Lista di controllo sulla sicurezza di WordPress (2023): come mantenere il tuo sito web sicuro

Mentre leggi questo sono disponibili oltre 60.000 plugin nel repository WordPress.

Questo è il bello di WordPress!

Ma anche, potenzialmente, il peggior incubo di ogni proprietario di sito. Infatti, ben il 56% delle vulnerabilità di WordPress sono associate ai plugin e oltre 86 miliardi di attacchi alle password sono stati bloccati dal plugin di sicurezza WordFence solo nel 2021.

Che tu sia stato vittima di un attacco informatico o desideri semplicemente proteggerti da intenti dannosi, questa checklist di sicurezza ti aiuterà a respingere qualsiasi attacco informatico.

Perché la sicurezza di WordPress è importante per il tuo business online

Con una quota di mercato del 64,2%, si può affermare con certezza che la sicurezza di WordPress è essenziale per 810 milioni di siti Web in tutto il mondo, indipendentemente dal settore, dalle dimensioni e dalla reputazione. Ecco perché.

• Protezione dei dati: il tuo sito web contiene dati sensibili, tra cui informazioni sui clienti, dettagli di pagamento e contenuti relativi all'azienda. Garantirne la sicurezza è fondamentale per prevenire violazioni dei dati e proteggere la tua reputazione.
• Mantenere la fiducia dei clienti: un sito Web sicuro promuove la fiducia tra i tuoi visitatori e clienti. Quando le persone sanno che i loro dati sono al sicuro, è più probabile che interagiscano con il tuo sito ed effettuino acquisti.
• Prevenire i tempi di inattività: violazioni della sicurezza, attacchi hacker o infezioni da malware possono portare a tempi di inattività del sito web. Ciò non solo interrompe le tue operazioni aziendali, ma danneggia anche la tua presenza online e i tuoi profitti.
• Evitare conseguenze legali: violazioni dei dati e problemi di sicurezza possono portare a responsabilità legali, comprese multe e azioni legali, soprattutto se i dati dei clienti vengono compromessi.
• Miglioramento della SEO: i motori di ricerca come Google danno priorità ai siti web sicuri nelle loro classifiche. Un sito sicuro con un certificato SSL e solide misure di sicurezza possono migliorare la visibilità del tuo motore di ricerca.

Quali sono alcuni problemi comuni di sicurezza di WordPress?

Sebbene la piattaforma WordPress sia considerata generalmente sicura, la sua tecnologia open source può introdurre varie vulnerabilità tramite plugin e temi, SQL, CSRF, exploit di file, hosting non sicuro e altro.

Alcuni comuni problemi di sicurezza di WordPress includono:

• Software obsoleto: il mancato aggiornamento regolare del core, dei temi e dei plugin di WordPress può lasciare il tuo sito vulnerabile a vulnerabilità di sicurezza note.
• Password deboli: l'utilizzo di password deboli o facilmente indovinabili rende più semplice per gli aggressori ottenere l'accesso non autorizzato al tuo sito.
• Vulnerabilità dei plugin: la scelta di aggiungere plugin non sicuri al tuo stack tecnologico offre agli aggressori malintenzionati l'opportunità di hackerare il tuo sito web.
• Attacchi di forza bruta: gli aggressori tentano di ottenere l'accesso provando ripetutamente diverse combinazioni di nome utente e password finché non trovano quella giusta.
• SQL Injection: si verifica quando un utente malintenzionato inserisce codice SQL dannoso nei campi di input del tuo sito, ottenendo potenzialmente l'accesso al tuo database e a informazioni sensibili.
• Cross-Site Scripting (XSS): gli aggressori inseriscono script dannosi nelle pagine Web visualizzate da altri utenti, il che può portare al furto di dati o al danneggiamento del sito.
• Cross-Site Request Forgery (CSRF): comporta l'inganno degli utenti autenticati a eseguire azioni dannose a loro insaputa.
• Exploit di inclusione di file: gli aggressori sfruttano gli input degli utenti non adeguatamente disinfettati per includere file dannosi sul tuo server.
• Spam e malware: la mancata protezione da spam e malware nei commenti può portare a un sito compromesso.
• Phishing: gli aggressori possono utilizzare pagine di accesso o e-mail false per indurre gli utenti a rivelare credenziali di accesso o altre informazioni sensibili.
• Perdite di dati: siti o servizi di terze parti mal configurati possono portare a violazioni dei dati o perdite di informazioni dell'utente.
• Attacchi DDoS: gli attacchi Denial of Service distribuiti possono interrompere la disponibilità del sito sovraccaricandolo di traffico.

Vulnerabilità dei plugin LiteSpeed ​​Cache e importanza dei plugin WordPress sicuri

Una recente vulnerabilità di scripting nel popolare plugin LiteSpeed ​​Cache ha colpito oltre 4 milioni di siti web.

Ha consentito agli autori delle minacce con autorizzazioni a livello di collaboratore o superiori di inserire script Web dannosi nelle pagine utilizzando lo shortcode del plug-in. Per fortuna, la violazione è stata rilevata e segnalata tempestivamente dal team di WordFence.

Ecco cosa fare per assicurarti che il tuo stack tecnologico non danneggi il tuo sito web:

• Controlla la storia e la reputazione del plugin: un gran numero di installazioni attive e recensioni positive ti aiuteranno a valutare l'affidabilità del plugin.
• Analizza la frequenza di aggiornamento: assicurati che il plug-in venga aggiornato regolarmente, con l'ultimo aggiornamento non più vecchio di pochi mesi.

• Esamina le risposte di supporto dello sviluppatore: controlla i forum di supporto del plug-in per vedere quanto sono reattivi e utili gli sviluppatori. Un buon supporto può essere indicativo di una dedizione alla qualità e alla sicurezza del plugin.
• Verifica la compatibilità con la tua versione di WordPress: plugin incompatibili possono introdurre vulnerabilità di sicurezza o causare problemi di funzionalità.
• Valuta le funzionalità e le autorizzazioni del plug-in: fai attenzione ai plug-in che richiedono autorizzazioni non necessarie o offrono un set di funzionalità eccessivo che non è necessario. Una maggiore quantità di codice può significare maggiori opportunità per le vulnerabilità della sicurezza.
• Esegui controlli di sicurezza: utilizza strumenti come WPScan per identificare eventuali vulnerabilità note di un plug-in. Cerca eventuali avvisi o discussioni sulla sicurezza relativi al plug-in.

• Inizia con un ambiente di test: prima di installare un nuovo plugin sul tuo sito live, testalo su un sito di staging per monitorarne il comportamento e assicurarti che non introduca vulnerabilità.
• Cerca approvazioni o certificazioni di sicurezza: alcuni plugin possono avere controlli di sicurezza o certificazioni da parte di società terze affidabili, che possono aumentare la loro credibilità.
• Sii cauto con i plugin gratuiti: sebbene molti plugin gratuiti siano sicuri e ben mantenuti, esercita sempre la dovuta diligenza, poiché i plugin gratuiti potrebbero non offrire sempre supporto e aggiornamenti continui.
• Esegui regolarmente il backup del tuo sito: nonostante tutte le precauzioni, è essenziale disporre di backup regolari del tuo sito. Ciò non previene i problemi ma garantisce un ripristino rapido se qualcosa va storto.

Ottimizza la velocità e le prestazioni con un plug-in che mantiene sicuro il tuo sito web. Inizia con NitroPack →

Come verificare se il tuo sito WordPress è sicuro?

In caso di dubbi, puoi iniziare eseguendo il tuo sito Web tramite uno scanner di sicurezza del sito Web online come Qualys, SiteLock o VirusTotal. Questi strumenti possono verificare la presenza di malware, vulnerabilità e altri problemi di sicurezza.

Inoltre, puoi scegliere tra diversi plugin di sicurezza WordPress affidabili come Wordfence Security, Sucuri Security, iThemes Security, NinjaScanner e WPScan. Vai direttamente ai migliori plugin di sicurezza WordPress per maggiori dettagli e funzionalità per fare la scelta per il tuo sito web.

Elementi essenziali per la sicurezza di WordPress

Il primo passo per salvaguardare il tuo sito web è eseguire un controllo completo della sicurezza di WordPress. Seguire i passaggi seguenti:

1. Aggiorna il core, i temi e i plugin di WordPress

Mantenere aggiornato il software è una delle misure di sicurezza più efficaci. Visita semplicemente il tuo amministratore WP e controlla gli aggiornamenti disponibili. WordPress offre un modo semplice per aggiornare i tuoi plugin in blocco. Assicurati solo di eseguire un backup e di controllare il tuo sito web una volta aggiornati.

Suggerimento da professionista : rimuovi completamente i plugin inutilizzati dal tuo stack tecnologico.

2. Assicurati che tu e gli utenti utilizziate password complesse e univoche

Prendi in considerazione l'utilizzo di un gestore di password affidabile come LastPass, Dashlane o 1Password. Questi strumenti possono generare, archiviare e compilare automaticamente password complesse per te. Le password complesse hanno più di 10 caratteri, utilizzano sia lettere maiuscole che minuscole e non saltano simboli speciali.

3. Abilita l'autenticazione a due fattori (2FA)

Aggiungi un ulteriore livello di protezione configurando 2FA con un plugin come WP 2FA, che richiede agli utenti di fornire una seconda forma di verifica oltre alla password. Un'altra misura aggiuntiva qui è limitare i tentativi di accesso e impostare un timeout per gli utenti che mostrano comportamenti sospetti.

4. Effettua il backup del database e dei file del tuo sito web

Se ti senti sicuro delle tue competenze tecnologiche:

Accedi ai file del tuo sito web tramite FTP (File Transfer Protocol) o un file manager fornito dal tuo provider di hosting. Scarica tutti i file dalla directory principale di WordPress (solitamente la cartella public_html o www) sul tuo computer locale. Quindi, accedi al database del tuo sito web utilizzando phpMyAdmin , che è spesso disponibile nel pannello di controllo del tuo hosting. Seleziona il tuo database WordPress ed esporta l'intero database. Salva il database esportato come file SQL sul tuo computer locale.

In alternativa , utilizza un plug-in come Updraft Plus per impostare backup automatici all'intervallo desiderato.

5. Utilizzare il firewall dell'applicazione Web (WAF)

Un firewall per siti Web blocca tutto il traffico dannoso prima ancora che raggiunga il tuo sito Web. Esistono due metodi per farlo:

• Firewall del sito Web a livello DNS: consente di inviare traffico autentico al tuo server Web solo instradando il traffico attraverso i relativi server proxy cloud.
• Firewall a livello di applicazione: analizza il traffico una volta raggiunto il server e prima di caricare la maggior parte degli script WordPress. Tuttavia, non è così efficiente in quanto tende ad aumentare il carico del server.

Scopri i migliori plugin per il firewall di WordPress.

6. Passa a un provider di hosting affidabile

Un provider di hosting affidabile per WordPress dovrebbe offrire solide funzionalità di sicurezza, monitoraggio proattivo e supporto reattivo per mantenere il tuo sito web sicuro e protetto.

Le caratteristiche da cercare includono (e non sono limitate a):

• Forte sicurezza delle infrastrutture
• Inclusione del certificato SSL
• Backup regolari
• Monitoraggio della rete 24 ore su 24, 7 giorni su 7
• Protezione DDoS
• Scansione e rimozione malware
• Aggiornamenti automatici di WordPress
• Caching a livello di server configurato appositamente per WordPress
• Supporto per il protocollo SFTP (Secure File Transfer Protocol)
• Isolamento tra account su hosting condiviso

Consulta la nostra guida completa su come scegliere il provider di hosting web giusto per il tuo sito web.

Tecniche avanzate per migliorare la sicurezza di WordPress

Le tecniche seguenti richiedono l'accesso amministrativo a WordPress e un livello sufficiente di conoscenza tecnica. Prima di tentare di seguire i passaggi, esegui sempre il backup del tuo sito web e prenditi il ​​tempo necessario per contattare un esperto di sicurezza WordPress.

Sposta il tuo sito WordPress su SSL/HTTPS

SSL (Secure Sockets Layer) crittografa i dati trasferiti tra il browser dell'utente e il tuo server web, migliorando la sicurezza del tuo sito.

Istruzioni:

• Acquista un certificato SSL dal tuo provider di hosting o utilizzane uno gratuito
• Installa e attiva il certificato tramite il tuo account di hosting
• Aggiorna l'URL di WordPress andando su Impostazioni > Generali e aggiornando l'indirizzo WordPress (URL) e l'indirizzo del sito (URL) da http:// a https://
• Forza SSL aggiungendo il seguente codice al tuo file .htaccess:

RewriteEngine acceso
Cond riscrittura %{SERVER_PORT} 80
RiscriviRegola ^(.*)$ https://www.tuodominio.com/$1 [R,L]

Modifica l'URL della pagina di accesso di WordPress

Per impostazione predefinita, le pagine di accesso di WordPress sono facilmente accessibili tramite wp-login.php o wp-admin. La modifica di questo può aiutare a proteggersi dai tentativi di accesso non autorizzati.

Istruzioni:

• Modifica il file .htaccess nella directory root di WordPress e aggiungi:

RewriteRule ^mylogin$ https://%{SERVER_NAME}/wp-login.php?key=123&redirect_to=https://%{SERVER_NAME}/wp-admin [L]

• Sostituisci mylogin con il nuovo slug URL di accesso e 123 con una stringa casuale.

Modificare il nome utente "admin" predefinito

Il nome utente predefinito "admin" è un bersaglio per gli hacker, quindi è meglio cambiarlo.

Istruzioni:

• Crea un nuovo utente in WordPress andando su Utenti > Aggiungi nuovo.
• Assegnare al nuovo utente il ruolo di Amministratore.
• Esci e accedi con il nuovo account Amministratore.
• Elimina il vecchio utente "amministratore" e attribuisci tutto il contenuto al nuovo utente.

Disabilita la modifica dei file

WordPress consente agli amministratori di modificare file PHP di plugin e temi. La disabilitazione di questa funzionalità migliora la sicurezza.

Istruzioni:

• Aggiungi la seguente riga al tuo file wp-config.php:

define('DISALLOW_FILE_EDIT', true);

Disabilita l'esecuzione di file PHP in alcune directory di WordPress

Prevenire l'esecuzione di PHP in directory come wp-content/uploads può aiutare a prevenire l'esecuzione di script dannosi.

Istruzioni:

• Crea un file .htaccess nella directory che desideri proteggere e aggiungi:

negato da tutti

Modifica il prefisso del database WordPress predefinito

Il prefisso del database wp_ predefinito è ben noto, quindi modificarlo può aiutare a proteggere il database dagli attacchi SQL injection.

Istruzioni:

• Esegui il backup del database.
• Vai su phpMyAdmin, seleziona il tuo database e scegli la scheda "Operazioni".
• In "Prefisso tabella", modifica wp_ con il nuovo prefisso (ad esempio, wpnew_) e fai clic su "Vai".

Disabilita l'indicizzazione e la navigazione delle directory

Ciò impedisce agli hacker di vedere i file nelle tue directory.

Istruzioni:

• Aggiungi la seguente riga al tuo file .htaccess:

Opzioni -Indici

Disabilita XML-RPC in WordPress

XML-RPC può essere sfruttato per attacchi di forza bruta. Disabilitarlo può migliorare la sicurezza.

Istruzioni:

• Aggiungi il seguente codice al tuo file .htaccess:

# Blocca le richieste xmlrpc.php di WordPress

ordine nega, consenti
negato da tutti

Disconnette automaticamente gli utenti inattivi in ​​WordPress:

Ciò può impedire l'uso non autorizzato delle sessioni inattive.

Istruzioni:

• Aggiungi questo codice al file Functions.php del tuo tema:

add_action('wp_enqueue_scripts', 'idle_logout');
funzione inattivo_logout() {
if (is_user_logged_in()) {
wp_enqueue_script('idle_logout', '/percorso-del-tuo-script/idle-logout.js', array('jquery'), '1.0.0', true);
}
}

• Quindi, crea un file idle-logout.js con JavaScript per tenere traccia del tempo di inattività e disconnettere gli utenti.

Nascondi la versione di WordPress

Rivelare la versione di WordPress può fornire agli hacker informazioni preziose per cercare scappatoie nella sicurezza.

Istruzioni:

• Aggiungi la seguente riga al file Functions.php del tuo tema:

rimuovi_azione('wp_head', 'wp_generator');

Blocca collegamento a caldo

L'hotlinking può rubare larghezza di banda collegandosi direttamente ai file del tuo sito da altri siti web.

Istruzioni:

• Aggiungi il seguente codice al tuo file .htaccess:

RewriteEngine acceso
RiscriviCond %{HTTP_REFERER} !^$
RiscriviCond %{HTTP_REFERER} !^http(s)?://(www\.)?tuodominio.com [NC]
RewriteRule \.(jpg|jpeg|png|gif)$ – [NC,F,L]

Controlla i ruoli utente e imposta le autorizzazioni per i file

Limita l'accesso alle aree sensibili solo a coloro che ne hanno bisogno e imposta i permessi file appropriati per directory e file sul tuo server. Limitare l'accesso a file e cartelle critici.

I file e le directory di WordPress utilizzano un codice numerico a tre cifre per rappresentare le autorizzazioni. Ogni cifra corrisponde a uno specifico livello di autorizzazione:

4: Leggi (r)
2: Scrivi (w)
1: Esegui (x)

Le autorizzazioni consigliate per vari file e directory WordPress sono le seguenti:

• File (ad esempio .php, .html): 644 (il proprietario può leggere e scrivere; gli altri possono leggere)
• Directory: 755 (il proprietario può leggere, scrivere ed eseguire; gli altri possono leggere ed eseguire)
• wp-config.php (file di configurazione importante): 600 (il proprietario può leggere e scrivere; gli altri non hanno accesso)
• .htaccess (configurazione server): 644 (Il proprietario può leggere e scrivere; gli altri possono leggere)
• Directory dei caricamenti (ad esempio, wp-content/uploads): 755 (il proprietario può leggere, scrivere ed eseguire; gli altri possono leggere ed eseguire)

I 5 migliori plugin per la sicurezza di WordPress

Sono disponibili diversi plugin di sicurezza WordPress che possono aiutarti a controllare e salvaguardare il tuo sito web:

1. Sicurezza del Wordfence

Wordfence è un plugin di sicurezza completo per WordPress. Include funzionalità come protezione firewall, scansione malware, monitoraggio dei tentativi di accesso e altro ancora. La versione gratuita offre preziosi controlli di sicurezza, mentre la versione premium offre funzionalità avanzate.

Numero di installazioni: oltre 4 milioni
Voto: 4,7/5

2. Sicurezza Sucuri

Sucuri è una piattaforma di sicurezza web che offre uno strumento gratuito per la scansione dei siti web. Controlla il tuo sito Web per rilevare malware, problemi di sicurezza e vulnerabilità. Offrono anche un servizio di sicurezza a pagamento per protezione e monitoraggio in tempo reale.

Numero di installazioni: oltre 900.000
Voto: 4,2/5

3. Sicurezza solida

Solid Security è un plugin di sicurezza WordPress all'avanguardia progettato per rafforzare il tuo sito web. Ricco di funzionalità essenziali come protezione firewall in tempo reale, scansione malware e meccanismi di accesso sicuri, offre una soluzione all-in-one per proteggere la tua presenza online. Con la sua interfaccia intuitiva e i controlli di sicurezza automatizzati, Solid Security garantisce tranquillità proteggendo il tuo sito dalle minacce più recenti.

Numero di installazioni: oltre 900.000
Voto: 4,6/5

4. Ninja della sicurezza

Security Ninja è un plugin di sicurezza completo su misura per i siti Web WordPress. Con il suo robusto set di strumenti, tra cui scanner principale, rilevamento malware e correzione automatica, garantisce l'integrità e la resilienza del tuo sito. I controlli di sicurezza proattivi del plug-in e le correzioni con un clic consentono ai proprietari di siti Web di proteggere i propri siti Web. Che tu sia un principiante o un esperto di tecnologia, Security Ninja è un ottimo strumento contro le minacce informatiche.

Numero di installazioni: oltre 10.000
Voto: 4,8/5

5. Protezione Jetpack

Jetpack Protect è specializzato nella protezione dei siti WordPress da intrusioni indesiderate. È dotato di una solida protezione dagli attacchi di forza bruta e di monitoraggio dei tempi di inattività per mantenere il tuo sito sicuro e operativo. Con la sua configurazione semplificata, Jetpack Protect integra perfettamente backup in tempo reale e difesa dallo spam, garantendo che i dati del tuo sito rimangano intatti e le tue interazioni autentiche.

Numero di installazioni: oltre 100.000
Voto: 4,8/5

Cosa fare se il tuo sito WordPress viene violato

Scoprire che il tuo sito WordPress è stato violato può essere un'esperienza angosciante, ma è importante agire rapidamente per mitigare il danno e ripristinare la sicurezza del tuo sito.

1. Isolare il sito Web: se sono presenti più siti Web ospitati sullo stesso server, isolare il sito Web compromesso per impedire che l'infezione si diffonda ad altri. Ciò potrebbe comportare la messa temporaneamente offline del sito interessato.
2. Ripristina l'ultimo backup del tuo sito web: per risolvere rapidamente il problema, ripristina una versione precedente del tuo sito web. Se non hai eseguito il backup del tuo sito web di recente, valuta la possibilità di sviluppare una strategia di backup dopo aver completato i passaggi seguenti.
3. Cambia password: cambia le password per tutti gli account utente sul tuo sito WordPress, inclusi amministratori, editori e contributori. Assicurarsi che vengano utilizzate password complesse e univoche.
4. Scansione malware: utilizza un plug-in di sicurezza o uno strumento di scansione malware di terze parti per scansionare il tuo sito Web alla ricerca di codice dannoso e malware. Se ne hai già uno attivato, contatta gli sviluppatori per risolvere il problema con un aiuto professionale.
5. Identifica e rimuovi file sospetti: controlla i file e le directory del tuo sito web per individuare eventuali file sconosciuti o sospetti. Gli hacker spesso inseriscono codice dannoso in file, temi o plug-in principali. Rimuovi tutti i file che sospetti siano compromessi.
6. Pulisci il database: controlla il tuo database WordPress per modifiche non autorizzate o contenuti sospetti. Ripristina eventuali tabelle o voci modificate al loro stato originale.
7. Controlla gli account utente: controlla il tuo elenco di utenti registrati e rimuovi eventuali account sconosciuti o non autorizzati. Assicurati che non ci siano amministratori non autorizzati.
8. Modifica chiavi di sicurezza e sali: nel tuo file wp-config.php , modifica le chiavi di sicurezza e i sali. Questo passaggio può aiutare a invalidare eventuali credenziali di accesso rubate.
9. Avvisare i visitatori: se l'hacking ha potenzialmente esposto dati sensibili dell'utente, rispettare le leggi sulla notifica di violazione dei dati e informare gli utenti interessati della violazione.

Come migliorare le domande frequenti sulla sicurezza di WordPress

WordPress è abbastanza sicuro?

WordPress è un sistema di gestione dei contenuti (CMS) affidabile e, poiché è così popolare, diventa spesso un bersaglio per gli aggressori. Tuttavia, se WordPress sia "abbastanza sicuro" dipende da diversi fattori, incluso il modo in cui lo configuri, lo mantieni e lo utilizzi. Seguendo le migliori pratiche descritte in questa guida, puoi garantire un ambiente sicuro per il tuo business online.

WordPress è il CMS più hackerato?

Il rapporto annuale di Sucuri nel 2022, ha evidenziato WordPress come il CMS più frequentemente violato con il 96,2% degli attacchi concentrati sulla piattaforma. A causa del suo utilizzo diffuso, WordPress è un obiettivo comune e presenta un elevato numero di hack segnalati, ma ciò non significa necessariamente che sia meno sicuro di altre piattaforme CMS.

Qual è la parte più vulnerabile di un sito Web WordPress?

Le parti più vulnerabili sono spesso temi e plugin, nonché password di amministratore deboli.

Come posso proteggere gratuitamente il mio sito WordPress?

Implementa password complesse, mantieni aggiornato WordPress e utilizza plugin di sicurezza gratuiti come Wordfence o Security Ninja per migliorare la sicurezza del tuo sito.

Le versioni precedenti di WordPress sono più facili da hackerare?

Sì, le versioni precedenti di WordPress sono più facili da hackerare poiché spesso contengono vulnerabilità di sicurezza senza patch. Controlla sempre gli ultimi aggiornamenti per mantenere protetto il tuo sito web.

Come posso prevenire il malware su WordPress?

Mantieni WordPress aggiornato, utilizza temi e plug-in affidabili e installa plug-in di sicurezza che offrono scansione malware e protezione firewall.

Ho davvero bisogno di un plugin di sicurezza per WordPress?

Un plugin di sicurezza è altamente raccomandato in quanto fornisce misure di sicurezza complete e può automatizzare molte delle attività necessarie per mantenere sicuro un sito WordPress.