I 10 principali problemi di sicurezza di WordPress e come risolverli
Pubblicato: 2020-09-16
WordPress è di gran lunga uno dei CMS open source più utilizzati al mondo. Alimenta milioni di siti Web e detiene una quota di mercato del 35%. Ciò rende WordPress il CMS alfa tra blogger, designer, proprietari di negozi WooCommerce e altri proprietari di attività.
Nonostante sia così popolare, molti utenti di WordPress non conoscono le basi per proteggere i loro siti WordPress. Peggio ancora, molti utenti credono nell'equivoco (molto pericoloso) che l'installazione di un certificato SSL sia sufficiente per proteggere il proprio sito. Pertanto, è importante discutere i vari metodi efficaci per proteggere il sito WordPress.
Co-fondatore di Sucuri, Dre Armeda ritiene che:
"Le persone sono e continueranno ad essere il più grande problema di sicurezza con WordPress.", Dre Armeda parla della sicurezza di WordPress
Credo anche che metà delle vulnerabilità di sicurezza di WordPress siano dovute a negligenza. Questo è un motivo importante per cui i siti Web WordPress sono un facile bersaglio per i criminali informatici. Molti utenti principianti installano semplicemente WordPress e quindi si fidano della sicurezza predefinita del sito Web di WordPress.
In questo post, presenterò diversi suggerimenti di base e alcuni non così comuni su come affrontare i problemi di sicurezza di WordPress.
Cominciamo!
- Investi nell'hosting web giusto
- Acquisisci backup pianificati
- Crea una password sicura
- Limita i tentativi di accesso
- Modifica l'URL di accesso di WordPress e il nome utente predefinito
- Tieni aggiornato l'utente di WordPress
- Elimina plugin o temi non utilizzati
- Prevenire SQL Injection e URL Hacking
- Nega l'accesso ai file sensibili in WordPress
- Nascondi la versione di WordPress e cambia il prefisso predefinito per il database
- Suggerimento bonus: come Cloudways aiuta a proteggere un sito WordPress
Le basi
La sicurezza di WordPress riguarda principalmente semplici correzioni e buon senso. L'idea è di applicare correzioni che riducono al minimo i problemi di sicurezza di WordPress comunemente noti e rafforzano la sicurezza del sito web.
SUGGERIMENTO #1: Investi nell'hosting web giusto
La sicurezza del sito web inizia con un provider di hosting WordPress gestito sicuro. Questo è diventato un aspetto essenziale per costruire la tua presenza online. Un host web sicuro non solo disporrà di processi di sicurezza collaudati nel settore, ma ti assisterà anche nel caso in cui qualcosa vada storto con il tuo sito web. Quasi tutti questi provider hanno un'efficace strategia di ripristino di emergenza che si attiva nel caso in cui il tuo sito web subisca un incidente.
Per darti un'idea delle opzioni di web hosting, ci sono cinque tipi di soluzioni di web hosting in cui puoi ospitare i tuoi siti WordPress:
Hosting condiviso: una singola macchina server è condivisa tra più account utente. Se un singolo account viene violato, l'intero server viene compromesso. In molti casi, il server non è realmente protetto perché ci sono troppe scappatoie.
Hosting dedicato: possiedi effettivamente il server e solo il tuo sito Web è ospitato sul server. Poiché possiedi il server, la sicurezza del server è limitata alla tua esperienza in materia di sicurezza informatica.
Hosting VPS: nell'hosting VPS, ottieni una parte dedicata di una macchina fisica. Simile all'hosting dedicato, sei il responsabile della sicurezza. Se non sei esperto di sicurezza informatica, devi essere uno studente veloce o spendere molti soldi per esternalizzare la sicurezza del tuo server.
Cloud Hosting: in una soluzione di cloud hosting, possiedi una parte di una rete di macchine server fisiche connesse. Le soluzioni di cloud hosting sono sicure per definizione ma come server dedicato, devi dedicare molto tempo e impegno alla sicurezza.
Hosting cloud gestito: come dice il nome, una soluzione di hosting cloud gestito gestisce tutti gli aspetti del tuo server cloud, inclusi sicurezza, prestazioni e aggiornamenti lato server. Questo è ciò che fa Cloudways : fornisce più livelli di sicurezza (uno dei quali è firewall a livello di piattaforma) con conseguente ambiente di hosting sicuro in modo che tu non debba preoccuparti della sicurezza del tuo server.
Stanchezza della sicurezza. Sentirsi sopraffatto?
Prova Cloudways per rafforzare la sicurezza del tuo sito Web WordPress.
SUGGERIMENTO n. 2: sfruttare i backup pianificati
A prima vista, i backup pianificati potrebbero non sembrare una misura di sicurezza di WordPress. Tuttavia, questo passaggio cruciale può rivelarsi un vero toccasana quando si verifica un disastro. In questi casi, i backup del sito Web sono un ottimo modo per riportare il sito online entro poche ore da un disastro.
I backup di WordPress possono essere eseguiti su due livelli: backup offsite e/o backup tramite provider di hosting.
1- Backup WordPress fuori sede
Il backup di un sito WordPress è piuttosto semplice, grazie al plug-in UpdraftPlus che esegue il backup di un sito WordPress su soluzioni di archiviazione off-site come Dropbox, Google Drive e Amazon S3.
Se desideri esplorare l'idea in dettaglio, ecco una guida completa per il backup di un sito WordPress.
Nota: 2- Backup locale di WordPress
Il backup di un sito WordPress sul server del provider di hosting crea un backup locale. Molti provider di cloud hosting WordPress forniscono un processo di backup locale in cui è possibile eseguire il backup dell'intero server automaticamente o manualmente sullo stesso server.
Se sei un cliente Cloudways, sei in buone mani. Puoi avere un backup locale (stesso server) E l'intero server può anche essere eseguito il backup su Amazon S3 . Consulta una guida per il backup di un server WordPress.
SUGGERIMENTO n. 3: avere una password sicura
Una password complessa è un must per la sicurezza di WordPress molto semplice ma spesso trascurato che protegge da molte vulnerabilità di WordPress.
Idealmente, le password dovrebbero essere difficili da indovinare per le persone e devono contenere alfabeti, punteggiatura e numeri che fanno distinzione tra maiuscole e minuscole ( ad esempio #[email protected]$).
Gli esperti suggeriscono anche di utilizzare password diverse per diversi siti Web come account di social media e account di posta elettronica.
Per imporre l'abitudine a password complesse sul tuo sito, dovresti utilizzare un plug-in per applicare politiche di password complesse di WordPress. Ciò garantisce che tutti i tuoi utenti utilizzino password complesse.
Attacchi di forza bruta: una password complessa è la tua prima difesa contro gli attacchi di forza bruta che provano varie combinazioni di nomi utente e password fino a quando il tuo sito non viene compromesso. Una password debole non va mai bene contro un attacco di forza bruta.
CAPTCHA è considerato una delle migliori protezioni contro gli attacchi di forza bruta. In precedenza, Google ha avviato un progetto "Google Invisible reCAPTCHA" in cui i visitatori non devono ottenere manualmente il veterinario. Per impostazione predefinita, è invisibile e si attiva solo quando Google sospetta che il visitatore non sia un essere umano.
Ulteriori informazioni sull'aggiunta di Google invisibile reCAPTCHA a WordPress
SUGGERIMENTO #4: Limita i tentativi di accesso
Per impostazione predefinita, WordPress non pone alcuna restrizione su quante volte un visitatore può provare più volte nomi utente e password al momento dell'accesso. Questo è il motivo alla base dei numerosi problemi di sicurezza di WordPress causati dall'utente non intenzionalmente.
Per evitare ciò e aggiungere un ulteriore livello di sicurezza ai siti Web di WordPress, gli amministratori del sito dovrebbero installare un plug-in per limitare i tentativi di accesso che impedisca agli hacker di sfruttare questo problema e montare un attacco di accesso di forza bruta sul tuo sito.
Questo strumento intelligente blocca l'IP di qualsiasi possibile hacker che tenta questo attacco sul pannello di amministrazione del tuo sito WordPress. Il plugin fa ciò limitando il numero di tentativi falliti per utente.
Utilizzare l'autenticazione a due fattori : l' autenticazione a due fattori (2FA) è una pratica di sicurezza standard del settore che utilizza credenziali a due livelli per ridurre al minimo le possibilità di accesso non autorizzato al sito. Se desideri aggiungere 2FA al tuo sito WordPress, ecco come puoi aggiungere l'autenticazione a due fattori a un sito WordPress.
SUGGERIMENTO n. 5: cambia l'URL di accesso di WordPress e il nome utente predefinito
Dopo aver lanciato WordPress puoi andare al pannello di amministrazione e modificare il tuo sito in base alle tue esigenze. Questo non è possibile se non hai accesso alla dashboard di amministrazione di WordPress.
Modifica l'URL di accesso di WordPress : la modifica dell'URL di accesso predefinito di WP-admin rende difficile per gli hacker lanciare un attacco di forza bruta sul tuo sito web. Questo semplice passaggio rafforza notevolmente la sicurezza del tuo sito WordPress.
Sebbene siano disponibili molti plug-in, consiglio il plug-in WPS Hide Login per modificare l'URL di amministrazione di WordPress predefinito. Il plugin ha oltre 700.000 attivi installati e ha recensioni a 5 stelle.
Cambia il nome utente predefinito di WordPress : la scappatoia di sicurezza più elementare che puoi avere sul tuo sito Web è il nome utente dell'amministratore "admin". È troppo facile da indovinare. Sebbene sia possibile utilizzare un plug-in per modificare questo nome utente, esiste un metodo più semplice per farlo: accedere alla dashboard, creare un nuovo utente e assegnargli il ruolo di "Amministratore".
Diversi ruoli utente di WordPress : WordPress consente a più utenti di contribuire a un sito WordPress utilizzando ruoli predefiniti. In qualità di amministratore di un sito Web, puoi modificare o persino creare un ruolo utente separato seguendo la guida sui ruoli utente personalizzati di WordPress.
SUGGERIMENTO n. 6: tieni aggiornato WordPress
Il team WordPress rilascia regolarmente aggiornamenti ai file principali. Queste patch sono disponibili come file di installazione autonomi che risolvono problemi noti e generalmente rafforzano la sicurezza dei siti Web WordPress.
La manutenzione del CMS del sito web è un aspetto essenziale della gestione del sito web. Il proprietario del sito dovrebbe idealmente applicare la patch entro poche ore dal rilascio perché c'è sempre la possibilità che gli aggressori siano alla ricerca di siti Web vulnerabili.
Questo vale anche per i plugin e i temi installati. Gli sviluppatori di plug-in seguono il ciclo di rilascio dei file core di WordPress per assicurarsi che il plug-in stia al passo con le versioni più recenti di WordPress.
Nota: Testare sempre le patch in un ambiente di staging di WordPress per assicurarsi che tutto continui a funzionare come previsto . Se il tuo hosting non ha un ambiente di staging, ti suggerirei di fare prima un backup e iniziare l'aggiornamento.
D'altra parte, se utilizzi un hosting WordPress gestito, gli ingegneri si occupano di correggere i file core di WordPress e garantire che la sicurezza non venga compromessa. La più grande minaccia alla sicurezza per se stessi.
SUGGERIMENTO #7: Elimina plugin o temi non utilizzati
Testare nuovi temi e plugin è un buon modo per ottenere l'esperienza di prima mano delle ultime versioni. Tuttavia, una volta terminato il test, gli utenti di WordPress di solito disattivano i plug-in invece di una corretta disinstallazione.
Tieni presente che temi e plug-in inutilizzati o inattivi rappresentano una seria minaccia per il sito Web di WordPress. Pertanto, è della massima importanza che tutti i plugin e i temi che non sono in uso vengano eliminati immediatamente per assicurarsi che nessun dato rimanga nel database di WordPress. Ecco una guida adeguata su come disinstallare correttamente i plugin di WordPress.
Come precauzione generale, scarica sempre la versione più recente di temi e plug-in da una risorsa attendibile per assicurarti che il plug-in o il tema non apra una nuova scappatoia di sicurezza nel tuo sito.
I non-così-fondamentali
Ora che hai compreso le basi della sicurezza di WordPress, è il momento di dare un'occhiata ai seguenti suggerimenti avanzati per rafforzare la sicurezza dei tuoi siti web.
SUGGERIMENTO 8: prevenire le iniezioni SQL e l'hacking degli URL
Le SQL injection sono attacchi in cui gli aggressori incorporano comandi SQL in varie aree dei siti Web (in particolare la casella dei commenti e le aree di testo). Questi comandi possono compromettere il database SQL e potrebbero rivelare informazioni riservate memorizzate nel database.
La modifica dell'URL aggiungendo istruzioni PHP è un'altra potenziale minaccia alla sicurezza di WordPress in cui gli aggressori possono innescare attacchi al database e ad altri componenti del sito web.
La maggior parte dei siti Web WordPress è ospitata su un server Apache che ha un trucco intelligente per contrastare questi attacchi. Tutti i server Apache hanno un file .htaccess che definisce le regole di accesso al sito.
Per ridurre l'incidenza di SQL injection e URL hacking, aggiungi il seguente codice al file .htaccess per stabilire una serie di regole efficaci.
<IfModule mod_rewrite.c>
Riscrivi motore acceso
Riscrivi Base /
RiscriviCond %{REQUEST_METHOD} ^(HEAD|TRACE|DELETE|TRACK) [NC]
RewriteRule ^(.*)$ - [F,L]
RiscriviCond %{QUERY_STRING} \.\.\/ [NC,OR]
RiscriviCond %{QUERY_STRING} boot\.ini [NC,OR]
RiscriviCond %{QUERY_STRING} tag\= [NC,OR]
RiscriviCond %{QUERY_STRING} ftp\: [NC,OR]
RiscriviCond %{QUERY_STRING} http\: [NC,OR]
RiscriviCond %{QUERY_STRING} https\: [NC,OR]
RiscriviCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
RiscriviCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|%3D) [NC,OR]
RiscriviCond %{QUERY_STRING} base64_encode.*\(.*\) [NC,OR]
RiscriviCond %{QUERY_STRING} ^.*(\[|\]|\(|\)|<|>|e|"|;|\?|\*|=$).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*("|'|<|>|\|{||).* [NC,OR ]
RiscriviCond %{QUERY_STRING} ^.*(%24&x).* [NC,OR]
RiscriviCond %{QUERY_STRING} ^.*(%0|%A|%B|%C|%D|%E|%F|127\.0).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(globals|encode|localhost|loopback).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(request|select|insert|union|dichiara).* [NC]
RiscriviCond %{HTTP_COOKIE} !^.*WordPress_logged_in_.*$
RewriteRule ^(.*)$ - [F,L]
</IfModule>Come puoi vedere, il codice "sanifica" i dati che vanno nei campi di input. Inoltre, tutti questi input vengono trattati come una stringa anziché come un'istruzione di query SQL.
SUGGERIMENTO 9: nega l'accesso ai file sensibili in WordPress
Un'installazione di WordPress contiene diversi file sensibili, come i file wp-config.php , install.php e readme.html . Questi file devono essere tenuti nascosti da qualsiasi accesso esterno.
Ancora una volta, .htaccess è il tuo migliore amico. Puoi aggiungere le seguenti righe al file per evitare che file importanti vengano cancellati. Il seguente frammento di codice impedisce inoltre l'accesso agli elenchi delle directory degli utenti e nasconde server sensibili e file WordPress da accessi non autorizzati.
Opzioni Tutti -Indici <file .htaccess> Ordina consentire, negare Negato da tutti </files> <file readme.html> Ordina consentire, negare Negato da tutti </files> <file licenza.txt> Ordina consentire, negare Negato da tutti </files> <file install.php> Ordina consentire, negare Negato da tutti </files> <file wp-config.php> Ordina consentire, negare Negato da tutti </files> <file error_log> Ordina consentire, negare Negato da tutti </files> <files fantastico_fileslist.txt> Ordina consentire, negare Negato da tutti </files> <files fanversion.php> Ordina consentire, negare Negato da tutti </files>
Se desideri approfondire l'uso del file .htaccess per ottimizzare il tuo WordPress, ecco una descrizione dettagliata del file WordPress .htaccess.
SUGGERIMENTO n. 10: modificare il prefisso predefinito per il database
Nascondi versione WordPress : per impostazione predefinita, WordPress aggiunge automaticamente il numero della versione corrente alla sezione principale dei temi. Un ottimo consiglio per la sicurezza è quello di non mostrare MAI pubblicamente la versione di WordPress, semplicemente perché gli aggressori possono lanciare attacchi contro tutte le vulnerabilità note della versione menzionata nell'intestazione.
La seguente semplice riga di codice dovrebbe essere inclusa nel file functions.php del tuo tema per nascondere le versioni di WordPress.
remove_action( 'wp_head', 'wp_generator' );
Modifica il prefisso WordPress predefinito per il database : tutte le tabelle in un database WordPress hanno nomi che iniziano con il prefisso Anche se questa sembra essere una grande funzionalità, per gli hacker di WordPress, questo semplifica notevolmente le cose rimuovendo alcune delle congetture.
Un utente può limitare questa prevedibilità modificando il prefisso WordPress predefinito delle tabelle del database utente durante l'installazione di WordPress. Questo può essere fatto anche per i siti web già attivi manipolando i database degli utenti in diversi punti. Consiglio di utilizzare uno dei migliori plug-in di sicurezza di WordPress che implementano una serie di difese per il sito Web di WordPress.
Cloudways aiuta a proteggere i siti WordPress
Dopo questa guida dettagliata alla protezione dei siti Web WordPress, vale la pena ricordare che WordPress non può essere protetto da solo. Gli utenti di WordPress dovrebbero anche optare per un ambiente di hosting sicuro che offra un ambiente sicuro per il sito web.
Ecco come Cloudways fornisce un ambiente di hosting WordPress sicuro.
- Infrastruttura cloud di prima classe : Cloudways ha stretto una partnership con fornitori di infrastrutture cloud di prim'ordine che hanno la sicurezza come preoccupazione principale. L'hosting di un sito WordPress sul cloud garantisce un alto livello di sicurezza.
- Firewall : tutti i server avviati tramite Cloudways sono dotati di un firewall preinstallato che funge da prima linea di difesa del sito web.
- Monitoraggio del server : il monitoraggio di un server aiuta a identificare picchi di traffico elevati imprevisti che possono compromettere il funzionamento del sito Web.
- Bot Protection: Bot Protection mira a identificare e bloccare il traffico dannoso, proteggere da attacchi come attacchi Dictionary, Web Scraping e attacchi Brute Force. Aiuta anche a ridurre l'utilizzo delle risorse del server per le applicazioni WordPress. Questi attacchi sono mirati a ottenere l'accesso non autorizzato al tuo sito Web o a sopraffarlo, ma Bot Protection monitora tutte queste attività e blocca in modo proattivo al rilevamento.
- Accesso SSH e SFTP : molti provider di hosting utilizzano ancora FTP per accedere ai file. Tuttavia, con Cloudways SFTP (Secure File Transfer Protocol) la tua connessione è crittografata e sicura. Se più team stanno lavorando a un progetto ospitato su un server, è possibile assegnare loro l'accesso a una particolare applicazione anziché all'intero server.
- Sistema operativo e applicazioni aggiornati : gli esperti di Cloudways tengono d'occhio le ultime versioni e ne garantiscono la disponibilità dopo i test di stabilità e compatibilità.
- Credenziali generate casualmente : tutte le applicazioni avviate tramite Cloudways hanno credenziali generate casualmente predefinite che sono difficili da indovinare.
- Backup : in caso di disastro, il backup del sito è la soluzione migliore per un ripristino di emergenza più rapido. È possibile impostare la frequenza di backup a partire da un'ora.
- Certificato SSL gratuito : Cloudways fornisce un'installazione del certificato SSL con un clic con una funzione di rinnovo automatico.
- Ambiente di staging gratuito: Cloudways offre un ambiente di staging gratuito di WordPress per assicurarsi che tutto continui a funzionare come previsto.
- Assistenza live chat 24 ore su 24, 7 giorni su 7 : sei ancora preoccupato per la sicurezza e le prestazioni del server? Il supporto Cloudways è sempre disponibile 24 ore su 24.
- Supporto telefonico: questo è l'addon di supporto premium se hai bisogno di assistenza che puoi anche contattare e il nostro ingegnere senior risponde direttamente in qualsiasi momento.
Domande frequenti
D: Come posso risolvere WordPress non sicuro?
A: Segui questa guida e vedi tutti i punti che ho menzionato, spero che ti aiuti molto.
D: Devo utilizzare un certificato SSL per proteggere il mio sito Web WordPress?
R: Sì, dovresti, la maggior parte delle società di hosting offre un certificato SSL gratuito con un clic.
D: WordPress ha problemi di sicurezza?
R: WordPress è il Content Management System (CMS) più utilizzato oggi. Con l'aiuto di numerosi temi e plug-in, è possibile personalizzare facilmente il proprio sito Web in base ai propri gusti e preferenze. Tuttavia, la sicurezza di WordPress è uno dei problemi principali che preoccupa molti.
Linea di fondo
I suggerimenti per la sicurezza di WordPress garantiscono un sito Web efficace e sicuro. Tuttavia, molte persone dimenticano che difendere un sito Web WordPress è un processo continuo che richiede un'attenzione continua di fronte ai nuovi strumenti e trucchi che emergono nel cyberspazio.
Consiglio vivamente agli utenti di WordPress di tenere un registro di ciò che è accaduto su WordPress utilizzando un plug-in di controllo della sicurezza e utilizzare il plug-in di sicurezza WordPress preferito che rafforza l'ambiente WordPress contro le minacce alla sicurezza.
Sentiti libero di aggiungere se pensi che mi sia perso qualcosa. Lo aggiungerò alla lista al più presto. Se hai domande, pubblicale nei commenti qui sotto.
D. WordPress ha problemi di sicurezza?
Come ogni piattaforma, WordPress ha la sua parte di problemi di sicurezza. Tuttavia, i problemi di sicurezza di WordPress possono essere facilmente evitati se si seguono le migliori pratiche di sicurezza di WordPress.
D. Perché WordPress non è sicuro?
Molti dei problemi di sicurezza di WordPress si verificano perché gli amministratori del sito scelgono di ignorare le pratiche standard su plugin e temi. In molti casi, questo potrebbe essere evitato conducendo un controllo di sicurezza e prendendosi cura delle scappatoie in modo che il sito web rimanga sicuro.
D. WordPress è facilmente hackerabile?
No. Le versioni recenti di WordPress sono abbastanza sicure. Questa sicurezza di base può essere ulteriormente migliorata installando i plug-in di sicurezza di WordPress, optando solo per temi e plug-in di sviluppatori rispettati e seguendo le migliori pratiche di sicurezza di WordPress.
D. Come posso migliorare la mia sicurezza di WordPress?
La sicurezza di WordPress può essere migliorata seguendo alcuni suggerimenti di base:
1. Scegli una soluzione di hosting sicuro.
2. Installa un certificato SSL (requisito essenziale per i siti web aziendali)
3. Configura un plugin di sicurezza WordPress affidabile
4. Installa la limitazione della velocità di accesso tramite un plug-in
5. Assicurati che TFA sia attivo