Homepage » WordPress » 10 suggerimenti poco conosciuti e super efficaci per proteggere il tuo blog WordPress

    10 suggerimenti poco conosciuti e super efficaci per proteggere il tuo blog WordPress

    Ottenere un blog hackerato e perdere anni e anni di lavoro sui blog da un giorno all'altro è una triste realtà che le persone hanno effettivamente vissuto. Infatti, la ricerca mostra che ogni giorno vengono hackerati 37.000 siti Web e con WordPress che alimenta circa il 25,4% di tutti i siti Web, si può essere certi che una buona parte dei blog WordPress vengono hackerati ogni giorno.

    La sicurezza di WordPress è un gioco completamente diverso; una volta che possiedi un blog WordPress, consigli come avere un nome utente difficile da indovinare e una password tanto dura quanto rock non è più sufficiente. UN tema buggy singolo, il plugin sbagliato o un file protetto in modo errato può comportare che il tuo blog venga violato durante la notte.

    Che tu abbia poca esperienza con WordPress o che tu stia usando la piattaforma sin dalla sua esistenza, questo articolo lo è 10 modi pratici e supper efficaci per proteggere il tuo blog WordPress che chiunque può implementare. Non troverai la maggior parte di questi suggerimenti in popolari articoli "come proteggere il tuo blog", ma potrebbero benissimo salvare il tuo blog un giorno!

    1. Disabilita il tema WordPress e l'editor del plugin

    WordPress ha una pratica funzione che offre ai proprietari di siti una maggiore flessibilità consentendo loro di personalizzare e modificare i loro temi e plugin direttamente dal dashboard di WordPress, ma questa funzione è stata la rovina della maggior parte dei blog.

    Con questa funzione, a un leggero errore può mandare in crash il tuo sito e bloccarti dal tuo sito web. Gli hacker possono facilmente inserire codice dannoso nel tuo tema per dare loro l'accesso backdoor al tuo sito, o addirittura prendere completamente il controllo del tuo sito, acquisendo il controllo di un account che ha privilegi sufficienti per utilizzare il tema e l'editor di plug-in.

    Puoi proteggerti disabilitando il plugin e l'editor di temi, rendendo impossibile la modifica di temi e plug-in senza l'accesso FTP.

    Fai questo aggiungendo il seguente codice al tuo file wp-config.php:

    define ('DISALLOW_FILE_EDIT', true);

    2. Abilitare l'autenticazione a due fattori

    L'autenticazione a due fattori sta rapidamente diventando uno dei modi più affidabili per proteggere i tuoi account online, e la maggior parte dei siti Web affidabili insisterà sul fatto che i loro utenti lo abilitino.

    Mentre WordPress non ha necessariamente l'autenticazione a due fattori incorporata, puoi abilitare l'autenticazione a due fattori sul tuo blog installando i seguenti plugin:

    • Google Authenticator
    • Authy
    • Chiave
    • Rublon

    3. Limite accessi in base al numero di tentativi falliti

    Ci sono molti modi in cui gli hacker tentano di accedere al tuo blog, e una delle tecniche più comuni utilizzate è un attacco bruteforce: un hacker prova una combinazione di nomi utente e password, più e più volte, fino a quando non è in grado di accedere correttamente il tuo blog.

    Di default, WordPress non è protetto da questo attacco. Installando plugin che limitano gli accessi dopo un certo numero di tentativi falliti da un particolare IP, è possibile rendere molto più difficile per gli hacker accedere al tuo blog.

    Il plugin del modulo Jetpack Protect può anche proteggerti dagli attacchi bruteforce.

    4. Effettua regolarmente la scansione del tuo blog

    File tematici, plugin, collegamenti e altri elementi apparentemente innocui possono essere utilizzati per accedere al tuo blog. Non aspettare che il tuo sito Web sia completamente infetto prima di prendere le misure. Installa invece i plug-in di scansione di sicurezza per eseguire regolarmente la scansione del tuo sito Web e informarti se i tuoi file cambiano.

    Un buon esempio di un plugin per la scansione di sicurezza è Wordfence. Oltre a darti la possibilità di scansionare manualmente / automaticamente il tuo blog WordPress, ti avvisa istantaneamente quando si verificano attività sospette sul tuo blog.

    Invia anche informazioni su commenti potenzialmente dannosi, e così via confronta il tuo tema e i file plugin con il repository di WordPress a ti faccio sapere se la tua versione di un plugin o di un tema è stata modificata e può potenzialmente servire da backdoor per gli hacker al tuo sito.

    Altri plugin di sicurezza che possono aiutarti a scansionare il tuo blog alla ricerca di malware e exploit sono:

    • Scanner di sicurezza Sucuri
    • Acunetix WP Security
    • iThemes Security (precedentemente noto come "Better WP Security")

    5. Cambia il tuo host

    Mentre questo suona come un consiglio semplicistico, in realtà ha un sacco di peso. La ricerca mostra che il 41% dei siti Web di WordPress compromessi erano ha violato la vulnerabilità della sicurezza sulla loro piattaforma di hosting. Questo è molto più che da altre fonti, incluso avere una password debole.

    Il tuo host può avere un ruolo importante nel fatto che tu venga hackerato o no; assicurati solo di te andare per host web affidabili che hanno superato la prova del tempo e quello rispettare le migliori pratiche del settore.

    6. Nascondi il numero di versione di WordPress

    Per impostazione predefinita, WordPress visualizza il numero di versione di WordPress; questo rende più facile per WordPress tenere traccia di quanti blog WordPress sono attivi in ​​tutto il mondo. Tuttavia, questo può anche essere un'enorme fonte di problemi; hacker e bot possono scansiona il web per i blog utilizzando un numero di versione di WordPress con una vulnerabilità nota, rendendoti un bersaglio facile.

    Puoi facilmente risolvere questo problema con nascondendo il numero di versione di WordPress. Per nascondere il numero di versione di WordPress, aggiungi semplicemente il seguente codice al tuo file functions.php:

    add_filter ('the_generator', '__return_null');

    7. Disabilitare i report degli errori PHP

    Quando un plugin o un tema non funziona bene sul tuo blog WordPress, i rapporti di errore di PHP possono aiutarti mostrandoti un messaggio che rivela la causa dell'errore. Tuttavia, in questo vantaggio si trova uno svantaggio: quando viene segnalato errore PHP, esso include il percorso completo del server dell'errore, informazioni rivelatrici che gli hacker possono usare contro di te.

    Puoi proteggerti da disabilitazione della segnalazione degli errori PHP. Aggiungi semplicemente il seguente codice al tuo file wp-config.php:

     error_reporting (0); @ini_set ('display_errors', 0);

    8. Lavora sui permessi dei tuoi file WordPress

    Quando si tratta di impedire che il tuo sito WordPress dagli exploit di sicurezza, è essenziale assicurati di avere i permessi di file giusti. Ciò rende difficile per un hacker manipolare plugin, temi o file sul tuo server per rilevare il tuo sito web.

    Assicurati che WordPress cartella le autorizzazioni sono impostate su 755 o 750; file le autorizzazioni sono impostate su 640 o 644; e che l'autorizzazione wp-config.php è impostata su 600.

    9. Garantire il backup regolare

    Persino i grandi siti Web con un team di esperti e consulenti di sicurezza vengono violati e, sebbene seguire le best practice possa rendere il tuo sito web più forte del 99,9% dei siti web, le cose possono ancora rompersi.

    La migliore sicurezza che hai contro gli attacchi di hacking di WordPress è un buon backup; assicurati di eseguire regolarmente backup del tuo sito, se possibile ogni giorno. In questo modo, se il tuo sito web è violato hai i tuoi file sul posto e può ripristinare le cose immediatamente.

    Ecco alcuni dei migliori plugin di backup di WordPress:

    • BackUpWordPress
    • Pronto! di riserva
    • VaultPress
    • BackupBuddy

    10. Limitare l'accesso alla pagina di accesso

    Quando arriva la spinta, potrebbe essere necessario prendere qualche azione drastica. È un modo molto affidabile per proteggere il tuo blog dai tentativi di hacking bloccando completamente l'accesso alla tua pagina wp-admin e wp-login.php.

    Questo è raccomandato solo se tu utilizzare un indirizzo IP che non cambia (non vuoi bloccarti dal tuo blog!). Puoi ancora utilizzare questa opzione se utilizzi più di un indirizzo IP ma tieni traccia di tali indirizzi.

    Per limitare l'accesso alla tua pagina di accesso, aggiungi il seguente codice al tuo file .htaccess:

      RewriteEngine su RewriteCond% REQUEST_URI ^ (. *)? Wp-login \ .php (. *) $ [OR] RewriteCond% REQUEST_URI ^ (. *)? Wp-admin $ RewriteCond% REMOTE_ADDR! ^ Il tuo Indirizzo IP 1 $ RewriteCond% REMOTE_ADDR! ^ Indirizzo IP 2 $ RewriteCond% REMOTE_ADDR! ^ Indirizzo IP 3 $ RewriteCond% REMOTE_ADDR! ^ Indirizzo IP 4 $ RewriteCond% REMOTE_ADDR! ^ Indirizzo IP 5 $ RewriteRule ^ (. *) $ - [R = 403, L] 

    Assicurati di modificare Il tuo indirizzo IP 1 attraverso Il tuo indirizzo IP 5 con i diversi indirizzi IP a cui vuoi dare accesso; puoi semplicemente aggiungere o rimuovere una linea per consentire o impedire a più IP di accedere al tuo sito.

    Conclusione

    Ovviamente, non dovresti ignorare i consigli di sicurezza di base come non usare un nome utente prevedibile, avere una password complessa, aggiornare regolarmente l'installazione di WordPress, ecc. Tuttavia, i suggerimenti di sicurezza poco noti e spesso ignorati possono rendere Blog WordPress solo un po 'più sicuro.

    Nota dell'editore: Questo post ospite è scritto per Hongkiat.com da John Stevens. John è un esperto di WordPress e hosting. È il fondatore e CEO di HostingFacts.com, un portale in cui esamina e valuta gli host web in base alle prestazioni.