Homepage » WordPress » Indurimento di WordPress Security 25 Plugin e suggerimenti essenziali

    Indurimento di WordPress Security 25 Plugin e suggerimenti essenziali

    Se stai utilizzando un sito Web alimentato da WordPress, la sua sicurezza dovrebbe essere la tua preoccupazione principale. Nella maggior parte dei casi, i blog WordPress sono compromessi perché i loro file principali e / o plug-in sono obsoleti; i file obsoleti sono rintracciabili ed è un invito aperto agli hacker.

    Come tenere il tuo blog lontano dai cattivi per sempre? Per cominciare, assicurati di essere sempre aggiornato con l'ultima versione di WordPress. Ma c'è di più. Nel post di oggi, mi piacerebbe condividere con voi alcuni utili plugin e alcuni suggerimenti per rafforzare la sicurezza di WordPress.

    Elenco completo dopo il salto!

    Plugin per una migliore sicurezza

    Backup WP DBWP DB Backup è un plug-in di facile utilizzo che consente di eseguire il backup delle principali tabelle del database di WordPress con pochi clic. Inoltre è così facile, è anche stato uno dei plugin più utilizzati per proteggere il tuo sito web WP-powered.

    WP Security ScanCon questo plugin, la scansione del tuo sito basato su WordPress sarà un compito semplice. Trova le vulnerabilità nel tuo sito e offre suggerimenti utili per rimuoverle.

    Chiedi a Apache Password ProtectQuesto plugin non controlla WordPress o pasticcia con il tuo database, invece utilizza funzionalità di sicurezza incorporate veloci e collaudate per aggiungere più livelli di sicurezza al tuo blog.

    Accesso invisibileIl plugin Stealth Login ti aiuterà a creare indirizzi URL personalizzati per l'accesso, la registrazione e il logout di WordPress.

    Login LockdownLogin Lockdown ti aiuterà a bloccare i tentativi per un periodo di tempo durante l'accesso al tuo pannello di amministrazione dopo un numero di tentativi.

    Manager WP-DBQuesto è un altro ottimo plugin che ti permette di gestire il tuo database WP. Potrebbe essere usato in alternativa al WordPress Backup Manager.

    Admin Secure Plugin SSLUn altro plugin per mantenere il tuo pannello di amministrazione sicuro. Agisce sulla crittografia SSL ed è davvero utile contro gli hacker o le persone che cercano di ottenere accesso non autorizzato al tuo pannello. È il rivale per il plugin di accesso Chap Secure.

    User LockerSe vuoi evitare il brute-force hacking del tuo sito, allora il plugin User Locker è giusto per te. Funziona con lo stesso sistema di Login Lockdown, tuttavia, è un plugin WP a 5 stelle che ha una grande fama tra i suoi utenti.

    Limitare i tentativi di accessoLimita i tentativi di accesso blocca l'indirizzo Internet da ulteriori tentativi dopo il raggiungimento di un limite specificato sui tentativi, rendendo difficile o impossibile un attacco di forza bruta.

    Crittografia di accessoLogin Encrypt è un plugin di sicurezza. Utilizza una complessa combinazione di DES e RSA per crittografare e proteggere il processo di accesso al pannello di amministrazione.

    One Time PasswordQuesto plug-in unico ti aiuterà a impostare una password monouso per il tuo login, al fine di prevenire la registrazione di utenti indesiderati dagli internet cafè o simili.

    AntivirusAntivirus è un plugin di sicurezza abbastanza popolare che ti aiuterà a mantenere il tuo blog protetto da bot, virus e malware.

    Cattivo comportamentoBad Behavior è il plugin che ti aiuta a combattere con quegli spammer fastidiosi. Il plugin non solo ti aiuterà a prevenire i messaggi di spam sul tuo blog, ma cercherà anche di limitare l'accesso al tuo blog, quindi non sarà nemmeno in grado di leggerlo.

    Exploit ScannerCerca i file e il database della tua installazione di WordPress per i segni che potrebbero indicare che i file o il database sono caduti vittima di hacker malintenzionati. Anche se si tratta di un altro plug-in di scansione, vale la pena provare.

    User Spam RemoverIl nome del plugin indica le sue funzioni, un popolare plugin che ti aiuterà a prevenire e rimuovere i messaggi indesiderati.

    Blocca query non valide Questo plug-in tenta di bloccare tutte le query dannose tentate sul server e sul blog WordPress. Funziona in background, controllando stringhe di richieste eccessivamente lunghe (vale a dire, maggiori di 255 caratteri), nonché la presenza di entrambi "Eval (" o "Base64" nell'URI della richiesta.

    8 consigli essenziali

    Modifica prefissi "wp_" predefiniti

    Il tuo sito web potrebbe essere in gioco se stai utilizzando i prefissi wp_ prevedibili nel tuo database. Il seguente tutorial ti insegna come modificarli tramite phpMyAdmin in 5 semplici passaggi.

    Puoi anche farlo con il plugin WP Security Scan.

    Nascondere i messaggi di errore di accesso

    I messaggi di accesso agli errori possono esporre e dare un'idea agli hacker se hanno ottenuto il nome utente corretto / errato, viceversa. È saggio nasconderlo dal login non autorizzato.

    Per nascondere i messaggi di errore di accesso, inserisci semplicemente il seguente codice in functions.php

    add_filter ('login_errors', create_function ('$ a', "return null;"));

    [Fonte]

    Mantieni protetta la directory di wp-admin

    Mantenere protetta la cartella "wp-admin" aggiunge un ulteriore livello di protezione. Chiunque tenti di accedere ai file o alla directory dopo "wp-admin", richiederà il login.

    La protezione della cartella "wp-admin" con login e password può avvenire in diversi modi:

    • Plugin per WordPress - Utilizzando il plugin WordPress AskApache Password Protect.
    • cPanel - Se il tuo hosting supporta l'accesso amministratore cPanel, puoi impostare facilmente la protezione su qualsiasi cartella tramite cPanel Password Proteggi le directory Interfaccia grafica utente. Scopri di più da questo tutorial.
    • .htaccess + htpasswd - La creazione di una cartella protetta da password può anche essere fatta facilmente impostando le cartelle che si desidera proteggere all'interno .htaccess e gli utenti hanno il permesso di accedere all'interno .htpasswd. Il seguente tutorial mostra come farlo in 7 passaggi.

    Manutenzione dei backup

    Mantenere copie di backup del tuo intero blog WordPress è importante quanto mantenere il sito al sicuro dagli hacker. Se quest'ultimo fallisce, almeno hai ancora i file di backup puliti da ripristinare.

    Abbiamo già trattato un elenco di soluzioni per il backup dei file e del database di WordPress, inclusi plug-in e servizi di backup utili.

    Impedire la navigazione nella directory

    Un'altra grande scappatoia per la sicurezza sta avendo le tue directory (e tutti i suoi file) esposte e accessibili al pubblico. Ecco un semplice test per verificare se le tue directory WordPress sono ben protette:

    • Inserisci il seguente URL nel browser, senza le virgolette. "Http://www.domain.com/wp-includes/"

    Se mostra vuoto o reindirizza alla home page, sei al sicuro. Tuttavia, se vedi una schermata simile all'immagine qui sotto, non lo sei.

    Per impedire l'accesso a tutte le directory, inserisci questo codice all'interno del tuo .htaccess file.

    # Impedisci la navigazione nella cartella Opzioni Tutti -Indici

    Tieni aggiornati i file core e i plugin di WordPress

    Uno dei modi più sicuri per proteggere il tuo sito WordPress è assicurarsi che i tuoi file siano sempre aggiornati all'ultima versione. Qui ci sono un paio di modi (pratiche) che puoi fare:

    • Accedi a Dashboard spesso - Una notifica gialla apparirà nella parte superiore della Dashboard se l'aggiornamento è disponibile. Accedi spesso e tieniti aggiornato all'ultima copia dei file core di WordPress.
    • Disattiva e rimuovi i plugin non utilizzati - Il plugin non utilizzato finirà per diventare obsoleto e potrebbe rappresentare un rischio per la sicurezza. Se non lo stai usando, cancellalo.
    • Iscriviti ai comunicati stampa di WordPress RSS.

    Scegli una password sicura

    La tua password è sicura? Una password sicura e sicura è molto più di qualcosa di memorabile con i numeri (ad esempio, john123). Per cominciare, dovrebbe contenere più di 12 caratteri con la combinazione di numeri e alfabeti in lettere maiuscole e maiuscole.

    Ecco alcune applicazioni che ti consentono di generare password complesse:

    • GoodPassword
    • Multicians
    • KeePass
    • LastPass
    • PCTools
    • 1Password

    In alternativa puoi anche verificare quanto è forte (e sicura) la tua password attuale con howsecureismypassword.net.

    Rimuovi utente amministratore

    Un'installazione tipica di WordPress viene fornita con un utente predefinito denominato "admin". Se quello è il nome utente del tuo sito WordPress, stai già rendendo la vita degli hacker più semplice del 50%. Usare l'utente "admin" dovrebbe essere evitato in ogni momento.

    Un approccio più sicuro per accedere al tuo amministratore in modo sicuro è creare un nuovo amministratore e rimuovere "admin". Ed ecco come lo fai:

    1. Accedi al pannello di amministrazione di WordPress
    2. Vai a utenti -> Aggiungere nuova
    3. Aggiungi un nuovo utente con Amministratore ruolo, assicurati di utilizzare una password complessa.
    4. Esci da WordPress, ri-accedi con il tuo nuovo utente amministratore.
    5. Vai a utenti
    6. Rimuovi l'utente "admin"
    7. Se "admin" ha post, ricorda di attribuire tutti i post e i link al nuovo utente.

    Altre risorse utili:

    • Indurimento WordPress (WordPress)
    • Domande frequenti sulla sicurezza di WordPress (WordPress)
    • Cosa fare se il tuo sito è compromesso (WordPress)
    • Comprendi .htaccess e .htpasswd (Apache)
    • Comprendi .htaccess e .htpasswd (Javascriptkit.com)
    • Proteggere la directory di wp-admin (Nicolaskuttler.com)
    • Pulizia dell'installazione di WordPress compromessa (Blogsblogsblogs.com)
    Aggiornamento hardware Come installare un nuovo disco rigido, Pt 2, risoluzione dei problemi
    Aggiornamento hardware Come installare nuova RAM
    Le password del disco rigido sono state spiegate nel caso in cui ne aveste impostato uno per proteggere i file?
    Articolo successivo
    Aggiornamento hardware Come installare un nuovo disco rigido, Pt 1
    Articolo precedente
    Script di monitoraggio del disco rigido per server Linux senza testa