Come proteggere un sito? Guida alla sicurezza del sito web

Ascolta questo articolo

Sicurezza del sito web o come proteggere un sito web? Alcuni hack si verificano per motivi completamente ridicoli: aggiornamenti intempestivi, password deboli, ecc. In questa guida essenziale alla sicurezza del sito Web, ti mostrerò come proteggere un sito Web:

• Anche se... non conosci la sicurezza dei siti web e non capisci bene cosa significhi;
• Anche se... hai già provato e fallito a proteggere il tuo sito;
• Anche se… sei sopraffatto dal lavoro principale e non sai da dove iniziare;
• Anche se... pensi: "Non sono all'altezza degli hacker, quindi perché provare a fare qualcosa?"

Ma soprattutto, parlerò di come iniziamo a pensare alla sicurezza dei nostri siti Web in primo luogo. In questo modo hai tutti gli strumenti necessari per prendere le giuste decisioni (di sicurezza) per il tuo sito. Ci saranno quante più informazioni possibili, versati una tazza di tè o caffè e preparati.

Il contenuto dell'articolo:

• Cos'è la sicurezza del sito?
• Perché la sicurezza del sito web è importante?
• Come proteggere il tuo sito dagli hacker? (Passi efficaci)
• Buone pratiche di sicurezza del sito web
• Cosa dovresti evitare quando proteggi il tuo sito web?
• Cosa fare se il tuo sito è stato violato?
• All In One WP Security & Firewall - Sicurezza del sito WordPress
• Produzione

Cos'è la sicurezza del sito?

Mentre è fantastico che tu stia adottando alcune misure per proteggere il tuo sito web. Devi capire che la sicurezza del sito è un processo continuo che richiede un'attenzione periodica da parte tua. Gli hacker sono persone creative, quindi le minacce sono in continua evoluzione.

La sicurezza del sito è il piano per proteggere il tuo sito Web e gli utenti dagli hacker e dai loro malware. Ciò include la comprensione dei componenti del tuo sito web, come lavorano insieme e quali vulnerabilità hanno.

Una volta stabilita questa base, è necessario formulare un piano di sicurezza completo per proteggersi dalle vulnerabilità. Ciò include una serie di passaggi di configurazione, l'implementazione di criteri e l'aggiornamento delle informazioni sulle minacce.

La chiave per proteggere un sito Web è capire che non si tratta di una cosa occasionale. La sicurezza si evolve perché le minacce si evolvono.

Vedrai nell'articolo qui sotto che un buon plug-in di sicurezza farà la maggior parte del duro lavoro in termini di malware, ma essere attenti e vigili è ciò che mantiene un sito web sicuro in primo luogo.

Perché la sicurezza del sito web è importante?

WordPress è utilizzato da milioni di persone, quindi è probabilmente sicuro, giusto? Sì e no.

— Sì, perché i file principali di WordPress sono protetti e, anche se viene rilevata una vulnerabilità, viene risolta molto rapidamente.

- No, perché il tuo sito non è solo il cuore di WordPress. È una combinazione di plugin e temi che aiutano a rendere il tuo sito più funzionale, interattivo e attraente. Questi plugin e temi migliorano la funzionalità di WordPress, ma aumentano anche il potenziale di vulnerabilità. I buoni sviluppatori di plugin risolveranno rapidamente le vulnerabilità. Ma il pericolo in questo senso è molto più alto.

Come proteggere il tuo sito dagli hacker? Passi di azione

Per avere un piano efficace per proteggere il tuo sito Web, il primo passo è capire come i siti Web vengono violati. Secondo il seguente studio, i siti web vengono violati principalmente in tre modi:

• 90+% - Vulnerabilità in un plugin o tema WordPress.
• 5+% - Nome utente e/o password compromessi.
• <1% - Servizi di web hosting scadenti.

Questa allocazione dovrebbe costituire la base di come prevedi di proteggere il tuo sito e dove dovresti allocare più tempo e risorse.

1. Proteggi il tuo sito dalle vulnerabilità

Gli hacker sono costantemente alla ricerca di siti Web vulnerabili. Non importa se il sito è grande o piccolo. Hanno molti vantaggi dall'hacking di quasi tutti i siti web. Nella nostra esperienza, più di 90% di tutte le violazioni sono dovute a hacker che scoprono e sfruttano una vulnerabilità.

Diamo un'occhiata più da vicino a quali sono le vulnerabilità. Questo è molto importante da capire in modo da poter modellare consapevolmente la strategia di sicurezza del tuo sito Web in futuro.

Cos'è una vulnerabilità?

Il tuo sito web è composto da 3 componenti principali: WordPress, plugin e temi. Fondamentalmente è tutto software e, come qualsiasi software, contiene bug che a volte ne causano l'arresto anomalo.

Gli errori possono avere diverse conseguenze: alcuni rallentano il tuo sito web o causano un errore quando qualcuno lo visita. Questo è fastidioso e problematico, ma quelli più seri consentono agli utenti non autorizzati (come gli hacker) di accedere al tuo sito web. Tale bug è noto come vulnerabilità.

Tipi di vulnerabilità

Le vulnerabilità possono essere caratterizzate, come abbiamo fatto nel paragrafo precedente, come bug nel codice. Tuttavia, ci sono alcuni tipi specifici che si verificano più frequentemente di altri:

1. Software obsoleto: è importante mantenere aggiornati core, plugin e temi;
2. Cattiva gestione dei ruoli utente: non concedere a tutti gli utenti l'accesso completo come amministratore;
3. Input non sterilizzati: i campi di input devono convalidare l'input prima del salvataggio e/o dell'esecuzione.

Possibili hack su un sito Web non protetto

Le vulnerabilità sono strettamente correlate ai tipi di attacchi che consentono e sono spesso indicate in modo intercambiabile. Gli attacchi più comuni che WordPress affronta sono:

• Iniezione di codice: quando il codice dannoso viene inserito attraverso i campi di input ed eseguito dal codice del sito Web o dal database. Una variante di iniezione SQL comune dell'iniezione di codice che è particolarmente eclatante per le applicazioni basate su database come WordPress.
• Attacchi di scripting tra siti: Questo tipo di vulnerabilità ruba i cookie dell'utente per impersonarli o addirittura dirottare la sessione. L'accesso dell'utente target viene quindi utilizzato per attaccare il tuo sito.
• Attacchi di forza bruta: Come suggerisce il nome, non esiste alcun trucco per questo tipo di attacco. L'hacker bombarda la tua pagina di accesso con combinazioni di nome utente/password nel tentativo di trovare quella giusta.
• Spam SEOR: Qualsiasi spam è grave, ma questo attacco colpisce ciò che fa più male a un sito web: la SEO. I proprietari di siti Web sprecano risorse lavorando sul loro SEO, solo perché un hacker tragga un vantaggio indebito inserendo pop-up e collegamenti a prodotti illegali o grigi. Anche gli attacchi di spam SEO sono difficili da rilevare e spesso i siti Web subiscono gli effetti negativi dello spam prima di rendersi conto di essere infetti.
• Attacchi di phishing: In questi attacchi, un hacker tenta di impersonare una persona legittima per indurre l'utente a consegnare volontariamente le proprie informazioni. Il phishing funziona in tandem con la posta elettronica e un sito Web violato per ottenere tali credenziali.

Qual è l'effetto della vulnerabilità?

Plugin e temi sono installati su diverse migliaia di siti, quindi l'effetto di questo difetto si moltiplica molte volte. Gli sviluppatori responsabili di plugin e temi si stanno impegnando per colmare le falle di sicurezza nei loro prodotti rilasciando aggiornamenti.

In effetti, questo è il motivo principale per cui si consiglia di scegliere plug-in premium quando possibile. La manutenzione regolare del software dovrebbe ricevere la massima attenzione in una strategia di sicurezza del sito web. Ottimo, significa che il bug è stato risolto. Siamo al sicuro ora, giusto? Beh, non proprio. La scoperta di vulnerabilità è un momento pericoloso per i proprietari di siti.

Cosa succede quando viene scoperta una vulnerabilità?

Le vulnerabilità vengono spesso scoperte dai ricercatori sulla sicurezza dei siti web. Segnalano le loro scoperte al plug-in o allo sviluppatore del tema. Come abbiamo detto nella sezione precedente, gli sviluppatori responsabili cercheranno di risolvere il problema e rilasciare un aggiornamento.
Una volta risolta la vulnerabilità, il ricercatore di sicurezza del sito pubblicherà i propri risultati. Lo sviluppatore ha rilasciato una correzione per proteggere i siti Web, giusto? Non proprio.

Gli hacker leggono anche della vulnerabilità e cercano siti Web che non hanno aggiornato le loro versioni. Le vulnerabilità pubbliche tendono ad attrarre gli hacker in erba (noti anche come script kids) perché ora possono utilizzare facilmente i siti web. Sanno esattamente dov'è il loro obiettivo.

Cosa si dovrebbe fare per proteggere il sito dalle vulnerabilità?

Ora parlerò di passaggi specifici che puoi adottare per mantenere il tuo sito Web sicuro e protetto dagli hacker. Questi passaggi possono sembrare semplici, ma sono modi efficaci per proteggere il tuo sito.

1. Effettua backup

I backup sono la parte più sottovalutata della strategia di sicurezza di un sito. Non posso sottolineare abbastanza l'importanza dei backup regolari. Sono la tua rete di sicurezza, l'unica cosa su cui puoi fare affidamento quando le cose vanno male. I backup ti aiuteranno a riportare rapidamente il sito a uno stato integro.

2. Aggiorna plugin e temi

Questo può sembrare molto ovvio, soprattutto se hai letto la sezione precedente sull'importanza degli aggiornamenti. Tuttavia, è molto facile ignorare la notifica rossa sulla dashboard e andare avanti con qualcosa di più urgente.

Pertanto, lo ripeterò. Gli sviluppatori di plug-in rilasciano aggiornamenti con correzioni di sicurezza per questo. Anche se decidi di ritardare l'installazione degli aggiornamenti, aggiorna il plug-in in un secondo momento, almeno dopo aver letto le note di rilascio.

3. Scegli plugin e temi di buona qualità

È improbabile che ci sarà mai un software completamente affidabile, ci sono fattori chiave da considerare quando si scelgono i plugin e i temi giusti per il tuo sito web:

• Il plug-in viene aggiornato regolarmenteR: È più probabile che un plug-in o un tema mantenuto costantemente dal suo sviluppatore riceva una patch di sicurezza se viene scoperta una vulnerabilità.
• Il plugin è popolare?? Questa è un'arma a doppio taglio. Un popolare plug-in con milioni di installazioni sarà preso di mira dagli hacker. Ma plugin come questo tendono anche ad essere più sicuri perché sono controllati da molti più sviluppatori.
• È un plugin premiumR: I plugin a pagamento supportano il lavoro degli sviluppatori e quindi è molto meno probabile che vengano abbandonati rispetto ai plugin gratuiti. Ciò non significa che il software open source non sia mai sicuro, tuttavia, con un prodotto premium, paghi per l'assistenza clienti e la qualità del prodotto.
• Non installare mai plugin e temi annullatiR: Il software gratuito premium disponibile è problematico su molti livelli. Il software azzerato spesso contiene malware o backdoor che, una volta installati, consentono agli hacker di accedere al tuo sito web.

4. Usa un firewall

Non esiste un modo affidabile per impedire agli hacker o ai loro bot di attaccare siti web come il tuo. Tuttavia, puoi ridurre notevolmente le possibilità installando un firewall.

2. Proteggi il tuo nome utente e password

Circa 6% dei siti Web compromessi erano vulnerabili agli attacchi a causa di password deboli. Questo può sembrare un numero piccolo rispetto all'attività dannosa diretta, ma è comunque abbastanza significativo da attirare la tua attenzione.

Perdere la password dell'amministratore del sito è come perdere le chiavi dell'appartamento o della macchina. Con la chiave, il ladro ha il controllo completo sui tuoi beni di valore. Allo stesso modo, con una password, gli hacker hanno pieno accesso al tuo sito e alle sue informazioni. Al momento, nemmeno un firewall o un plug-in di sicurezza può impedire agli hacker di danneggiare il tuo sito.

La necessità di password complesse è ancora promossa attivamente, ma a causa delle difficoltà che comporta, gli utenti del sito Web spesso la ignorano. Prima di entrare nei meccanismi per ottenere una buona reputazione, rispondiamo ad alcune domande comuni che le persone hanno su di loro.

Come si può rubare una password?

La risposta potrebbe sorprendere: l'hacker sta cercando di indovinare la password. Con ciò intendo che provano manualmente password diverse, ma è a questo che servono i robot. Questo è anche noto come attacco di forza bruta o, se il bot indovina le parole, attacco del dizionario.

Questi attacchi funzionano molto bene per diversi motivi.:

• Password facili da indovinare: parole comuni, parole brevi, la stessa parola "password" in varie combinazioni.
• Dati di hack precedenti: C'è un motivo per cui le persone consigliano di utilizzare password diverse per servizi e siti diversi.

Come proteggersi dal furto di password

1. Usa una password complessa: le password complesse utilizzano una combinazione casuale di lettere, numeri e simboli perché sono difficili da decifrare. Possono volerci anni prima che i bot degli hacker trovino la password giusta. Puoi provare a creare tu stesso una password complessa o utilizzare un generatore di password.

2. Limita il numero di tentativi di accesso: un buon modo per prevenire un attacco di forza bruta è bloccare gli intrusi dopo diversi tentativi di accesso falliti. Questo è un meccanismo efficace, poiché questo tipo di attacco consiste in bot hacker che provano ripetutamente password diverse.

3. Implementa l'autenticazione a due fattori: alcuni servizi utilizzano l'autenticazione a due fattori durante il processo di accesso, il che significa essenzialmente che devi disporre di due (idealmente) token separati per accedere al tuo account. Molto spesso è una combinazione di password e un token di scadenza, come un pin o un codice QR, inviato alla tua e-mail o al tuo dispositivo.

4. Implementare la protezione CAPTCHA - I CAPTCHA possono essere risolti solo dagli esseri umani. Sono progettati per impedire ai bot degli hacker di accedere a un account. Puoi usarlo per proteggere il tuo sito.

5. Utilizzare un firewall: alcuni firewall per la sicurezza dei siti Web monitorano anche gli indirizzi IP dannosi a livello globale. Il firewall apprende su tutti i siti con il plug-in installato. Quindi blocca automaticamente gli IP errati prima che provino a decifrare la tua password. Questo, combinato con la possibilità di limitare gli accessi, può proteggere il tuo sito dagli hacker che tentano di entrare nell'area di amministrazione del tuo sito.

3. Scegli un buon provider di hosting

C'è la tendenza a incolpare l'host web per tutto ciò che va storto in un sito web. Sebbene gli host web siano generalmente responsabili di molti aspetti di un sito Web, raramente sono colpevoli quando un sito Web viene violato. In realtà, è generalmente vero il contrario: i web host migliorano la sicurezza dei siti web.

Naturalmente, ci sono alcuni host web che giocano un ruolo nel compromettere i siti web ospitati sul loro server. Ciò accade raramente, ma quando accade si tratta di un grave incidente che mette a rischio migliaia di siti web.

4. Installare un certificato SSL

Secure Sockets Layer, meglio conosciuto come SSL, è un protocollo di sicurezza che crittografa tutte le connessioni a un sito web. Una volta installato, appare come un lucchetto all'inizio dell'URL del tuo sito.

I vantaggi dell'utilizzo di un certificato SSL sono i seguenti:

• Tutti i dati trasmessi da e verso il tuo sito sono crittografati.
• Questo è un segno di fiducia nel tuo sito. Infatti, la maggior parte dei browser contrassegnerà i siti non SSL come "non sicuri" nella barra degli indirizzi.
• Google ama i siti Web con un certificato SSL e li premia persino con classifiche più elevate.

Buone pratiche di sicurezza del sito web

Come ho detto all'inizio, la sicurezza del sito Web è una pratica continua. In questa sezione, elencherò le tecniche utili da incorporare nella tua strategia generale di sicurezza del sito web. Una volta che avrai preso l'abitudine di farlo, il piccolo investimento del tuo tempo e dei tuoi sforzi ti ripagherà molte volte con un sito web sicuro.

1. Cambia spesso la tua password — Capisco che l'impostazione di password difficili da indovinare sia complicata, soprattutto perché spesso sono sinonimo di password difficili da ricordare. Possiamo anche immaginare l'ansia causata dalla richiesta di cambiare regolarmente la nostra eccellente password.

Il motivo è che le password sono l'anello più debole della sicurezza, soprattutto se si utilizzano le stesse password per più account. Anche se un sito viene violato, puoi tranquillamente presumere che tutti i tuoi account siano potenzialmente compromessi. Regolare può anche significare cose diverse per persone diverse. Alcuni istituti finanziari, come le banche, richiedono la modifica delle password ogni 90 giorni.

2. Controlla gli utenti del sito web, traccia i nuovi utenti amministratori — gli hacker spesso lasciano gli utenti amministratori in modo che possano riottenere l'accesso al sito. Pertanto, controllare regolarmente gli utenti amministratori può aumentare la sicurezza di un sito web.

In secondo luogo, i coautori del sito potrebbero cambiare. Se un utente non ha più bisogno dell'accesso, è meglio rimuovere il suo accesso al sito. Il motivo è duplice:

1. non vuoi che l'utente apporti modifiche al tuo sito;
2. i loro account inattivi possono essere compromessi dagli hacker.

Nel corso del tempo, mentre costruiamo il nostro sito con nuovi contenuti e design, continuiamo ad aggiungere nuovi utenti al nostro sito. Dovresti controllare periodicamente questi utenti. Puoi seguire tu stesso le regole di sicurezza, ma un altro utente compromesso influenzerà il tuo sito. Quando si aggiungono utenti, quando possibile, fornire loro solo i livelli di accesso richiesti. Ad esempio, se qualcuno scrive solo articoli, non concedergli i diritti di amministratore.

3. Imposta un registro delle attività sul tuo sito Gli hacker non utilizzano le principali API di WordPress per modificare il sito Web, quindi molte delle modifiche apportate non si rifletteranno nel registro delle attività. Tuttavia, possono lasciare tracce, ad esempio creando account amministratore per se stessi per accedere al sito. Queste attività impreviste possono aiutare a rilevare una violazione. Al contrario, se le modifiche vengono apportate da un collaboratore, i registri delle attività possono aiutare a evitare inutili panico quando vedi le modifiche apportate al tuo sito.

4. Blocca PHP nella cartella Download - Un'intera classe di vulnerabilità (per essere precisi, Remote Code Execution) consente agli hacker di caricare file PHP dannosi nella cartella Uploads. L'hacker può quindi utilizzarlo per eseguire qualsiasi codice sul tuo sito. In altre parole, hanno il controllo completo sul tuo sito.

L'attacco può essere efficacemente mitigato se blocchi l'esecuzione dei file PHP nella cartella Uploads. Non preoccuparti. Il blocco dei file PHP nella cartella Download è sicuro perché non dovrebbero esserci affatto. La cartella Uploads è dove memorizzi i tuoi file multimediali, non gli script.

Cosa dovresti evitare quando proteggi il tuo sito web?

Una rapida ricerca su Google ti darà molti suggerimenti e strategie per proteggere il tuo sito. Diversi plug-in di sicurezza forniranno anche diverse opzioni per proteggere il tuo sito dai cracker di password. Proteggere il tuo sito web è qualcosa che dovresti fare, tuttavia ci sono alcune cose che dovresti evitare.

Le ragioni variano per ciascuno dei punti discussi di seguito, ma in sostanza, le tue misure dovrebbero fornire vantaggi di sicurezza tangibili, soprattutto se chiedi ai tuoi utenti di superare ulteriori barriere di sicurezza. Ad esempio, se utilizzi sia il captcha che l'autenticazione a due fattori, raggiungere il tuo sito diventa difficile, con pochi vantaggi aggiuntivi.

Puoi ottenere un ulteriore senso di sicurezza applicando tutte le opzioni disponibili, ma in termini di analisi costi-benefici, non tagliano la linea.

1. Nascondi la pagina di accesso di wp - Lo vedrai in molti forum: cambia la pagina wp-login con l'URL del tuo sito. La logica è che se gli hacker non riescono a trovare la pagina di accesso, non possono utilizzare attacchi di forza bruta per ottenere l'accesso al tuo sito. Questo ha diversi svantaggi:

• WordPress ti consente anche di accedere utilizzando XML-RPC.
• Questo renderà il tuo sito difficile da usare. Se dimentichi l'URL speciale che hai creato per te stesso al posto di wp-login, il recupero da questo può essere difficile.
• Se utilizzi l'URL generico o l'URL predefinito fornito con il plug-in di sicurezza, è comunque facile per gli hacker indovinare quale vanificherà completamente il tuo scopo.
• Nascondere questa pagina richiede l'applicazione di impostazioni complesse al tuo sito, che possono avere altri effetti collaterali imprevisti.

2. Blocco geografico Un'altra misura di sicurezza comunemente raccomandata è il blocco geografico. Potresti non aver bisogno o aspettarti traffico legittimo da determinati paesi e quindi scegliere di limitare l'accesso.

• Gli indirizzi IP per le regioni non sono ideali e potrebbero contenere errori.
• Se ti blocchi per errore, sarà difficile annullarlo.
• Potresti finire per bloccare buoni bot come Google che non possono danneggiare il tuo sito.

Un buon firewall può e proteggerà il tuo sito da bot dannosi e traffico indesiderato. Ho trattato i vantaggi dei firewall nella sezione precedente.

3. Proteggi con password la directory wp-admin - La cartella wp-admin è una delle cartelle più importanti del tuo sito. Naturalmente, attira molta attenzione da parte degli hacker. Pertanto, proteggerlo con una password può sembrare una mossa geniale, ma controproducente.

La password che protegge la tua directory wp-admin interrompe la funzionalità AJAX sul tuo sito Web WordPress. AJAX è una tecnica di codifica che scarica parti del tuo sito Web dal server senza modificare la pagina attualmente visualizzata.

Se suona come un discorso incomprensibile, ciò che significa essenzialmente è che rende il tuo sito dinamico senza ricaricare costantemente gli utenti ogni volta che qualcosa cambia.

Pensa a scorrere il tuo feed sui social media. Nuove storie o tweet vengono caricati mentre stai ancora leggendo quelli già sullo schermo e puoi aggiornare il tuo feed di notizie ogni volta che desideri caricare nuovi contenuti.

4. Nascondi la versione di WordPress - La logica alla base dell'occultamento della versione del tuo sito WordPress è dovuta agli aggiornamenti di sicurezza. Se il tuo sito Web non esegue l'ultima versione di WordPress, un hacker potrebbe sfruttare una vulnerabilità esistente in una versione precedente. Tuttavia, nascondere la tua versione di WordPress è inutile. Esistono diversi modi per determinare la versione WordPress di un sito Web: controllando il codice esterno del sito, controllando il feed RSS, ecc. Tutti sono legali, tra l'altro.

Il modo per gestire le vulnerabilità di WordPress nelle versioni precedenti è aggiornare la tua versione all'ultima. Molti amministratori di siti Web temono che l'aggiornamento di un sito live possa danneggiarlo. Quindi è meglio farlo prima su un sito di prova.

Cosa fare se il tuo sito è stato violato?

Se il tuo sito è stato recentemente violato, è ancora più importante che tu sia estremamente attento alla sicurezza del tuo sito. Se non eseguito correttamente, può portare a ripetuti attacchi al sito e l'intera situazione si trasforma in un completo incubo.

1. Pulisci prima il malwareR: Utilizza un buon plug-in di sicurezza per rimuovere automaticamente il malware senza lasciare traccia.
2. Aggiorna tuttoR: Come ho detto, gli aggiornamenti software sono vitali. Assicurati di avere le ultime versioni di WordPress, temi e plugin installati. Se non lo fai, c'è una buona possibilità che questo sia il motivo per cui il tuo sito è stato violato in primo luogo.
3. Visualizza ogni utente amministratore: dai un'occhiata da vicino a ciascun account amministratore. Ne abbiamo già parlato in questo articolo, ma gli hacker creano account amministratore per riottenere l'accesso a un sito Web compromesso se viene rilevato malware.
4. Cambia tutte le password. Supponiamo che le tue credenziali siano state compromesse, cambia le tue password. Spero che tu non usi la stessa password per prodotti e servizi diversi, altrimenti dovresti cambiare anche il resto delle password.
5. Modificare le credenziali del database (se possibile): Il file wp-config.php contiene le credenziali che il sito WordPress utilizza per connettersi al database del sito. In molti casi, l'accesso al database è limitato anche se le credenziali del database sono compromesse. Tuttavia, su alcuni host, gli hacker possono utilizzare queste informazioni per modificare direttamente il database. Ciò può portare a una nuova infezione del sito.
6. Cambia le chiavi di sicurezzaR: WordPress utilizza le chiavi di sicurezza per gestire le sessioni per gli utenti registrati.
7. Configura il firewall di WordPress: Ne ho già parlato in dettaglio in questo articolo. Il firewall di WordPress è la tua migliore difesa contro bot dannosi e cattivo traffico.

All In One WP Security & Firewall - Sicurezza del sito WordPress

In breve: il modo più semplice per proteggere il tuo sito è installare un plug-in di sicurezza del sito come: All In One WP Security & Firewall è un plug-in di sicurezza WordPress completo, facile da usare, stabile e ben mantenuto.
All In One WP Security & Firewall ha le seguenti caratteristiche:

1. Sicurezza dell'account utente

• Determina se esiste un account utente con il nome utente predefinito "admin" e modifica facilmente il nome utente con un valore a tua scelta.
• Il plug-in rileverà anche se disponi di account utente WordPress con gli stessi accessi e nomi visualizzati. Avere un account con lo stesso nome visualizzato del login è una cattiva pratica di sicurezza perché crei un login per gli hacker che è già pronto sul 50% perché conoscono già il login.
• Uno strumento di sicurezza delle password che ti consente di creare password molto complesse.
• Smetti di elencare gli utenti. Pertanto, gli utenti/bot non possono scoprire le informazioni dell'utente attraverso il permalink dell'autore.

2. Sicurezza di accesso per l'utente

• Difenditi da "Brute Force Login Attack" con la funzione di blocco degli accessi. Gli utenti con un indirizzo o un intervallo IP specifico verranno bannati dal sistema per un periodo di tempo predeterminato a seconda delle impostazioni di configurazione e potresti anche ricevere notifiche.
  via e-mail ogni volta che qualcuno viene bloccato a causa di troppi tentativi di accesso.
• In qualità di amministratore, puoi visualizzare un elenco di tutti gli utenti bloccati, che viene visualizzato in una tabella di facile lettura e navigazione che ti consente anche di sbloccare indirizzi IP individuali o di gruppo con il clic di un pulsante.
• Forza il logout di tutti gli utenti dopo un periodo di tempo configurabile.
• Traccia/visualizza i tentativi di accesso non riusciti, che mostra l'indirizzo IP dell'utente, l'ID utente/nome utente e la data/ora del tentativo di accesso non riuscito.
• Traccia/visualizza l'attività dell'account di tutti gli account utente sul tuo sistema monitorando nome utente, indirizzo IP, data/ora di accesso e data/ora di disconnessione.
• Possibilità di bloccare automaticamente intervalli di indirizzi IP che tentano di accedere con un nome utente non valido.
• Possibilità di visualizzare un elenco di tutti gli utenti che sono attualmente connessi al tuo sito.
• Consente di specificare uno o più indirizzi IP in una speciale lista bianca. Gli IP inseriti nella whitelist avranno accesso alla tua pagina di accesso WP.
• Aggiungi Google reCaptcha o un semplice captcha matematico al tuo modulo di accesso di WordPress.
• Aggiungi Google reCaptcha o un semplice captcha matematico al modulo password dimenticata del tuo sistema di accesso WP.

3. Sicurezza della registrazione dell'utente

• Abilita la verifica manuale degli account utente di WordPress. Se il tuo sito consente alle persone di creare i propri account tramite il modulo di registrazione di WordPress, puoi ridurre al minimo lo SPAM o le false registrazioni confermando manualmente ogni registrazione.
• Possibilità di aggiungere Google reCaptcha o semplice captcha matematico alla tua pagina di registrazione utente WordPress per proteggerti dalla registrazione utente spam.
• La possibilità di aggiungere un Honeypot al modulo di registrazione utente di WordPress per ridurre il numero di tentativi di registrazione da parte dei bot.

4. Protezione del database di WordPress

• Imposta facilmente il prefisso WP predefinito su un valore a tua scelta con un clic di un pulsante.
• Pianifica backup automatici e notifiche e-mail o esegui backup istantanei del database in qualsiasi momento con un solo clic.

5. Sicurezza del file system di un sito WordPress

• Identifica i file o le cartelle con impostazioni di autorizzazione non sicure e imposta le autorizzazioni sui valori sicuri consigliati con un semplice clic.
• Proteggi il tuo codice PHP disabilitando la modifica dei file nell'area di amministrazione di WordPress.
• Visualizza e monitora facilmente tutti i registri del sistema host da un'unica pagina di menu e rimani aggiornato su eventuali problemi o problemi che si verificano sul tuo server in modo da poterli risolvere rapidamente.
• Impedisci alle persone di accedere ai file readme.html, license.txt e wp-config-sample.php del tuo sito WordPress.

6. Eseguire il backup e ripristinare i file htaccess e wp-config.php

• Esegui facilmente il backup dei file .htaccess e wp-config.php originali nel caso in cui ne avessi bisogno per ripristinare la funzionalità interrotta.
• Modifica il contenuto dei file .htaccess o wp-config.php attualmente attivi dal pannello di amministrazione con pochi clic.

7. Funzionalità della lista nera

• Blocca gli utenti specificando gli indirizzi IP o utilizza un carattere jolly per specificare intervalli di indirizzi IP.
• Rifiuta gli utenti specificando i programmi utente.

8. Funzionalità firewall

Questo plug-in ti consente di aggiungere facilmente molti elementi di protezione firewall al tuo sito Web tramite il file htaccess. Il file htaccess viene elaborato dal tuo server web prima di qualsiasi altro codice sul tuo sito.
Quindi queste regole del firewall fermeranno gli script dannosi prima che abbiano la possibilità di raggiungere il codice WordPress sul tuo sito.

• Oggetto di controllo accessi.
• Attiva istantaneamente una serie di impostazioni del firewall che vanno da base, intermedia e avanzata.
• Abilita le famose regole del firewall "6G Blacklist" per gentile concessione di Perishable Press.
• Disattiva la pubblicazione di commenti tramite un proxy.
• Blocca l'accesso al file di registro di debug.
• Disabilita il tracciamento e il tracciamento.
• Nega stringhe di query non valide o dannose.
• Proteggiti dal cross-site scripting (XSS) attivando un completo filtro avanzato per le stringhe di caratteri.
  o bot dannosi che non hanno un cookie speciale nel proprio browser. Tu (l'amministratore del sito) saprai come impostare questo cookie speciale e sarai in grado di accedere al tuo sito.
• Funzionalità di protezione dalle vulnerabilità di WordPress PingBack. Questa funzione firewall consente all'utente di negare l'accesso al file xmlrpc.php per proteggersi da alcune vulnerabilità nella funzione ping. Questo è utile anche per impedire ai bot di accedere costantemente al file xmlrpc.php e sprecare le risorse del tuo server.
• La possibilità di impedire ai falsi Googlebot di eseguire la scansione del tuo sito.
• Capacità di impedire l'hotlinking delle immagini. Usalo per evitare che altri colleghino le tue immagini.
• Possibilità di registrare tutti i 404 eventi sul tuo sito. Puoi anche bloccare automaticamente gli indirizzi IP che ricevono troppi errori 404.
• La possibilità di aggiungere le tue regole per bloccare l'accesso a varie risorse sul tuo sito.

9. Prevenire l'attacco di forza bruta all'accesso

• Blocca istantaneamente gli attacchi di forza bruta con la nostra funzione di prevenzione della forza bruta di accesso basata su cookie personalizzata. Questa funzione firewall blocca tutti i tentativi di accesso da parte di umani e bot.
• Possibilità di aggiungere semplici captcha matematici al modulo di accesso di WordPress per proteggersi dagli attacchi di forza bruta.
• Possibilità di nascondere la pagina di accesso dell'amministratore. Rinomina l'URL della tua pagina di accesso a WordPress per impedire a bot e hacker di accedere al tuo vero URL di accesso a WordPress. Questa funzione ti consente di modificare la pagina di accesso predefinita (wp-login.php) in qualcosa che personalizzi.
• La possibilità di utilizzare Login Honeypot, che contribuirà a ridurre il numero di tentativi di accesso tramite la forza bruta da parte dei robot.

10. Scanner per la sicurezza dei file del sito web

• Lo scanner di rilevamento delle modifiche ai file può avvisarti se dei file sono stati modificati sul tuo sistema WordPress. È quindi possibile indagare e vedere se si trattava di una modifica legittima o se è stato introdotto un codice errato.

11. Protezione dai commenti spam

• Tieni traccia degli IP più attivi che producono costantemente il maggior numero di commenti spam e bloccali all'istante con un semplice clic.
• Impedisci l'invio di commenti se non provengono dal tuo dominio (questo dovrebbe ridurre il numero di commenti pubblicati dai bot spam sul tuo sito).
• Aggiungi un captcha al modulo dei commenti di WordPress per migliorare la tua protezione contro lo spam nei commenti.
• Blocca automaticamente e in modo permanente gli indirizzi IP che superano un certo numero di commenti contrassegnati come SPAM.

12. Testo di protezione della copia anteriore

• Possibilità di disabilitare il clic destro, la selezione del testo e l'opzione di copia per il tuo frontend.

13. Funzionalità aggiuntive del plug-in

• Possibilità di rimuovere le meta informazioni del generatore di WordPress dal codice sorgente HTML del tuo sito.
• Possibilità di rimuovere le informazioni sulla versione di WordPress dai file JS e CSS del tuo sito.
• Possibilità di impedire alle persone di accedere ai file readme.html, license.txt e wp-config-sample.php.
• La possibilità di bloccare temporaneamente la parte anteriore del tuo sito dai visitatori regolari mentre esegui varie attività interne (indagare sugli attacchi alla sicurezza del sito, eseguire aggiornamenti del sito, manutenzione, ecc.)
• Possibilità di esportare/importare le impostazioni di sicurezza.
• Impedisci ad altri siti di visualizzare i tuoi contenuti attraverso un frame o un iframe.

È l'ideale per coloro che non hanno tempo per occuparsi della sicurezza del sito web. Basta installare e dimenticare il plugin. Ma se puoi permetterti il tempo extra per rafforzare la tua sicurezza, ti consiglio vivamente di implementare tutte le misure di cui sopra.

Produzione

Ho iniziato questo articolo su come proteggere un sito Web con un chiaro suggerimento: il primo passo è ottenere la giusta sicurezza del tuo sito. Questo è un processo continuo. È una buona pratica standard in qualsiasi organizzazione condurre audit periodici per consentire il massimo controllo sulla sicurezza del sito. Il panorama delle minacce è in continua evoluzione e gli hacker troveranno modi più creativi per violare la sicurezza. Gli esperti di sicurezza rimangono costantemente vigili e questa è la conclusione principale di tutto: non rilassarti.

Leggendo questo articolo:

• Qual è la differenza tra malware e virus? (spiegazione)
• 10 passaggi essenziali per migliorare la sicurezza del tuo sito web

Grazie per aver letto: AIUTO SEO | NICOLA.TOP