Come proteggere WordPress (2020)

WordPress è uno dei sistemi di gestione dei contenuti più popolari sul mercato e con buone ragioni. È semplice da usare, ci sono migliaia di temi e plugin disponibili e puoi creare qualsiasi tipo di sito web con esso. Non sorprende quindi che WordPress sia potente 35,1% di tutti i siti Web su internet.


Ma la sua popolarità ha un costo. WordPress è spesso preso di mira dagli hacker. Secondo Sucuri, nel 2018, il 90% di tutte le richieste di pulizia del sito Web apparteneva a WordPress, con un aumento del 7% rispetto al 2017.

Rapporto sulle tendenze dell'hack del sito Web 2018 - Sucuri

Pertanto, proteggere il tuo sito Web WordPress dovrebbe essere in cima alla tua lista, sia che tu abbia un portafoglio personale, un sito Web aziendale o un negozio online.

Quando si tratta di sicurezza di WordPress, gli utenti di solito rientrano in due campi: quelli che prendono sul serio la sicurezza e prendono misure precauzionali e quelli che credono o sperano che non accadranno mai a loro perché il loro sito non è abbastanza importante.

Per comprendere meglio la gravità dei problemi di sicurezza associati ai siti Web, visitare il sito Web Pagina delle statistiche di Internet Live qualche volta. Lì, puoi vedere un numero esatto di siti Web hackerati ogni giorno e persino vedere il numero aumentare in tempo reale.

Sito Web hackerato in tempo reale

Contents

22 passaggi per proteggere il tuo sito Web WordPress

Per evitare che il tuo sito finisca come uno dei siti su Internet Live Stats, segui i suggerimenti di seguito e proteggi il tuo sito Web WordPress.

1. Optare per una società di hosting con funzionalità di sicurezza

Il primo passo per proteggere il tuo sito Web WordPress è quello di investire in una società di hosting che implementa adeguate funzionalità di sicurezza. Ciò include il supporto per l’ultima versione di PHP, MySQL e Apache, nonché un firewall e un monitoraggio della sicurezza 24/7.

Se possibile, scegliere una società di hosting che esegue backup giornalieri e scansioni malware regolari. Puoi persino trovare società di hosting che impiegano varie misure di prevenzione DDOS.

La tua società di hosting è in genere il primo hacker che i pirati devono superare per ottenere l’accesso al tuo sito, quindi investire di più in anticipo e acquistare un piano di hosting più costoso sarà sicuramente ripagato. Noi raccomandiamo scegliendo un provider di hosting WordPress gestito.

2. Usa password complesse

Assicurati che le password per il tuo sito Web WordPress e l’area del tuo account di hosting siano entrambe sicure. Usa una combinazione di lettere maiuscole e minuscole, numeri e simboli per trovare una password sicura. Puoi anche utilizzare un gestore di password come LastPass per generare e archiviare password sicure per te.

3. Elimina il nome utente amministratore

WordPress utilizzato per impostare il nome utente predefinito come amministratore e la maggior parte degli utenti non si è mai preoccupata di cambiarlo. Di conseguenza, l’amministratore è di solito il primo nome utente che gli hacker proveranno quando lanciano un attacco di forza bruta.

Pertanto, non dovresti mai usare il nome utente admin per il tuo sito Web WordPress. Se hai recentemente installato il tuo sito Web WordPress, è probabile che tu abbia dovuto impostare il tuo nome utente. Ma se sei un utente di WordPress da molto tempo, potresti comunque utilizzare il nome utente admin.

In tal caso, crea un nuovo nome utente amministratore per il tuo sito accedendo a Utenti> Aggiungi nuovo e scegliendo un nome utente e una password sicuri. Impostare il ruolo su Amministratore e quindi fare clic su Aggiungi un nuovo utente pulsante.

Creazione di un account amministratore

Potrai quindi accedere con quelle nuove credenziali ed eliminare il tuo vecchio utente amministratore. Ricorda di assegnare tutti i tuoi contenuti al tuo nuovo utente amministratore prima di eliminare quello vecchio.

4. Usa un account Collaboratore o Editor per pubblicare sul tuo sito

Se vuoi dare un ulteriore suggerimento al suggerimento sopra, prendi in considerazione la creazione di un account collaboratore o di un editor per aggiungere nuovi post e articoli al tuo sito. In questo modo sarà più difficile per gli hacker fare danni sul tuo sito poiché i collaboratori e gli editori di solito non dispongono dei privilegi di amministratore.

Creazione di un account editor

5. Utilizzare un plug-in di backup

Se non esegui ancora il backup del tuo sito Web, devi iniziare subito. Un sistema di backup ti aiuterà a ripristinare il tuo sito se accade il peggio e il tuo sito finisce per essere violato.

Utilizza un plug-in come UpdraftPlus per creare un programma di backup regolare per il tuo sito Web e non dimenticare di archiviare i file di backup fuori sede per assicurarti che questi file non finiscano anche infetti.

6. Protezione dell’area di amministrazione

Quando si tratta di rafforzare l’area di amministrazione, è necessario modificare l’URL di amministrazione predefinito e limitare il numero di tentativi di accesso non riusciti prima che un utente venga bloccato dal tuo sito.

Per impostazione predefinita, l’URL di amministrazione per il tuo sito Web sarà simile al seguente: yourdomain.com/wp-admin. Gli hacker lo sanno e tenteranno di accedere direttamente a questo URL in modo da poter accedere al tuo sito.

Puoi modificare questo URL con un plug-in simile WPS Nascondi accesso.

WPS Nascondi accesso

Per quanto riguarda la limitazione del numero di tentativi di accesso non riusciti, è possibile utilizzare Plug-in Blocco accesso.

Login LockDown

7. Tieni aggiornati i file

Come accennato in precedenza, i file obsoleti rappresentano un rischio per la sicurezza perché rendono il sito vulnerabile ad altri exploit. Ecco perché è necessario installare gli aggiornamenti non appena vengono rilasciati.

Mentre ci sei, assicurati di controllare regolarmente i plug-in installati e di disattivare ed eliminare i plug-in che non stai più utilizzando.

8. Proteggi il tuo computer

Potresti chiederti cosa c’entra il tuo computer con il tuo sito web. Se il tuo computer è infetto da un virus e accedi al tuo sito o carichi file su di esso, anche questi file infetti possono infettare il tuo sito web. In breve, vuoi assicurarti di:

  • Evita di utilizzare le reti Wi-Fi pubbliche per accedere al tuo sito
  • Installa il software antivirus e assicurati che sia aggiornato

9. Modifica il prefisso del database

Un altro fatto ben noto agli hacker di WordPress è che il prefisso del tuo database è impostato su wp. Questo fatto rende facile per loro indovinare il prefisso della tabella e utilizzare iniezioni SQL automatizzate per ottenere l’accesso al tuo sito.

La modifica del prefisso del database è un processo manuale che comporta la modifica di wp-config.php file e cambiando i nomi delle tabelle usando phpMyAdmin. Prima di apportare la modifica, assicurati di eseguire il backup del tuo sito come misura preventiva.

Modifica di wp-config

Dovrai accedere al tuo account di hosting e accedere a cPanel o a qualsiasi pannello di controllo utilizzato dall’host. Quindi, accedi a File Manager e individua il tuo wp-config.php file nella directory di WordPress.

Trova la riga del prefisso della tabella che assomiglia a questa: $ table_prefix seguito da un segno = e dal prefisso della tabella stessa. Sostituisci la stringa predefinita con il tuo prefisso usando una combinazione di numeri, caratteri di sottolineatura e lettere in questo modo:

$ table_prefix = “hgwp_3456_”;

Una volta terminata la modifica di wp-config.php file, esci da File Manager e accedi a phpMyAdmin in modo da poter cambiare tutti i nomi delle tabelle. Farlo manualmente può essere noioso in quanto ci sono 11 tabelle in totale che è necessario modificare. Invece, puoi inserire una query SQL andando alla scheda SQL

in esecuzione una query SQL

Quindi inserisci questo:

Tabella RENAME `wp_commentmeta` TO` hgwp_3456_commentmeta`;

Tabella RENAME `wp_comments` TO` hgwp_3456_comments`;

Tabella RENAME `wp_links` TO` hgwp_3456_links`;

Tabella RENAME `wp_options` TO` hgwp_3456_options`;

Tabella RENAME `wp_postmeta` TO` hgwp_3456_postmeta`;

Tabella RENAME `wp_posts` TO` hgwp_3456_posts`;

Tabella RENAME `wp_terms` TO` hgwp_3456_terms`;

Tabella RENAME `wp_termmeta` TO` wp_a123456_termmeta`;

Tabella RENAME `wp_term_relationships` TO` hgwp_3456_term_relationships`;

Tabella RENAME `wp_term_taxonomy` TO` hgwp_3456_term_taxonomy`;

Tabella RENAME `wp_usermeta` TO` hgwp_3456_usermeta`;

Tabella RENAME `wp_users` TO` hgwp_3456_users`;

Mentre la query sopra dovrebbe cambiare il prefisso del database ovunque, è una buona idea eseguire un’altra query per assicurarsi che tutti gli altri file che utilizzano il vecchio prefisso del database vengano aggiornati:

SELEZIONA * DA `hgwp_3456_options` WHERE` option_name` LIKE '% wp_%'

Ti consigliamo anche di cercare theusermeta e sostituire eventuali vecchi prefissi rimanenti con quello nuovo:

SELEZIONA * DA `hgwp_3456_usermeta` DOVE` meta_key` LIKE '% wp_%'

10. Indurisci i tuoi file .htaccess e wp-config.php

.htaccess e wp-config.php sono i file più importanti nell’installazione di WordPress. Pertanto, è necessario assicurarsi che siano sicuri e protetti.

Aggiungi semplicemente i codici seguenti al tuo file .htaccess, al di fuori dei tag # BEGIN WordPress e # END WordPress per assicurarti che le modifiche non vengano sovrascritte ad ogni nuovo aggiornamento.



l'ordine consente, nega

negato da tutti





l'ordine consente, nega

negato da tutti





l'ordine nega, consenti

Negato da tutti

# consenti l'accesso dal mio indirizzo IP

consentire dal 192.168.1.1

I frammenti sopra proteggeranno il tuo wp-config e .htaccess oltre a limitare l’accesso a wp-login.php schermo.

Infine, aggiungi lo snippet di seguito per impedire l’esecuzione del file PHP:



negato da tutti

11. Controllare e modificare le autorizzazioni del file

Quando hai finito di proteggere il tuo .htaccess e wp-config.php file, rimani un po ‘più a lungo nel tuo cPanel e controlla i permessi dei file per i file e le cartelle nel tuo sito Web WordPress.

Autorizzazioni file

Secondo il Codice WordPress, le autorizzazioni dovrebbero essere impostate come segue:

  • Tutte le directory dovrebbero essere 755 o 750
  • Tutti i file dovrebbero essere 644 o 640
  • wp-config.php dovrebbe essere 600

Se le tue impostazioni sono diverse, gli hacker potrebbero facilmente leggere i contenuti e modificare i contenuti dei file e delle cartelle, il che può portare alla violazione del tuo sito e ad altri siti sullo stesso server..

12. Utilizzare l’autenticazione a due fattori

Prendi in considerazione l’utilizzo di un plugin come Google Authenticator per impostare l’autenticazione a due fattori per il tuo sito. Ciò significa che oltre a inserire la password, dovrai anche inserire un codice generato da un’app mobile per accedere al tuo sito. Questo può fermare gli attacchi di forza bruta, quindi è una buona idea installarlo ora.

Google Authenticator

13. Disabilitare XML-RPC

XML-RPC consente al tuo sito di stabilire una connessione con app e plugin mobili WordPress come Jetpack. Sfortunatamente, è anche uno dei preferiti dagli hacker di WordPress perché possono abusare di questo protocollo per eseguire diversi comandi contemporaneamente e ottenere l’accesso al tuo sito. Usa un plugin come Disabilita il plugin XML-RPC per disabilitare questa funzione.

Disabilita XML-RPC

14. Utilizzare HTTPS e SSL

Internet è stato pieno di articoli e articoli sul blog sull’importanza del protocollo HTTPS e l’aggiunta di certificati di sicurezza SSL al tuo sito da un po ‘di tempo ormai.

HTTPS sta per Hypertext Transfer Protocol Secure mentre SSL sta per Secure Socket Layers. In breve, HTTPS consente al browser del visitatore di stabilire una connessione sicura con il tuo server di hosting (e quindi il tuo sito). Il protocollo HTTPS è protetto tramite SSL. Insieme, HTTPS e SSL assicurano che tutte le informazioni tra il browser di un visitatore e il tuo sito siano crittografate.

L’uso di entrambi sul tuo sito non solo aumenterà la sicurezza del tuo sito, ma trarrà vantaggio anche dal posizionamento nei motori di ricerca, dalla fiducia nei tuoi visitatori e migliorare il tasso di conversione.

Parla con il tuo provider di hosting e chiedi la possibilità di ottenere un certificato SSL o di indirizzarti verso una società rispettabile dove puoi acquistarne uno.

15. Disabilita la modifica di temi e plugin tramite la dashboard di WordPress

Avere la possibilità di modificare i file dei temi e dei plug-in direttamente nella dashboard di WordPress è utile quando è necessario aggiungere rapidamente una riga di codice. Ma significa anche che chiunque acceda al tuo sito può accedere a quei file.

Disabilita questa funzione aggiungendo il seguente codice al tuo wp-config.php file:

// Non consentire la modifica dei file

define ('DISALLOW_FILE_EDIT', true);

16. Sposta il file wp-config.php in una directory non WWW

Come accennato in precedenza, il wp-config.php file è uno dei file più importanti nell’installazione di WordPress. Rendere più difficile l’accesso spostandolo dalla directory principale in una directory accessibile non www.

  1. Per cominciare, copia il contenuto del tuo wp-config.php file in un nuovo file e salvarlo come wp-config.php.
  1. Torna dal tuo vecchio wp-config.php file e aggiungi la seguente riga di codice:
  1. Carica e salva il nuovo wp-config.php file in un'altra cartella.

17. Modifica le chiavi di sicurezza di WordPress

Le chiavi di sicurezza di WordPress sono responsabili della crittografia delle informazioni memorizzate nei cookie dell'utente. Si trovano nel wp-config.php file e assomigliare a questo:

define ('AUTH_KEY', 'metti qui la tua frase unica');

define ('SECURE_AUTH_KEY', 'metti qui la tua frase unica');

define ('LOGGED_IN_KEY', 'inserisci qui la tua frase unica');

define ('NONCE_KEY', 'metti qui la tua frase unica');

define ('AUTH_SALT', 'metti qui la tua frase unica');

define ('SECURE_AUTH_SALT', 'metti qui la tua frase unica');

define ('LOGGED_IN_SALT', 'metti qui la tua frase unica');

define ('NONCE_SALT', 'metti qui la tua frase unica');

Usa il Generatore di chiavi di sali di WordPress per cambiarli e rendere il tuo sito più sicuro.

18. Disabilita Segnalazione errori

La segnalazione degli errori è utile per la risoluzione dei problemi e per determinare quale specifico plug-in o tema sta causando un errore sul tuo sito Web WordPress. Tuttavia, una volta che il sistema segnala un errore, visualizzerà anche il percorso del server. Inutile dire che questa è un'opportunità perfetta per gli hacker di scoprire come e dove possono sfruttare le vulnerabilità nel tuo sito.

Puoi disabilitarlo aggiungendo il codice qui sotto al tuo wp-config.php file:

error_reporting (0);

@ini_set ("display_errors", 0);

19. Rimuovere il numero di versione di WordPress

Chiunque dia un'occhiata al codice sorgente del tuo sito Web sarà in grado di dire quale versione di WordPress stai utilizzando. Poiché ogni versione di WordPress ha log delle modifiche pubbliche che dettagliano l'elenco di bug e patch di sicurezza, possono facilmente determinare quali buchi di sicurezza possono trarre vantaggio.

Versione di WordPress

Fortunatamente, c'è una soluzione semplice. Puoi rimuovere il numero di versione di WordPress modificando il file Functions.php del tuo tema e aggiungendo quanto segue:

remove_action ('wp_head', 'wp_generator');

20. Utilizzare le intestazioni di sicurezza

Un altro modo per proteggere il tuo sito Web WordPress è implementare le intestazioni di sicurezza. In genere sono impostati a livello di server per prevenire attacchi di pirateria informatica e ridurre il numero di exploit di vulnerabilità della sicurezza. Puoi aggiungerli tu stesso modificando il tema functions.php file.

Intestazioni di sicurezza

Attacchi cross-scripting

Aggiungi il seguente codice alla whitelist di contenuto, script, stili e altre fonti di contenuti consentiti:

header ('Content-Security-Policy: default-src https:');

Ciò impedirà al browser di caricare file dannosi.

Clickjacking di Iframe

Aggiungi la riga seguente per indicare al browser di non eseguire il rendering di una pagina in un frame: header ("Opzioni X-Frame: SAMEORIGIN");

X-XSS-Protection e X-Content-Type-Options

Aggiungi le seguenti righe per prevenire gli attacchi XSS e dire a Internet Explorer di non annusare i tipi mime

header ('X-XSS-Protection: 1; mode = block');

header ('X-Content-Type-Options: nosniff');

Applicare HTTPS

Aggiungi il codice seguente per indicare al browser di utilizzare solo HTTPS:

header ('Sicurezza rigorosa del trasporto: max-age = 31536000; includeSubdomain; precarico');

Cookie con flag HTTPOnly e Secure in WordPress 

Dì al browser di fidarsi solo del cookie impostato dal server e che il cookie è disponibile sui canali SSL aggiungendo quanto segue:

@ini_set ('session.cookie_httponly', true);

@ini_set ('session.cookie_secure', true);

@ini_set ('session.use_only_cookies', true);

Se non vuoi aggiungere queste intestazioni manualmente, prendi in considerazione l'utilizzo di un plug-in simile Intestazioni di sicurezza. Indipendentemente dal metodo scelto per implementare le intestazioni di sicurezza, assicurati di testarle utilizzando https://securityheaders.io sito Web e inserendo l'URL del tuo sito.

21. Prevenire Hotlinking

Il collegamento a caldo non è di per sé una violazione della sicurezza, ma considerando che si riferisce a un altro sito Web che utilizza l'URL del tuo sito per puntare direttamente a un'immagine o un altro file multimediale, è considerato un furto. Pertanto, il hotlinking può comportare costi imprevisti non solo perché dovrai far fronte a conseguenze legali, ma anche perché la tua fattura di hosting può superare il tetto se il sito che ha rubato la tua immagine riceve molto traffico.

Aggiungi il codice seguente al tuo file .htaccess se stai utilizzando il server Apache e sostituisci il dominio fittizio con il tuo vero nome di dominio:

RewriteEngine on

RewriteCond% {HTTP_REFERER}! ^ Http (s)?: // (www \.)? Domain.com [NC]

RewriteRule \. (Jpg | jpeg | png | gif) $ - [NC, F, L]

In alternativa, se stai utilizzando server NGINX, ti consigliamo di modificare il file di configurazione con quanto segue:

posizione ~. (gif | png | jpe? g) $ {

valid_referers nessuno bloccato ~ .google. ~ .Bing. ~ .yahoo yourdomain.com * .yourdomain.com;

if ($ invalid_referer) {

ritorno 403;

}

}

22. Disconnetti Utenti inattivi

L'ultimo consiglio in questa guida per aumentare la sicurezza del tuo sito è di disconnettere gli utenti inattivi dopo un periodo di inattività. Puoi usare un plugin come Logout inattivo per terminare automaticamente le sessioni inattive.

Logout inattivo

Ciò è necessario perché se accedi al tuo sito Web per aggiungere un nuovo post sul blog e distrarti da un'altra attività, la tua sessione può essere dirottata e gli hacker possono abusare della situazione per infettare il tuo sito. È ancora più importante terminare le sessioni inattive se sul tuo sito sono presenti più utenti.

Come recuperare da un hack

Le misure di sicurezza di cui sopra sono un ottimo modo per proteggere il tuo sito. Ma cosa succede se il tuo sito viene violato comunque? Ecco alcuni passaggi da seguire nel caso in cui il tuo sito Web sia stato violato.

1. Conferma l'hack e modifica la password

Se il tuo sito è stato violato, prima di tutto, non farti prendere dal panico. Questo non ti aiuterà e l'atto è compiuto, quindi è importante agire rapidamente. Inizia controllando il tuo sito e vedi se riesci ad accedere alla tua dashboard. Controlla se il tuo sito sta reindirizzando a un altro sito o se vedi collegamenti o annunci sospetti o strani.

Cambia immediatamente la password e procedi con il passaggio successivo.

2. Entra in contatto con la tua società di hosting

Contatta il tuo host e fai sapere loro che il tuo sito è stato violato. Possono aiutarti a identificare la fonte dell'hacking. Alcuni host puliranno anche il tuo sito e rimuoveranno il codice e i file dannosi.

Utilizzare un backup per ripristinare il sito

Se sei stato diligente nel backup del tuo sito, individua un backup prima dell'hacking e usalo per ripristinare il tuo sito. Mentre potresti perdere parte dei contenuti, sarai in grado di rendere il tuo sito attivo e funzionante com'era prima dell'attacco.

3. Scansiona il tuo sito alla ricerca di malware

Utilizza lo scanner gratuito di Sucuri per scansionare il tuo sito alla ricerca di malware e identificare i file compromessi. Puoi anche optare per il servizio di pulizia del sito se non sai come rimuovere il malware da solo.

4. Controlla gli utenti del tuo sito

Accedi al tuo sito Web WordPress e vai su Utenti> Tutti gli utenti. Assicurati che non ci siano utenti che non dovrebbero esserci e cancellali se necessario.

5. Modifica le tue chiavi segrete

Usa il summenzionato Generatore di chiavi dei sali di WordPress per generare nuove chiavi di sicurezza e aggiungerle al tuo file wp-config.php. Poiché quelle chiavi crittografano la tua password, gli hacker rimarranno connessi fino a quando i loro cookie non saranno invalidati. Le nuove chiavi di sicurezza faranno proprio questo e costringeranno l'hacker a uscire dal tuo sito.

6. Assumi un professionista

Infine, assumere un professionista per ripulire l'hack e rimuovere il malware dal tuo sito. Tieni presente che gli hacker possono nascondere il codice dannoso in più file, quindi se non hai esperienza con la rimozione di malware, è facile perdere un file infetto. Questo rende facile per gli hacker hackerare nuovamente il tuo sito, quindi è altamente consigliato assumere un professionista.

7 tipi più comuni di vulnerabilità di WordPress

Prima di proseguire con questo articolo, affrontiamo l'elefante nella stanza: WordPress è sicuro? La risposta a quella domanda è si. Il nucleo del software WordPress è sicuro e la società dietro WordPress prende sul serio la sicurezza.

Loro squadra di sicurezza ha 50 esperti a bordo che includono sviluppatori leader e ricercatori di sicurezza che lavorano dietro le quinte per garantire che WordPress sia sicuro.

In effetti, la maggior parte degli incidenti e dei rischi per la sicurezza sono il risultato di un errore umano associato alla presenza di una vulnerabilità della sicurezza.

Esistono sette tipi di vulnerabilità di WordPress che devi conoscere:

  • File WordPress obsoleti
  • Exploit backdoor
  • Hack farmaceutici
  • Password deboli
  • Reindirizzamenti dannosi
  • Vulnerabilità nella piattaforma di hosting
  • Attacchi denial of service

Andiamo su di loro e spieghiamo cosa sono esattamente.

1. File WordPress obsoleti

I file WordPress obsoleti si riferiscono alla versione di WordPress, ai temi e ai file dei plug-in. Pongono un rischio per la sicurezza perché lasciano il tuo sito esposto ad altre vulnerabilità come exploit backdoor e hack farmaceutici.

Pertanto, è necessario assicurarsi che l'installazione di WordPress sia aggiornata, nonché il tema e i plug-in. Dovresti applicare in modo proattivo gli aggiornamenti quando vengono rilasciati perché non solo sono dotati di nuove funzionalità, ma includono anche varie correzioni di sicurezza e bug.

2. Exploit backdoor

Quando si tratta di exploit backdoor, gli hacker trarranno vantaggio dai file WordPress obsoleti per ottenere l'accesso al tuo sito. Oltre ai file obsoleti, possono anche accedere al tuo sito tramite SFTP, FTP e simili.

Una volta che hanno accesso al tuo sito, infettano il tuo sito e possono anche infettare altri siti che si trovano sullo stesso server del tuo sito. Le iniezioni di backdoor sembrano normali file WordPress per l'utente inesperto. Ma dietro le quinte, approfittano dei bug nei file obsoleti per accedere al tuo database e provocare il caos sul tuo sito e migliaia di altri siti Web.

3. Hack farmaceutici

Gli hack farmaceutici si riferiscono a exploit di vulnerabilità in file WordPress obsoleti in cui un hacker inserisce il codice in tali file. Una volta inserito il codice, i motori di ricerca visualizzano annunci per prodotti farmaceutici anziché il tuo sito web. Ciò può comportare che i motori di ricerca contrassegnino il tuo sito Web come spam.

4. Password deboli

Le password deboli potrebbero essere facili da ricordare, ma facilitano anche l'accesso degli hacker al tuo sito attraverso un attacco di forza bruta. Un attacco di forza bruta si verifica quando un hacker utilizza script automatici eseguiti in background per tentare varie combinazioni di nome utente e password fino a quando non trovano una combinazione funzionante.

5. Reindirizzamenti dannosi

Analogamente all'utilizzo di file obsoleti e protocollo FTP o SFTP per iniettare codice che provoca un attacco farmaceutico o un exploit backdoor, gli hacker useranno il file .htaccess nell'installazione di WordPress per reindirizzare i visitatori a un sito Web dannoso.

I tuoi visitatori possono quindi finire con un virus o cadere in preda al phishing.

6. Vulnerabilità nella piattaforma di hosting

A volte, la sicurezza del tuo sito Web potrebbe essere compromessa perché stai utilizzando una società di hosting che non dispone di funzionalità di sicurezza come un firewall o il monitoraggio dei file. Questo di solito è il caso dei provider di hosting più economici, il che significa che scegliere un host più economico, ironicamente, ti costerà di più se il tuo sito viene violato.

Tieni presente che le piattaforme di hosting più economiche comportano anche un rischio maggiore in termini di sicurezza poiché il tuo sito potrebbe essere infettato o compromesso a causa degli hacker che sfruttano le vulnerabilità su un altro sito Web ospitato sullo stesso server.

7. Attacchi Denial of Service

Gli attacchi Denial of Service o DDOS sono una delle minacce più pericolose per qualsiasi proprietario di siti Web. In un attacco DDOS, un hacker sfrutterà bug ed errori nel codice causando il sovraccarico della memoria del sistema operativo del tuo sito. Gli attacchi DDOS di solito abbattono un gran numero di siti che utilizzano una piattaforma specifica, come WordPress.

Ora che conosci quali sono le vulnerabilità comuni associate a WordPress, passiamo ai suggerimenti, alle migliori pratiche e ai consigli di sicurezza che ti aiuteranno a proteggere il tuo sito WordPress.

Avvolgendo

WordPress è un CMS potente e popolare che semplifica la creazione di un sito Web per chiunque. Ma poiché è così popolare, è anche un bersaglio preferito per gli hacker. Fortunatamente, ci sono una serie di passaggi che puoi adottare per proteggere il tuo sito WordPress e se segui i suggerimenti in questo articolo, sarai sulla buona strada per avere un sito Web WordPress sicuro.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Adblock
    detector