Al giorno d'oggi il lancio del tuo sito WordPress è piuttosto semplice. Sfortunatamente, non ci vorrà molto prima che gli hacker inizino a prendere di mira il tuo sito.
Il modo migliore per rendere sicuro un sito WordPress è comprendere ogni punto di vulnerabilità derivante dall'esecuzione di un sito WordPress. Quindi installa la protezione appropriata per bloccare gli hacker in ciascuno di questi punti.
In questo articolo imparerai come proteggere meglio il tuo dominio, il tuo login WordPress e gli strumenti e i plugin disponibili per proteggere il tuo sito WordPress .
Crea un dominio privato
Oggigiorno è fin troppo facile trova un dominio disponibile e acquistarlo a un prezzo molto basso. La maggior parte delle persone non acquista mai alcun componente aggiuntivo di dominio per il proprio dominio. Tuttavia, un componente aggiuntivo che dovresti sempre considerare è la protezione della privacy.
Esistono tre livelli di base di protezione della privacy con GoDaddy, ma questi corrispondono anche alle offerte della maggior parte dei provider di dominio.
Di solito, l'aggiornamento del tuo dominio a uno di questi livelli di sicurezza richiede solo di scegliere di eseguire l'upgrade da un menu a discesa nella pagina dell'elenco dei domini.
La protezione di base del dominio è abbastanza economica (di solito circa $ 9,99 / anno) e livelli di sicurezza più elevati sono non è molto più costoso.
Questo è un ottimo modo per impedire agli spammer di estrarre le tue informazioni di contatto dal database WHOIS o ad altri con intenti dannosi che desiderano accedere alle tue informazioni di contatto.
Nascondi wp- File config.php e .htaccess
Quando per la prima volta installa WordPress, dovrai includere l'ID amministrativo e la password per il tuo database SQL di WordPress nel file wp-config.php .
Questi dati vengono crittografati dopo l'installazione, ma vuoi anche impedire agli hacker di modificare questo file e danneggiare il tuo sito web. Per fare ciò, trova e modifica il file .htaccess nella cartella principale del tuo sito e aggiungi il seguente codice in fondo al file.
# protect wpconfig.php
<files wp-config.php>
order allow,deny
deny from all
</files>
Per impedire modifiche a. htaccess stesso, aggiungi anche quanto segue alla fine del file.
# Protect .htaccess file
<Files .htaccess>
order allow,deny
deny from all
</Files>
Salva il file ed esci dall'editor di file.
Potresti anche considerare di fare clic con il pulsante destro del mouse su ogni file e modificare le autorizzazioni per rimuovere completamente l'accesso in scrittura per tutti.
Sebbene questa operazione sul file wp-config.php non dovrebbe causare alcun problema, farlo su .htaccess potrebbe causare problemi. Soprattutto se stai utilizzando plug-in di sicurezza WordPress che potrebbero dover modificare il file .htaccess per te.
Se ricevi errori da WordPress, puoi sempre aggiornare le autorizzazioni per consentire l'accesso in scrittura sul file. htaccess di nuovo.
Cambia il tuo URL di accesso a WordPress
Poiché la pagina di accesso predefinita per ogni sito WordPress è tuodominio / wp-admin.php, gli hacker useranno questo URL per provare a hackerare nel tuo sito.
Lo faranno attraverso i cosiddetti attacchi di "forza bruta" in cui invieranno varianti di nomi utente e password tipici che molte persone usano comunemente. Gli hacker sperano di essere fortunati e di ottenere la giusta combinazione.
Puoi fermare completamente questi attacchi cambiando il tuo URL di accesso a WordPress in qualcosa di non standard.
Ci sono molti plugin di WordPress per aiutarti a farlo. Uno dei più comuni è WPS Nascondi login.
Questo plugin aggiunge una sezione alla scheda Generalein Impostazioniin WordPress.
Qui puoi digitare qualsiasi URL di accesso che desideri e selezionare Salva modificheper attivarlo. La prossima volta che desideri accedere al tuo sito WordPress, utilizza questo nuovo URL.
Se qualcuno tenta di accedere al tuo vecchio URL wp-admin, verrà reindirizzato alla pagina 404 del tuo sito.
Nota: se utilizzi un plug-in della cache, assicurati di aggiungere il tuo nuovo URL di accesso all'elenco dei siti nonda memorizzare nella cache. Quindi assicurati di svuotare la cache prima di accedere nuovamente al tuo sito WordPress.
Installa un plugin per la sicurezza di WordPress
Ce ne sono molti Plugin per la sicurezza di WordPress da scegli da. Di tutti, Wordfence è il più scaricato, per una buona ragione.
La versione gratuita di Wordfence include un potente motore di scansione che cerca minacce backdoor, codice dannoso nei tuoi plugin o sul tuo sito, minacce di iniezione di MySQL e altro ancora. Include anche un firewall per bloccare le minacce attive come gli attacchi DDOS.
Ti consentirà inoltre di fermare gli attacchi di forza bruta limitando i tentativi di accesso e bloccando gli utenti che fanno troppi tentativi di accesso errati.
Sono disponibili alcune impostazioni nella versione gratuita. Più che sufficiente per proteggere i siti Web di piccole e medie dimensioni dalla maggior parte degli attacchi.
È inoltre disponibile un'utile pagina del dashboard che puoi esaminare per monitorare le minacce e gli attacchi recenti che sono stati bloccati.
Utilizza il Generatore di password WordPress e 2FA
L'ultima cosa che vuoi è che gli hacker indovinino facilmente la tua password. Sfortunatamente, troppe persone usano password molto semplici che sono facili da indovinare. Alcuni esempi includono l'utilizzo del nome del sito web o del nome dell'utente come parte della password oppure il non utilizzo di caratteri speciali.
Se hai eseguito l'upgrade all'ultima versione di WordPress, hai accesso a potenti strumenti di sicurezza delle password per proteggere il tuo sito WordPress.
Il primo passaggio per migliorare la sicurezza della password è andare da ogni utente del tuo sito, scorrere verso il basso fino alla sezione Gestione account e selezionare il pulsante Genera password.
Questo genererà una password lunga e molto sicura che include lettere, numeri e caratteri speciali. Salva la password in un luogo sicuro, preferibilmente in un documento su un'unità esterna che puoi scollegare dal computer mentre sei online.
Seleziona Esci da qualsiasi altra parteper assicurarti che tutti le sessioni attive vengono chiuse.
Infine, se hai installato il plugin per la sicurezza di Wordfence, vedrai un pulsante Attiva 2FA. Seleziona questa opzione per abilitare l'autenticazione a due fattori per i tuoi accessi utente.
Se non stai utilizzando Wordfence, dovrai installare uno di questi popolari plugin 2FA.
Altre importanti considerazioni sulla sicurezza
Ci sono alcune altre cose che puoi fare per proteggere completamente il tuo sito WordPress.
Entrambi l 'Plugin di WordPress e la versione di WordPress stesso dovrebbero essere aggiornati in ogni momento. Gli hacker spesso cercano di sfruttare le vulnerabilità nelle versioni precedenti del codice sul tuo sito. Se non aggiorni entrambi, stai lasciando il tuo sito a rischio.
1. Seleziona regolarmente Plugine Plugin installatinel tuo pannello di amministrazione di WordPress. Esamina tutti i plug-in per verificare che sia disponibile una nuova versione.
Quando ne vedi uno non aggiornato, seleziona aggiorna ora. Puoi anche considerare di selezionare Abilita aggiornamenti automatici per i tuoi plugin.
Tuttavia, alcune persone sono diffidenti nel farlo poiché gli aggiornamenti dei plugin a volte possono danneggiare il tuo sito o tema. Quindi è sempre una buona idea testare gli aggiornamenti dei plug-in su un sito di test WordPress locale prima di abilitarli sul tuo sito live.
2. Quando accedi alla dashboard di WordPress, vedrai una notifica che WordPress non è aggiornato se stai utilizzando una versione precedente.
Di nuovo, esegui il backup del sito e caricalo su un sito di test locale sul tuo PC per verificare che l'aggiornamento di WordPress non interrompa il tuo sito prima di aggiornarlo sul tuo sito web live.
3. Approfitta delle funzionalità di sicurezza gratuite del tuo host web. La maggior parte degli host web offre una varietà di servizi di sicurezza gratuiti per i siti che ospiti lì. Lo fanno perché non solo protegge il tuo sito, ma mantiene al sicuro l'intero server. Ciò è particolarmente importante quando si utilizza un account di hosting condiviso in cui altri client hanno siti Web sullo stesso server.
Questi spesso includono sicurezza SSL gratuita installazioni per il tuo sito, backup gratuiti, la capacità di bloccare indirizzi IP dannosi e persino uno scanner di siti gratuito che regolarmente scansiona il tuo sito alla ricerca di codice dannoso o vulnerabilità.
Gestire un sito web non è mai così semplice come installare WordPress e pubblicare contenuti. È importante rendere il tuo sito Web WordPress il più sicuro possibile. Tutti i suggerimenti di cui sopra possono aiutarti a farlo senza troppi sforzi.