7 consigli essenziali per la sicurezza di WordPress

7 consigli essenziali per la sicurezza di Wordpress

La sicurezza di un sito web WordPress è fondamentale, poiché una violazione dei dati potrebbe danneggiare in modo significativo la reputazione e le entrate della vostra azienda. Senza un’adeguata sicurezza, gli hacker potrebbero rubare informazioni, installare software dannoso e distribuire malware ai vostri utenti.

Tuttavia, la messa in sicurezza del sito non è una cosa da fare una volta sola. È un processo continuo da tenere sempre presente quando si compiono azioni sul sito, come l’installazione di nuovi plugin. Per proteggere meglio il vostro sito WordPress dagli hacker, ecco sette consigli di sicurezza WordPress da seguire.

1. AGGIORNARE REGOLARMENTE

L’aggiornamento regolare di WordPress è la cosa più importante per la sicurezza del vostro sito. Gli aggiornamenti risolvono le vulnerabilità di WordPress, quindi se non aggiornate il vostro sito, lo mettete a rischio. Tenete presente che dovrete avviare manualmente gli aggiornamenti per le versioni principali.

Non dimenticatevi dei vostri plugin e temi quando fate gli aggiornamenti. Se non sono protetti, gli hacker possono accedere facilmente alle informazioni. Gli hacker si affidano spesso a plugin e temi non aggiornati, sfruttandone le vulnerabilità.

2. SCARICARE SOLO DA FONTI CONOSCIUTE

L’opzione più sicura per scaricare plugin e temi è quella di andare su WordPress.org. WordPress controlla tutti i plugin e i temi prima di ammetterli nelle sue directory.

Se vi rivolgete altrove, attenetevi a fonti affidabili come Themeforest o ai siti web di sviluppatori rispettati. Prima di scaricare qualcosa, controllate le recensioni e i commenti degli utenti precedenti. Potrebbero aver menzionato vulnerabilità o problemi con l’autore del plugin/tema.

3. ELIMINARE TUTTI I PLUGIN INUTILIZZATI

Se si installano meno temi e plugin, è meno probabile che gli hacker possano colpire il vostro sito. Se non si utilizza un tema o un plugin, eliminarlo per evitare il rischio di sicurezza, soprattutto se non è stato aggiornato. I temi e i plugin possono ancora rappresentare un rischio se vengono semplicemente disattivati, quindi è necessario eliminarli completamente dal sito.

È bene farlo anche per ripulire il sito. Avere molti temi o plugin inutilizzati può compromettere le prestazioni e rende il lavoro di un professionista della sicurezza molto più difficile se il sito viene compromesso.

4. CAMBIARE IL NOME UTENTE DELL’AMMINISTRATORE

Admin è il nome utente predefinito di WordPress, il che lo rende una scelta sbagliata, poiché è una delle prime cose che un hacker indovina. Assicuratevi che il vostro nome utente amministratore non sia troppo semplice o comune.

Se si è scelto un nome utente di amministrazione non adeguato, creare un nuovo utente con privilegi di amministrazione. Assegnate tutti i contenuti attuali del sito al nuovo utente e cancellate quello precedente.

Gli ID e-mail funzionano bene come nomi utente degli amministratori perché sono più difficili da indovinare. Poiché WordPress richiede già un indirizzo e-mail univoco per creare un account, l’ID e-mail è valido come identificativo di accesso.

5. MIGLIORARE LA FORZA DELLE PASSWORD

Il modo più comune in cui gli hacker accedono ai siti WordPress è attraverso password compromesse o rubate. L’impostazione di password deboli e facilmente indovinabili è un grosso rischio per la sicurezza del vostro sito.

Dovete sempre assicurarvi che voi e i vostri dipendenti impostiate password forti, ovvero che includano una combinazione di almeno 12 lettere, numeri e simboli. Se avete difficoltà a pensare alle password, sono disponibili numerosi generatori di password. Inoltre, assicuratevi di cambiare la password ogni pochi mesi, perché più a lungo ne avete una, più è probabile che venga compromessa.

Una cosa importante da ricordare è che voi e i vostri dipendenti non dovete mai accedere alla dashboard mentre siete connessi tramite Wi-Fi pubblico. La vostra password potrebbe essere rubata dagli hacker se sono collegati alla stessa rete. Chiedete ai vostri dipendenti di utilizzare una VPN se non possono evitare di connettersi tramite reti pubbliche non sicure.

Tenete presente che, per impostazione predefinita, WordPress fornisce un suggerimento sui tentativi di accesso falliti, quando dice all’utente che il nome utente è sbagliato o che la password non corrisponde. Disattivate questa funzione per evitare di fornire agli hacker informazioni che possano essere utilizzate nel tentativo di accedere al vostro account.

6. MODIFICARE I PERMESSI DI FILE E DIRECTORY

Le autorizzazioni per i file e le directory determinano quali utenti possono leggere, scrivere, modificare e accedere ai file e alle directory del sito. I permessi impropri rappresentano un enorme rischio per la sicurezza del vostro sito web.

Le autorizzazioni utilizzano un sistema numerico e ogni autorizzazione comprende un numero di tre cifre. È possibile impostare i permessi manualmente utilizzando il File Manager di WordPress nel pannello di controllo o tramite il terminale.

Utilizzare 640 o 644 per i file e 750 o 755 per le directory. Evitare 777 per qualsiasi cosa, perché dà a qualsiasi utente tutti i privilegi.

7. BACKUP

Infine, se tutto il resto fallisce e il vostro sito web viene violato, dovete assicurarvi di avere un backup. Quando si dispone di un backup, è possibile ripristinare il sito come era prima di un attacco.

Assicuratevi di salvare i backup dell’intero sito in posizioni remote, ossia in un luogo diverso dal vostro account di hosting. Esistono plugin per il backup del sito in grado di gestire questa operazione.

Con quale frequenza si deve eseguire il backup del sito? Dipende dalla frequenza di aggiornamento, ma i backup giornalieri e in tempo reale funzionano entrambi.

PENSIERO FINALE

WordPress è una piattaforma di siti molto diffusa e per questo motivo i siti WordPress sono anche bersagli popolari per gli hacker. Mantenendo tutto aggiornato, scegliendo i nomi utente e le password giuste e facendo attenzione ai temi e ai plugin, sarà molto più difficile per gli hacker accedere al vostro sito. Nel caso in cui qualcosa vada storto, tenete pronto un backup per rimettere in funzione il vostro sito.

Nota dell’editore: questo post è stato originariamente pubblicatoda Lisa Michaels di Mainstreet Host.


Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *