10 suggerimenti poco conosciuti e super efficaci per proteggere il tuo blog WordPress

Ottenere un blog hackerato e perdere anni e anni di lavoro sul blog da un giorno all'altro è una triste realtà che le persone hanno effettivamente vissuto. In effetti, la ricerca mostra che ogni giorno vengono hackerati 37.000 siti Web e, con WordPress che alimenta circa il 25, 4% di tutti i siti Web, si può essere sicuri che una buona parte dei blog WordPress vengano hackerati ogni giorno.

La sicurezza di WordPress è un gioco completamente diverso; una volta che possiedi un blog WordPress, consigli come avere un nome utente difficile da indovinare e una password tanto dura quanto rock non è più sufficiente. Un tema buggy singolo, il plug-in sbagliato o un file protetto in modo errato può causare l'hacking del tuo blog durante la notte.

Sia che tu abbia poca esperienza con WordPress, sia che tu stia usando la piattaforma sin dalla sua esistenza, questo articolo ha 10 modi pratici e supper efficaci per proteggere il tuo blog WordPress che chiunque può implementare. Non troverai molti di questi suggerimenti in popolari articoli "come proteggere il tuo blog", ma potrebbero benissimo salvare il tuo blog un giorno!

1. Disabilita il tema WordPress e l'editor del plugin

WordPress ha una pratica funzione che offre ai proprietari di siti una maggiore flessibilità, consentendo loro di personalizzare e modificare i loro temi e plugin direttamente dal dashboard di WordPress, ma questa funzione è stata la rovina della maggior parte dei blog.

Con questa funzione, un leggero errore può mandare in crash il tuo sito e bloccarti dal tuo sito web . Gli hacker possono facilmente inserire codice dannoso nel tuo tema per dare loro l'accesso backdoor al tuo sito, o addirittura prendere completamente il controllo del tuo sito, acquisendo il controllo di un account che dispone di privilegi sufficienti per utilizzare il tema e l'editor di plug-in.

Puoi proteggerti disabilitando il plugin e l'editor di temi, rendendo impossibile la modifica di temi e plug-in senza l'accesso FTP .

Fai questo aggiungendo il seguente codice al tuo file wp-config.php:

define( 'DISALLOW_FILE_EDIT', true );

2. Abilitare l'autenticazione a due fattori

L'autenticazione a due fattori sta rapidamente diventando uno dei modi più affidabili per proteggere i tuoi account online, e la maggior parte dei siti Web affidabili insisterà sul fatto che i loro utenti lo abilitino.

Sebbene WordPress non abbia necessariamente incorporato l'autenticazione a due fattori, puoi abilitare l'autenticazione a due fattori sul tuo blog installando i seguenti plug-in:

• Google Authenticator
• Authy
• Chiave
• Rublon

3. Limitare gli accessi in base al numero di tentativi falliti

Ci sono molti modi in cui gli hacker tentano di accedere al tuo blog, e una delle tecniche più comuni utilizzate è un attacco bruteforce: un hacker prova una combinazione di nomi utente e password, più e più volte, finché non è in grado di accedere correttamente il tuo blog

Di default, WordPress non è protetto da questo attacco. Installando plugin che limitano gli accessi dopo un determinato numero di tentativi falliti da un particolare IP, è possibile rendere molto più difficile per gli hacker accedere al tuo blog.

Il plugin del modulo Jetpack Protect può anche proteggerti dagli attacchi bruteforce.

4. Effettua regolarmente la scansione del tuo blog

File tematici, plugin, collegamenti e altri elementi apparentemente innocui possono essere utilizzati per accedere al tuo blog. Non aspettare che il tuo sito Web sia completamente infetto prima di prendere le misure. Installa invece i plug-in di scansione di sicurezza per eseguire regolarmente la scansione del tuo sito Web e informarti se i tuoi file cambiano.

Un buon esempio di un plugin per la scansione di sicurezza è Wordfence. Oltre a darti la possibilità di scansionare manualmente / automaticamente il tuo blog WordPress, ti avvisa istantaneamente quando si verificano attività sospette sul tuo blog.

Invia inoltre informazioni su commenti potenzialmente dannosi e confronta i file del tema e del plugin con il repository di WordPress per farti sapere se la tua versione di un plugin o tema è stata modificata e può potenzialmente servire da backdoor per gli hacker al tuo sito.

Altri plugin di sicurezza che possono aiutarti a scansionare il tuo blog alla ricerca di malware e exploit sono:

• Scanner di sicurezza Sucuri
• Acunetix WP Security
• iThemes Security (precedentemente noto come "Better WP Security")

5. Cambia il tuo host

Mentre questo suona come un consiglio semplicistico, in realtà ha un sacco di peso. La ricerca mostra che il 41% dei siti Web di WordPress compromessi è stato violato attraverso la vulnerabilità della sicurezza sulla loro piattaforma di hosting . Questo è molto più che da altre fonti, incluso avere una password debole.

Il tuo host può avere un ruolo importante nel fatto che tu venga hackerato o no; assicurati di andare solo per host web affidabili che hanno resistito alla prova del tempo e che rispettano le migliori pratiche del settore .

6. Nascondi il numero di versione di WordPress

Per impostazione predefinita, WordPress visualizza il numero di versione di WordPress; questo rende facile per WordPress tenere traccia di quanti blog WordPress sono attivi in ​​tutto il mondo. Tuttavia, questo può anche essere un'enorme fonte di problemi; hacker e bot possono esplorare il web per i blog utilizzando un numero di versione di WordPress con una vulnerabilità nota, rendendoti un obiettivo facile.

Puoi facilmente risolvere questo problema nascondendo il tuo numero di versione di WordPress . Per nascondere il numero di versione di WordPress, aggiungi semplicemente il seguente codice al tuo file functions.php:

add_filter( 'the_generator', '__return_null' );

7. Disabilitare i report degli errori PHP

Quando un plugin o un tema non funziona bene sul tuo blog WordPress, i rapporti di errore di PHP possono aiutarti mostrandoti un messaggio che rivela la causa dell'errore. Tuttavia, in questo vantaggio si trova uno svantaggio: quando viene segnalato un errore PHP, include il percorso completo del server dell'errore, rivelando informazioni che gli hacker possono utilizzare contro di te.

Puoi proteggerti disattivando la segnalazione degli errori di PHP . Aggiungi semplicemente il seguente codice al tuo file wp-config.php:

 error_reporting (0); @ini_set ('display_errors', 0); 

8. Lavora sui permessi dei tuoi file WordPress

Quando si tratta di prevenire il tuo sito WordPress da exploit di sicurezza, è essenziale assicurarsi di avere i permessi di file giusti . Ciò rende difficile per un hacker manipolare plugin, temi o file sul tuo server per rilevare il tuo sito web.

Assicurati che le autorizzazioni della cartella WordPress siano impostate su 755 o 750; i permessi dei file sono impostati su 640 o 644; e che l'autorizzazione wp-config.php è impostata su 600.

9. Garantire backup regolari

Anche i siti Web di grandi dimensioni con un team di esperti e consulenti di sicurezza vengono violati e, sebbene seguire le best practice possa rendere il tuo sito Web più forte del 99, 9% dei siti web, le cose possono ancora rompersi.

La migliore sicurezza che hai contro gli attacchi di hacking di WordPress è un buon backup; assicurati di eseguire regolarmente backup del tuo sito, se possibile ogni giorno. In questo modo, se il tuo sito web viene violato hai i tuoi file sul posto e puoi ripristinare le cose immediatamente .

Ecco alcuni dei migliori plugin di backup di WordPress:

• BackUpWordPress
• Pronto! di riserva
• VaultPress
• BackupBuddy

10. Limitare l'accesso alla pagina di accesso

Quando arriva la spinta, potrebbe essere necessario prendere qualche azione drastica. Un modo molto affidabile per proteggere il tuo blog dai tentativi di hacking consiste nel bloccare completamente l'accesso alla tua pagina wp-admin e wp-login.php .

Questo è raccomandato solo se si utilizza un indirizzo IP che non cambia (non si vuole bloccare il proprio blog!). Puoi ancora usare questa opzione se usi più di un indirizzo IP ma tieni traccia di questi indirizzi.

Per limitare l'accesso alla tua pagina di accesso, aggiungi il seguente codice al tuo file .htaccess:

 RewriteEngine su RewriteCond% {REQUEST_URI} ^ (. *)? Wp-login \ .php (. *) $ [OR] RewriteCond% {REQUEST_URI} ^ (. *)? Wp-admin $ RewriteCond% {REMOTE_ADDR}! ^ Il tuo Indirizzo IP 1 $ RewriteCond% {REMOTE_ADDR}! ^ Indirizzo IP 2 $ RewriteCond% {REMOTE_ADDR}! ^ Indirizzo IP 3 $ RewriteCond% {REMOTE_ADDR}! ^ Indirizzo IP 4 $ RewriteCond% {REMOTE_ADDR}! ^ Indirizzo IP 5 $ RewriteRule ^ (. *) $ - [R = 403, L] 

Assicurati di modificare il tuo indirizzo IP 1 attraverso il tuo indirizzo IP 5 con i diversi indirizzi IP a cui vuoi dare accesso; puoi semplicemente aggiungere o rimuovere una linea per consentire o impedire a più IP di accedere al tuo sito.

Conclusione

Ovviamente, non dovresti ignorare i consigli di sicurezza di base come non usare un nome utente prevedibile, avere una password complessa, aggiornare regolarmente l'installazione di WordPress, ecc. Tuttavia, i suggerimenti di sicurezza poco noti e spesso ignorati possono rendere Blog WordPress solo un po 'più sicuro.

Nota del redattore : questo post ospite è scritto per Hongkiat.com da John Stevens . John è un esperto di WordPress e hosting. È il fondatore e CEO di HostingFacts.com , un portale in cui esamina e valuta gli host web in base alle prestazioni.