Indice
Se ti stai chiedendo come proteggere il tuo sito WordPress questa guida ti aiuterà a risolvere il problema. Probabilmente, ti starai anche chiedendo perché qualcuno vorrebbe hackerare il tuo sito WordPress? Continua a leggere perché ti aiuterò a scoprire anche perché il tuo sito viene preso di mira e, meglio ancora, cosa puoi fare per proteggerlo!
WordPress è il CMS open source più famoso al mondo. Alimenta un quarto di tutti i siti presenti online. Questo si traduce in milioni di siti creati con WordPress. Tuttavia, questa prerogativa di essere open source, permette a sviluppatori, utenti e hacker di poter visualizzare l’intero codice che rende la piattaforma ciò che è. Perciò, proteggere l’ambiente WordPress diventa necessario.
Trovare aree vulnerabili su un sito WordPress è relativamente facile per gli hacker
Nell’immaginario comune, come visto anche nei film più datati, gli hacker sono spesso ritratti come individui seduti davanti a un computer che cercano di corrompere l’accesso di un sito web. Ovviamente, ancora oggi, esistono personaggi hacker che lo fanno, ma molto spesso tendono a farlo con siti di gran valore a cui poi possono chiedergli una sorta di riscatto.
Invece, sempre più spesso, bot e reti di computer gestite a distanza per scopi non proprio puliti (botnet), attaccano le piattaforme WordPress alla ricerca di parti vulnerabili, per prendere il controllo del sito o del server in cui è ospitato per spammare altri siti.
I bot sono programmi scritti da hacker, capaci di scansionare siti WordPress alla ricerca di falle di codice per poi bucarli e prenderne possesso. I botnet, come già detto, sono una rete di macchine infettate da bot che tentano di hackerare un numero enorme di siti web.
Sembra spaventoso, vero? La soluzione è riuscire a proteggere WordPress!
Dal momento che i bot non sono lenti come noi esseri umani, possono infettare un gran numero di siti molto rapidamente.
Questo è il motivo per cui è estremamente importante tenere sempre aggiornato il tuo ambiente WordPress, il tuo template ed i tuoi plugin. Perché se un bot arriva a bucare il codice prima che tu possa aggiornare l’ambiente WP, allora il tuo sito è bello che compromesso!
Perché hacker e bot attaccano i siti WordPress
Se vuoi maggiori informazioni su come proteggere WordPress, è importante sapere prima perché viene attaccato. La maggior parte del tempo, gli hacker creano bot per essere in grado di fare le seguenti attività dannose:
- Rubare i dati sensibili del tuo sito – Solitamente raccolgono le informazioni delle persone registrate sul tuo sito, per poi utilizzare o vendere i dati rubati ad altre persone. A seconda del tipo di dati che rubano, possono utilizzare le informazioni per inviare e-mail di spam o utilizzare le info più sensibili per commettere furti di identità.
- Utilizzare il sito per inviare spam – gli hacker possono riuscire a prendere il controllo del tuo sito ed usarlo per inviare e-mail di spam. Senza che tu prenda coscienza dell’accaduto, nel momento di inviare e-mail alla tua lista contatti, nessuno riceverà le tue email. Questo perché il tuo sito è già stato inserito nella lista nera dai server di posta elettronica!
- Ospitare contenuti dannosi – a volte gli hacker usano le risorse di altri siti per nascondere contenuti illegali ed immorali. Non vogliono che questi file si mostrino sulle loro proprietà web, per questo cercano di farlo con siti non loro.
- Attaccare altri siti web – Ovviamente, gli hacker sono persone perspicaci. Infatti, invece di affidarsi a un singolo bot, bucano i siti per poi attaccarne ancora più. In sostanza, infettano il tuo sito che poi useranno come parte della loro botnet per lanciare attacchi massicci su più siti!
A questo punto hai certamente compreso l’importanza su
Come proteggere WordPress
Ricorda, il tuo nuovo sito WordPress non è immune agli attacchi. Gli hacker non provano rancore nei tuoi confronti, non hanno nulla di personale contro di te, davvero.
Non ti conoscono, ma vogliono utilizzare il tuo sito web e le tue risorse per svolgere le loro attività dannose ed illegali
Per proteggere WordPress adotta misure di sicurezza certe
Esistono diversi modi per proteggere il tuo sito da attacchi di hacker. Inizierò con quelli semplici che puoi implementare subito sul tuo WordPress.
1. Aggiorna costantemente il tuo ambiente WordPress
WordPress viene aggiornato molto frequentemente. Quindi, se vuoi rendere sicuro il tuo ambiente web cerca di fare lo stesso anche tu. Aggiornare il software non è una scelta, è una necessità. Infatti, l’utilizzo di template o plugin obsoleti rende il tuo sito estremamente vulnerabile, facilmente attaccabile.
Aggiornare WordPress è facile. Basta accedere all’interno della tua bacheca, e potrai verificare immediatamente se il tuo ambiente è da aggiornare. Tutto quello che dovrai fare è cliccare sul link Aggiornamenti, e voilà! Potrai aggiornare tutto ciò che WordPress ti indica. In questo modo, potrai aggiungere un ulteriore livello di sicurezza e protezione.
Ma cosa accade se non si ha il tempo di verificare spesso il tuo ambiente WordPress?
Bene, la soluzione è quella di installare un plugin di sicurezza. Ne esistono davvero tanti, sta a te capire quale è il migliore per le tue esigenze. Io te ne indico alcuni che funzionano davvero bene.
2. Proteggere WordPress rendendo nome utente e password difficili da indovinare
I bot tentano di accedere ai siti web WP cercando di indovinare anzitutto il nome utente. Come regola generale, non dovresti mai usare nomi utenti estremamente semplici da indovinare. Ad esempio, non utilizzare mai “Admin”, è il primo nome che utilizzano. Dunque, sforzati di trovare un altro nome utente e rendilo estremamente difficile da indovinare.
Per la password, utilizza una combinazione di numeri, lettere maiuscole e minuscole e simboli. Utilizza almeno 10 caratteri. Sarà molto difficile trovare la tua password in questo modo. Inoltre, ricorda di cambiare come minimo un paio di volte l’anno la tua password.
3. Utilizza l’autenticazione a due fattori
La maggior parte delle app moderne che gestiscono informazioni riservate ti permettono di sfruttare l’autenticazione a due fattori. In questo modo potrai inserire il tuo nome utente e la password.
Successivamente, quando inserisci le credenziali giuste, riceverai un messaggio sullo schermo che ti indica di inserire un codice, solitamente numerico, inviato attraverso un SMS telefonico o via e-mail.
È quindi necessario immettere il codice, entro un breve periodo di tempo, prima che scade. Questo è un ottimo sistema per dare filo da torcere ad un bot o un hacker e proteggere WordPress.
Ci sono parecchi plugin di autenticazione a due fattori per WP, ma almeno 3 dei plugin che ti ho indicato ti permettono di attivare questa funzionalità.
4. Nascondi o Rinomina la pagina di login predefinita
La pagina di login predefinita di WP termina con /wp-login.php o /wp-admin. La soluzione è rinominare la pagina. In questo modo renderai gli attacchi di un hacker più difficili sul tuo sito.
Con almeno 2 plugin indicati puoi riuscire a nascondere la tua pagina di accesso alla bacheca WP. Per assicurarti di non rendere invisibile la tua pagina di login, non dimenticarti di aggiungere ai tuoi preferiti il nuovo link di accesso!
5. Certifica il tuo sito web (SSL)
Ti sei mai chiesto quale sia la differenza tra i siti Web HTTP e HTTPS?
In sostanza, i siti Web HTTPS sono sicuri perché hanno un certificato SSL. SSL sta per Secure Sockets Layer che crittografa tutte le comunicazioni tra il sito ed il browser.
I siti con un certificato SSL valido visualizzano un lucchetto verde sul browser. Se si fa clic sul lucchetto, si potrà verificare che si tratta di una connessione sicura e le informazioni – password o numeri di carte di credito – restano private quando vengono inviate al sito.
Esistono differenti tipi di certificati SSL. Gratuiti o a pagamento. Molte aziende di hosting come ad esempio SiteGround offrono un certificato SSL gratuito con i loro piani di hosting. Quindi, questo è un altro tassello su come proteggere WordPress, Se sei nella fase di realizzazione del sito web ricorda di creare il tuo certificato SSL!
6. Limita i tentativi di accesso
WP consente di accedere nella propria bacheca per un numero di volte infinito, fino a quando non si entra finalmente con le credenziali giuste. Questo permette ai bot o agli hacker di poterlo forzare, provando le combinazioni di username e password fino a quando non riescono ad indovinare le credenziali giuste.
Esistono molti plugin che possono aiutarti a limitare il numero di tentativi di accesso sul tuo sito WP
Tuttavia, se hai già installato WordFence, iThemes Security, All In One WP o Cerber Security, come ti ho suggerito un paio di volte in questa guida, puoi semplicemente attivare questa funzione sul tuo dashboard del plugin da te scelto.
7. Installare un plugin di sicurezza di WP
Sono tra i plugin WordPress indispensabili per rendere attendibile un sito. Il più popolare plugin di sicurezza per proteggere WordPress è certamente WordFence. Con la sua versione gratuita riesce a soddisfare gran parte delle problematiche relative alla sicurezza. Infatti, sono molti coloro che lo utilizzano e dichiarano di essere abbastanza soddisfatti dei risultati.
Ovviamente, WordFence non è perfetto, ma il sol fatto di essere installato su milioni di siti, è una testimonianza di come le persone considerano questo plugin.
Però, come ti ho detto esistono delle ottime alternative. Sta soltanto a te capire qual’è il plugin migliore per proteggere WordPress. Naturalmente, se hai intenzione di scegliere un plugin in versione Premium, per la tua sicurezza, prima di acquistare verifica sempre le recensioni e comprendi se è in grado di soddisfare a pieno tutte le tue esigenze.
Conclusione
I suggerimenti che ti ho elencato in questa guida su come proteggere il tuo sito web non sono la soluzione definitiva ed infallibile, ma certamente potranno aiutarti molto a rendere più sicuro il tuo ambiente WP. La sicurezza di WordPress è un qualcosa di molto complesso ed altamente tecnico.
Con gli hacker continuamente alla ricerca di nuovi modi per bucare i siti web WordPress devi essere consapevole di ciò che sta accadendo sul tuo sito in ogni momento.
Per combattere gli hacker devi sapere come proteggere il tuo sito web WordPress. Quindi, se non sai bene come fare, ti suggerisco di chiedermi una consulenza web. Per me sarà un piacere aiutarti a mettere al sicuro il tuo sito da eventuali attacchi di hacker.