Seleziona una pagina

18 passi per mettere in sicurezza il tuo sito WordPress nel 2022

da | Mag 24, 2022 | clienti, guide, TECH.TEAM

wordpress al sicuro

La sicurezza dei siti web è diventato un mal di pancia, proviamo a vedere perché.
La ricerca eseguita da ws3techs.com rivela che il 64% dei siti web è basato su WordPress. 
Come ogni altro CRM, WordPress è vulnerabile a operazioni malevole che possono compromettere il tuo sito con lo scopo di rubare dati, distribuire malware, o dirigere i tuoi utenti verso pagine terze. 

Nel 2019 il 94% degli interventi di “pulizia” che hanno svolto riguardavano pagine WordPress (fonte Sucuri). Un tendenza in continua crescita (nel 2018 erano il 90%, nel 2017 l’83%), che coincide con l’aumento della diffusione del CMS.

Secondo Patchstack, tra il 95% e il 98% degli attacchi a siti WordPress avviene a causa di vulnerabilità dei plugin e da siti non aggiornati.

Questo non significa che WordPress non sia affidabile, ma che è importante prendere la sicurezza sul serio, facendo manutenzione al sito WordPress, seguendo best practices testate per proteggere il proprio lavoro.

Aumenta sicurezza e velocità del tuo sito con i nuovi server e il contratto di manutenzione.

Per tenere al sicuro il sito bisogna aggiornarlo e manutenerlo costantemente

Abbiamo studiato un servizio che implementa le best practice compresa la manutenzione ordinaria del tuo sito. Il costo fisso annuale comprende il ripristino da backup nel caso in cui il tuo sito sia stato hackerato.

Se vuoi fare in autonomia la manutenzione puoi seguire l’articolo i passi che ti riporto qui sotto.

Se vuoi tenere al sicuro il tuo sito in autonomia, ti consigliamo questi X passi :

Importante! La modifica del codice sorgente di un tema WordPress potrebbe bloccare il vostro sito se l’operazione non viene eseguita correttamente. Se non vi senti sicuri, vi consigliamo di contattare prima uno sviluppatore.

Ci sono degli step da fare una sola volta, altri che richiedono una manutenzione continua.

1. Scegli uno spazio Web (Hosting) WordPress Sicuro e Veloce (da fare una tantum)

Scegliere il fornitore giusto per lo spazio web è il primo passo per evitare problemi.

Se non ne hai uno ci puoi contattare compilando il form qui sotto.

2. Utilizzare la Versione più Recente di PHP (da fare come manutenzione continua)

Qui puoi ottenere informazioni sulle versioni di PHP: https://www.php.net/supported-versions.php
Documentati qui: https://www.creativemotions.it/controllare-versione-php-wordpress/
Puoi usare questo plugin per controllare la compatibilità prima di fare il passaggio tra una versione e l’altra: https://wordpress.org/plugins/php-compatibility-checker/
Guarda le statistiche di aggiornamento di WordPress e PHP: https://wordpress.org/about/stats/

3. Username e Password adeguate (da fare come manutenzione continua)

Incredibile come anche oggi vengano usate password banali (https://en.wikipedia.org/wiki/List_of_the_most_common_passwords) controlla che gli utenti del tuo WordPress non lo facciano.
Controlla periodicamente che non ci siano utenti strani nel pannello utenti, chiudi gli account delle persone che non devono lavorare su WordPress, non usare la stessa password per WordPress e per altri servizi.

4. Aggiornare a WordPress e i Plugin alle ultime versioni (da fare come manutenzione continua)

Le vulnerabilità dei plugin rappresentano il 55,9% dei punti di ingresso noti per gli hacker? 
Usare solo plugin attendibili e tenere aggiornati plugin e WordPress porta ad aumentare la sicurezza del sito ma può anche rovinare il sito se si incappa in qualche incompatibilità quindi bisogna prima fare un backup ed essere pronti a ripristinare.

5. Bloccare l’Accesso al Pannello di Amministrazione di WordPress (da fare una tantum)
Di default, l’URL di accesso del vostro sito WordPress è domain.com/wp-admin. Uno dei problemi che questo può comportare è che tutti i bot, gli hacker e gli script in circolazione lo sanno. Modificando l’URL potrete rendervi meno visibili e proteggervi meglio dagli attacchi brute force. Consigliamo di utilizzare il plugin gratuito WPS Hide login 

Il plugin gratuito WPS Limit Login in accoppiata a WPS Hide Login, registra l’indirizzo IP e il timestamp di ogni tentativo di accesso fallito. Se vengono rilevati più di un certo numero di tentativi in un breve periodo di tempo dallo stesso intervallo di IP, la funzione di accesso viene disabilitata per tutte le richieste da quel range di IP.

Potrebbe interessarti anche: Come impedire a WordPress di generare dimensioni multiple dell’immagine

6. Autenticazione MFA (a Due Fattori) (da fare una tantum)
L’autenticazione a due fattori è un sistema che permette l’accesso a WordPress solo dopo che avete inserito un codice arrivato sul cellulare oltre allo username e password.

Per questo scopo sono disponibili numerosi plugin per l’autenticazione a due fattori come ad esempio WordFence Security di cui parleremo anche al punto 12 relativo ai plugin sulla sicurezza.

7. HTTPS – Certificato SSL (da fare una tantum)
Google usa l’HTTPS come fattore di ranking, quindi, oltre a criptare tutte le comunicazioni da e per il sito web scalerete la vostra posizione nelle ricerche Google.

Per applicare una connessione sicura e crittografata tra voi e il server durante il login e l’amministrazione del vostro sito, aggiungete la seguente riga al vostro file wp-config.php:

define ('FORCE_SSL_ADMIN', true)

8. Mettere in Sicurezza il file wp-config.php (da fare una tantum)
Per spostare il vostro file wp-config.php, basta semplicemente copiare tutto quello che vi è contenuto in un altro file. Quindi nel vostro file wp-config.php potete inserire il seguente frammento che semplicemente include l’altro file. Nota: il percorso della directory potrebbe essere diverso a seconda del vostro host web e della configurazione. In genere però è semplicemente una directory sopra.

<?php
include('/home/yourname/wp-config.php');

9. Disabilitare XML-RPC (da fare una tantum)
XML-RPC per WordPress è stato progettato per consentire connessioni remote tra il tuo sito e applicazioni esterne. 

Esistono però rischi per la sicurezza associati all’utilizzo di XML-RPC abilitato.

Questi possono includere:

  • Attacchi di forza bruta – In cui un utente malintenzionato può utilizzare xml-rpc per testare centinaia di combinazioni di nome utente e password fino a quando non è in grado di accedere al tuo sito. Ciò si verifica perché xml-rpc non ha lo stesso limite di tentativi di accesso che esiste quando si accede a WordPress normalmente.
  • Attacco DDoS – In cui un utente malintenzionato può utilizzare xml-rpc per eseguire il pingback di migliaia di IP. Ciò consente loro di inviare un flusso di dati e traffico che può causare eccedenze e persino avere reti paralizzate e chiuse.

Per disabilitare completamente XML-RPC è possibile installare il plugin gratuito Disable XML-RPC

10. Nascondere la Versione di WordPress (da fare una tantum)
Potete utilizzare il codice che segue per rimuovere la versione. Aggiungete semplicemente quanto segue al file functions.php del vostro tema WordPress.

//rimuovi versione wordpress
function remove_wordpress_version() {
return '';
}
add_filter('the_generator', 'remove_wordpress_version');

Con questo semplice codice abbiamo rimosso la versione di WordPress in uso sia dal file sorgente, e quindi il meta tag, sia dal feed.

Però questo non basta, in quanto è possibile risalire alla versione in uso di WordPress anche tramite i file css o js.

Dobbiamo quindi andare a togliere dal codice sorgente anche questi riferimenti per nascondere il numero di versione di WordPress al 100% e per farlo lavoreremo sempre sul file functions.php del nostro tema in uso, andando ad aggiungere il seguente codice:

//rimuovi riferimenti versione wordpress
function rimuovi_versione_stile_js( $src ) {
if ( strpos( $src, 'ver=' . get_bloginfo( 'version' ) ) )
$src = remove_query_arg( 'ver', $src );
return $src;
}
add_filter( 'style_loader_src', 'rimuovi_versione_stile_js');
add_filter( 'script_loader_src', 'rimuovi_versione_stile_js');

11. Intestazioni di Sicurezza HTTP
 Esistono molte intestazioni HTTP di sicurezza, ma quelle elencate di seguito possono essere considerate le più importanti.

KeyCDN ha pubblicato un ottimo post approfondito per chi volesse saperne di più sugli header HTTP di sicurezza.
eseguire la scansione del vostro sito WordPress con lo strumento gratuito securityheaders.io di Scott Helme. Questo vi mostrerà quali header di sicurezza HTTP sono al momento attivi sul vostro sito.

Questo articolo spiega come attivare le intestazioni HTTP personalizzate.

Attenzione: il plugin installato, tra le intestazioni di default, inserirà l’header Content-Security-policy. Questa impostazione può dare problemi nel caricamento del css con alcuni template. In questo caso sarà sufficiente eliminare solamente l’header menzionato.

12 .Plugin per la Sicurezza di WordPress

Dobbiamo ricordare alcuni plugin per la sicurezza di WordPress. Ci sono in giro molti ottimi sviluppatori e aziende che offrono grandi soluzioni per aiutare a proteggere meglio il vostro sito WordPress. Eccone alcuni.

Kinsta dispone di firewall hardware, sicurezza attiva e passiva, controlli di uptime al minuto e numerosi altri servizi avanzati per impedire agli hacker di accedere ai vostri dati. Se, nonostante i nostri sforzi, il vostro sito dovesse essere compromesso, lo ripareremo gratuitamente.
Ecco alcune funzionalità e utilizzi comuni dei plugin elencati sopra:

  • Generare e forzare password complesse durante la creazione di profili utente
  • Forzare le password a scadere e ad essere ripristinate regolarmente
  • Log delle azioni degli utenti
  • Aggiornamenti semplificati delle chiavi di sicurezza di WordPress
  • Scansione malware
  • Autenticazione a due fattori
  • reCAPTCHA
  • Firewall di sicurezza WordPress
  • Whitelist degli IP
  • Blacklist degli IP
  • Changelog dei file
  • Monitoraggio dele modifiche ai DNS
  • Blocco delle reti malevoli
  • Visualizzazione delle informazioni WHOIS sui visitatori

Una funzionalità molto importante di molti plugin di sicurezza è l’utilità di checksum. Vuol dire che controllano l’installazione di WordPress e cercano le modifiche sui file del core forniti da WordPress.org 

13. Sicurezza del Database (da fare una tantum)

Di default WordPress usa il pèrefisso wp_. Cambiare questo a qualcosa come 49xx_ può essere molto più sicuro. Quando installate WordPress, vi viene richiesto un prefisso tabella.

Se devi modificare il prefisso su una installazione in produzione puoi usare il plugin: Brozzme DB Prefix change and DB Tools addon

14. Connessioni Sicure (da fare una tantum)
ssicuratevi che il vostro host WordPress stia prendendo precauzioni come SFTP o SSH. SFTP o Secure File Transfer Protocol 

15. Autorizzazioni su File e Server (da fare una tantum)
Potete utilizzare un plugin gratuito come iThemes Security per effettuare la scansione delle autorizzazioni nel vostro sito WordPress. Date un’occhiata all’articolo del Codex WordPress sulla modifica dei permessi sui file per una spiegazione più approfondita.

16. Disabilitare le Modifiche nella Dashboard

Inserite il seguente codice nel vostro file wp-config.php per rimuovere le funzionalità ‘edit_themes’, ‘edit_plugins’ e ‘edit_files’ per tutti gli utenti.

define('DISALLOW_FILE_EDIT', true);

17. Effettuare sempre i backup di WordPress (da fare come manutenzione continua)
I backup sono l’unica cosa di cui tutti sanno di aver bisogno ma che non sempre fanno. La maggior parte delle raccomandazioni riportate sopra sono misure di sicurezza che è possibile adottare per proteggersi meglio. Ma non importa quanto sia sicuro il vostro sito, non sarà mai sicuro al 100%. Quindi avrete bisogno di backup nel caso in cui succeda il peggio.

I servizi di backup di WordPress di solito hanno una tariffa mensile bassa e archiviano i backup nel cloud.

Plugin di Backup WordPress

I plugin di backup di WordPress vi permettono di prelevare i vostri backup via FTP o integrarli con una fonte di archiviazione esterna come Amazon S3, Google Drive o Dropbox. Consigliamo vivamente di utilizzare una soluzione incrementale in modo da utilizzare meno risorse.

18. Tenetevi aggiornati (da fare come manutenzione continua)

esistono molte risorse per aiutarvi a rimanere al corrente degli ultimi aggiornamenti e delle vulnerabilità nella sicurezza di WordPress. Ecco alcuni esempi qui di seguito:

Potrebbe interessarti anche: Come impedire a WordPress di generare dimensioni multiple dell’immagine