin siano aggiornati regolarmente base. Ancora una volta, qualsiasi vulnerabilità - sia nota che sconosciuta - può essere utilizzata da un hacker per sfruttare un sito.
Dovresti tenere d'occhio la pagina "Aggiornamenti" in cui sono elencati tutti gli aggiornamenti disponibili. Questo dovrebbe essere fatto su base giornaliera. Puoi trovare la pagina Aggiornamenti come sottoscheda nella Dashboardtab.
Disabilita eventuali temi e plugin non necessari
Proprio come dovresti tenere aggiornati tutti i temi e i plugin, così dovresti disabilitare anche quelli che doni 't need.
Non c'è motivo per mantenere attivi i plugin e i plug-in inutilizzati, e così facendo aumenta solo il rischio che l'avulnerabilità venga scoperta abbastanza grande da far entrare un attaccante. Quindi elimina tutti i temi che non stai usando. Possono sempre essere reinstallati in un secondo momento.
Per quanto riguarda i plug-in, eliminali completamente o almeno disattivali.
Non consentire a nessuno di creare account utente
Se il sito WordPress viene utilizzato da un'azienda o da un team di qualche tipo, quindi gli account utente saranno ovviamente necessari. Ma se sei un singolo utente del sito, non consentire a nessuno di creare account utente. Soprattutto le persone che non conosci.
Puoi impedire alle persone di farlo andando su Impostazioni–>Generale. Scorri verso il basso fino a "Iscrizione" e seleziona "Chiunque può registrarsi".
Esegui il downgrade di tutti gli altri utenti autorizzati
Se devi fornire account utente alle persone, assicurati che abbiano il ruolo di accesso appropriato.
Ad esempio, la persona che possiede il sito dovrebbe essere l'amministratore. Ma se qualcuno è un guest blogger per te, deve solo essere elencato come autore. Non dare a nessuno privilegi elevati se non ne hanno bisogno.
Vai su Utenti–>Tutti gli utentie scegli per quale persona desideri cambiarli. Quindi scegli dalla casella a discesa.
Ferma tutti gli accessi alle directory con un file Index.HTML
Potresti non saperlo ma se riesci a creare una nuova directory su il tuo sito web, aggiungi file e non aggiungere un file index.html, tutti i contenuti di quella directory sono visualizzabili pubblicamente.
Per impedire che ciò accada, createa file di testo vuoto e chiamalo index.html.Quindi caricalo nella nuova directory. Qualsiasi tentativo di visualizzare la directory rimbalzerà la persona alla pagina dell'indice vuota.
Ottieni un certificato SSLC
Una delle cose migliori che puoi realizzare sul tuo sito web è ottenere un certificato SSL. Google ora dà maggiore priorità ai siti SSL nei risultati di ricerca e, naturalmente, protegge anche il tuo sito.
SSL semplicemente assicura la connessione tra il browser dell'utente e il server Web in cui si trova il sito web. Quindi è estremamente difficile per gli hacker entrare nella connessione e rubare dati.
Esistono due modi per ottenere un certificato SSL. Puoi acquistarne uno ma puoi anche acquistarne uno gratuitamente da Facciamo crittografare. Molti host web ora offrono Let's Encrypt come servizio automatizzato gratuito.
Backup del sito Web YourWordpress OGNI Giorno
Infine, se il peggio arriva al peggio e SEI violato, hai bisogno di un modo per ottenere il tuo sito eseguire il backup e l'esecuzione il più rapidamente possibile. Ecco perché è necessario un backup giornaliero di tutti i file di installazione.
La soluzione di gran lunga più semplice è jetpack, gestita dalle stesse persone che hanno creato WordPress. A soli $ 3,50 al mese per un sito, è sicuramente il più conveniente.
Conclusione
Esistono molti altri modi per bloccare il tuo sito ma molti di essi implicano una codifica complessa o l'installazione di plugin con opzioni complesse. Se stai appena iniziando su questo argomento, allora è meglio coprire prima le nozioni di base, che è quello che ho tentato di coprire fino ad oggi.