Ogni proprietario di sito WordPress che conosciamo ha avuto quel momento di panico quando si rende conto che il proprio sito web potrebbe essere vulnerabile agli hacker. Abbiamo imparato questa lezione a nostre spese all'inizio del nostro percorso, quando abbiamo visto cosa potevano fare le violazioni della sicurezza alle aziende.
Ecco perché nel corso degli anni abbiamo mantenuto WPBeginner al sicuro da attacchi ripetuti utilizzando i migliori plugin di sicurezza e seguendo le migliori pratiche di sicurezza di WordPress.
La sicurezza di WordPress non deve essere complicata o costosa. La maggior parte dei proprietari di siti pensa di dover assumere esperti o spendere migliaia di euro in strumenti di sicurezza, ma non è affatto vero. Con l'approccio giusto e strategie comprovate, puoi proteggere il tuo sito web proprio come proteggiamo il nostro.
Abbiamo trascorso anni a testare plugin di sicurezza, implementare le migliori pratiche e aiutare migliaia di utenti WordPress a mettere in sicurezza i propri siti. In questa guida, ti accompagneremo passo dopo passo attraverso ogni passaggio che utilizziamo per mantenere il nostro sito sicuro, in modo che tu possa dormire sonni tranquilli sapendo che il tuo sito WordPress è protetto.
Sebbene il software core di WordPress sia molto sicuro e venga regolarmente revisionato da centinaia di sviluppatori, c'è ancora molto da fare per mantenere il tuo sito sicuro.
Noi di WPBeginner crediamo che la sicurezza non riguardi solo l'eliminazione del rischio. Riguarda anche la riduzione del rischio. Come proprietario di un sito web, c'è molto che puoi fare per migliorare la sicurezza del tuo WordPress, anche se non sei esperto di tecnologia.
Ecco perché abbiamo creato una checklist di sicurezza per WordPress con passaggi attuabili che puoi intraprendere per proteggere il tuo sito web da vulnerabilità di sicurezza.
Per semplificare, abbiamo creato un indice dei contenuti per aiutarti a navigare facilmente nella nostra guida definitiva alla sicurezza di WordPress.
Indice dei contenuti
Fondamenti della sicurezza di WordPress
- Perché la sicurezza di WordPress è importante
- Mantieni WordPress aggiornato
- Usa password forti e permessi utente
- Comprendi il ruolo dell'hosting WordPress
Sicurezza di WordPress in semplici passaggi (senza codice)
- Installa una soluzione di backup per WordPress
- Installa un plugin di sicurezza WordPress affidabile
- Abilita un Web Application Firewall (WAF)
- Sposta il tuo sito WordPress su SSL/HTTPS
Sicurezza di WordPress per utenti fai-da-te
- Cambia il nome utente predefinito dell'amministratore
- Disabilita la modifica dei file
- Disabilita l'esecuzione di file PHP in determinate directory di WordPress
- Limita i tentativi di accesso
- Aggiungi l'autenticazione a due fattori (2FA)
- Cambia il prefisso del database di WordPress
- Proteggi con password la pagina di amministrazione e di accesso di WordPress
- Disabilita indicizzazione e navigazione directory
- Disabilita XML-RPC in WordPress
- Disconnetti automaticamente gli utenti inattivi in WordPress
- Aggiungi domande di sicurezza all'accesso di WordPress
- Scansiona WordPress alla ricerca di malware e vulnerabilità
- Ripara un sito WordPress compromesso
Pronto? Iniziamo.
Perché la sicurezza del sito web è importante
Un sito WordPress compromesso può causare gravi danni alle entrate e alla reputazione della tua attività. Gli hacker possono rubare informazioni e password degli utenti, installare software dannoso e persino distribuire malware ai tuoi utenti.
Peggio ancora, potresti trovarti a pagare un riscatto agli hacker solo per riottenere l'accesso al tuo sito web.
Ogni giorno, Google avverte 12-14 milioni di utenti che un sito web che stanno cercando di visitare potrebbe contenere malware o rubare informazioni.
Inoltre, Google mette in blacklist circa 10.000+ siti web ogni giorno per malware o phishing.
Proprio come i proprietari di attività commerciali con una sede fisica sono responsabili della salvaguardia della loro proprietà, i proprietari di attività online devono prestare particolare attenzione alla sicurezza di WordPress.
Mantieni WordPress aggiornato
WordPress è un software open-source e viene regolarmente mantenuto e aggiornato. Per impostazione predefinita, WordPress installa automaticamente gli aggiornamenti minori.
Per le versioni principali, è necessario avviare manualmente l'aggiornamento.
WordPress viene fornito anche con migliaia di plugin e temi che puoi installare sul tuo sito web. Questi plugin e temi sono mantenuti da sviluppatori di terze parti, che rilasciano regolarmente aggiornamenti.
Questi aggiornamenti di WordPress sono cruciali per la sicurezza e la stabilità del tuo sito WordPress. Devi assicurarti che il core, i plugin e il tema di WordPress siano aggiornati.
Usa password forti e permessi utente
I tentativi di hacking più comuni su WordPress utilizzano password rubate. Tuttavia, puoi rendere difficile questo processo utilizzando password più forti e uniche per il tuo sito web.
Non stiamo parlando solo dell'area di amministrazione di WordPress. Ricorda di creare password forti per i tuoi account FTP, database, account di hosting WordPress e indirizzi email personalizzati che utilizzano il nome di dominio del tuo sito.
Molti principianti non amano usare password forti perché sono difficili da ricordare. La cosa buona è che non devi più ricordare le password perché puoi semplicemente usare un gestore di password.
Consulta la nostra guida su come gestire le password di WordPress per maggiori informazioni.
Un altro modo per ridurre il rischio è non dare a nessuno l'accesso al tuo account di amministrazione di WordPress a meno che tu non debba assolutamente.
Se hai un team numeroso o autori ospiti, assicurati di comprendere i ruoli e le autorizzazioni degli utenti in WordPress prima di aggiungere nuovi account utente e autori al tuo sito WordPress.
Comprendi il ruolo dell'hosting WordPress
Il tuo servizio di hosting WordPress gioca il ruolo più importante nella sicurezza del tuo sito WordPress. Un buon provider di hosting condiviso come Hostinger, Bluehost o SiteGround adotta misure aggiuntive per proteggere i propri server da minacce comuni.
Ecco solo alcuni dei modi in cui le buone società di web hosting lavorano in background per proteggere i tuoi siti web e i tuoi dati:
- Monitorano continuamente la loro rete per attività sospette.
- Tutte le buone società di hosting dispongono di strumenti per prevenire attacchi DDoS su larga scala.
- Mantengono aggiornati il software del server, le versioni di PHP e l'hardware per impedire agli hacker di sfruttare una vulnerabilità di sicurezza nota in una vecchia versione.
- Hanno piani di disaster recovery e piani di emergenza pronti all'uso che consentono loro di proteggere i tuoi dati in caso di un grave incidente.
Su un piano di hosting condiviso, condividi le risorse del server con molti altri clienti. Esiste il rischio di contaminazione cross-site, in cui un hacker può utilizzare un sito vicino per attaccare il tuo sito web.
Al contrario, l'utilizzo di un servizio di hosting WordPress gestito fornisce una piattaforma più sicura per il tuo sito web. Le società di hosting WordPress gestito offrono backup automatici, aggiornamenti automatici di WordPress e configurazioni di sicurezza più avanzate per proteggere il tuo sito web.
Raccomandiamo SiteGround come nostro provider di hosting WordPress gestito preferito. Hanno un supporto reattivo, server veloci ed eccellente affidabilità.
Assicurati di ottenere la migliore offerta utilizzando il nostro speciale coupon SiteGround.
Sicurezza di WordPress in pochi semplici passaggi (senza codice)
Sappiamo che migliorare la sicurezza di WordPress può essere un pensiero terrificante per i principianti, specialmente se non sei esperto di tecnologia. Indovina un po': non sei solo.
Abbiamo aiutato migliaia di utenti WordPress a rafforzare la sicurezza dei loro siti WordPress.
Ti mostreremo come puoi migliorare la sicurezza del tuo sito WordPress con pochi clic (nessun codice richiesto).
Se sai fare clic, puoi farlo!
1. Installa una soluzione di backup per WordPress
I backup sono la tua prima difesa contro qualsiasi attacco a WordPress. Ricorda, niente è sicuro al 100%. Se i siti web governativi possono essere hackerati, allora anche il tuo può esserlo.
I backup ti permettono di ripristinare rapidamente il tuo sito WordPress nel caso in cui accada qualcosa di brutto.
Esistono molti plugin di backup per WordPress gratuiti e a pagamento plugin di backup per WordPress che puoi utilizzare. La cosa più importante da sapere riguardo ai backup è che devi salvare regolarmente backup completi del sito in una posizione remota (non sul tuo account di hosting).
Ti consigliamo di archiviarlo su un servizio cloud come Amazon, Dropbox o cloud privati come Stash.
In base alla frequenza con cui aggiorni il tuo sito web, l'impostazione ideale potrebbe essere un backup giornaliero o in tempo reale.
Fortunatamente questo può essere facilmente fatto utilizzando plugin come Duplicator, UpdraftPlus o BlogVault. Sono entrambi affidabili e soprattutto facili da usare (non è necessaria alcuna codifica).
Per maggiori dettagli, consulta la nostra guida su come eseguire il backup del tuo sito WordPress.
Installa un plugin di sicurezza WordPress affidabile
Dopo i backup, la prossima cosa da fare è impostare un sistema di auditing e monitoraggio che tenga traccia di tutto ciò che accade sul tuo sito web.
Ciò include il monitoraggio dell'integrità dei file, i tentativi di accesso non riusciti, la scansione malware e altro ancora.
Fortunatamente, puoi risolvere facilmente questo problema installando uno dei migliori plugin di sicurezza per WordPress, come Sucuri.
Devi installare e attivare il plugin gratuito Sucuri Security. Per maggiori dettagli, consulta la nostra guida passo passo su come installare un plugin per WordPress.
Ora puoi andare su Sucuri Security » Dashboard per vedere se il plugin ha riscontrato problemi immediati con il codice del tuo WordPress.
La prossima cosa da fare è navigare alla pagina Sucuri Security » Impostazioni e fare clic sulla scheda ‘Hardening’.
Le impostazioni predefinite funzionano bene per la maggior parte dei siti web, quindi puoi procedere ad attivarle facendo clic sul pulsante ‘Applica hardening’ per ogni opzione.
Questo ti aiuta a bloccare le aree chiave che gli hacker utilizzano spesso nei loro attacchi.
Suggerimento: tratteremo ulteriormente i modi per rafforzare il tuo sito web più avanti in questo articolo, come cambiare il prefisso del database e il nome utente dell'amministratore. Tuttavia, questi sono più tecnici e potrebbero richiedere conoscenze di codifica.
Dopo la parte di hardening, le altre impostazioni predefinite del plugin sono sufficienti per la maggior parte dei siti web e non necessitano di modifiche.
L'unica cosa che consigliamo di personalizzare sono gli avvisi via email, che si trovano nella scheda ‘Avvisi’ della pagina delle impostazioni.
Per impostazione predefinita, riceverai molti avvisi via email che possono ingombrare la tua casella di posta.
Consigliamo di abilitare gli avvisi solo per le azioni chiave di cui desideri essere notificato, come le modifiche ai plugin e le nuove registrazioni di utenti.
Questo plugin di sicurezza per WordPress è molto potente, quindi sfoglia tutte le schede e le impostazioni per vedere tutto ciò che fa, come la scansione di malware, i log di controllo, il tracciamento dei tentativi di accesso falliti e altro ancora.
Per maggiori informazioni, puoi consultare la nostra recensione dettagliata di Sucuri.
Abilita un Web Application Firewall (WAF)
L'utilizzo di un firewall per applicazioni web (WAF) è il modo più semplice per proteggere il tuo sito ed essere sicuro della sicurezza del tuo WordPress.
Un firewall per siti web blocca tutto il traffico dannoso prima ancora che raggiunga il tuo sito web.
- Un firewall per siti web a livello DNS instrada il traffico del tuo sito web attraverso i suoi server proxy cloud. Questo gli consente di inviare solo traffico genuino al tuo server web.
- Un firewall a livello di applicazione esamina il traffico una volta che raggiunge il tuo server ma prima di caricare la maggior parte degli script di WordPress. Questo metodo non è efficiente come il firewall a livello DNS nel ridurre il carico del server.
Per saperne di più, consulta il nostro elenco dei migliori plugin firewall per WordPress.
Abbiamo utilizzato Sucuri su WPBeginner per molti anni e lo raccomandiamo ancora come uno dei migliori firewall per applicazioni web per WordPress. Recentemente siamo passati da Sucuri a Cloudflare perché avevamo bisogno di una rete CDN più ampia con funzionalità più orientate ai clienti enterprise.
Puoi leggere di come Sucuri ci ha aiutato a bloccare 450.000 attacchi WordPress in un mese.
La parte migliore del firewall di Sucuri è che include anche una garanzia di pulizia malware e rimozione dalla blacklist. Ciò significa che se venissi hackerato sotto la loro sorveglianza, garantiscono di riparare il tuo sito web, indipendentemente dal numero di pagine che hai.
Questa è una garanzia piuttosto solida perché riparare siti web hackerati è costoso. Gli esperti di sicurezza normalmente addebitano più di $250 all'ora, mentre puoi ottenere l'intero stack di sicurezza Sucuri per $199 per un anno intero.
Detto questo, Sucuri non è l'unico provider di firewall a livello DNS disponibile. L'altro concorrente popolare è Cloudflare. Vedi il nostro confronto tra Sucuri vs. Cloudflare (Pro e Contro).
Sposta il tuo sito WordPress su SSL/HTTPS
SSL (Secure Sockets Layer) è un protocollo che crittografa il trasferimento dei dati tra il tuo sito web e il browser dell'utente. Questa crittografia rende più difficile per qualcuno intercettare e rubare informazioni.
Una volta abilitato SSL, l'indirizzo del tuo sito web utilizzerà HTTPS invece di HTTP. Vedrai anche un lucchetto o un'icona simile accanto all'indirizzo del tuo sito web nel browser.
I certificati SSL sono tipicamente emessi da autorità di certificazione e i loro prezzi partono da $80 fino a centinaia di dollari all'anno. A causa del costo aggiuntivo, la maggior parte dei proprietari di siti web in passato ha scelto di continuare a utilizzare il protocollo insicuro.
Per risolvere questo problema, un'organizzazione no-profit chiamata Let’s Encrypt ha deciso di offrire certificati SSL gratuiti ai proprietari di siti web. Il loro progetto è supportato da Google Chrome, Facebook, Mozilla e molte altre aziende.
È più facile che mai iniziare a usare SSL per tutti i tuoi siti web WordPress. Molte società di hosting offrono ora un certificato SSL gratuito per il tuo sito web WordPress.
Se la tua società di hosting non ne offre uno, puoi acquistare un certificato SSL da Domain.com. Hanno le migliori e più affidabili offerte SSL sul mercato. Il certificato viene fornito con una garanzia di sicurezza di $10.000 e un sigillo di sicurezza TrustLogo.
Sicurezza di WordPress per utenti fai-da-te
Se fai tutto ciò che abbiamo menzionato finora, allora sei in buona forma.
Ma come sempre, c'è di più che puoi fare per rafforzare la sicurezza del tuo WordPress.
Tieni presente che alcuni di questi passaggi potrebbero richiedere conoscenze di codifica.
Cambia il nome utente predefinito dell'amministratore
Ai vecchi tempi, il nome utente predefinito di amministrazione di WordPress era 'admin'. Poiché i nomi utente costituiscono metà delle credenziali di accesso, ciò rendeva più facile per gli hacker eseguire attacchi di forza bruta.
Fortunatamente, WordPress ha da allora cambiato questo e ora richiede di selezionare un nome utente personalizzato al momento dell'installazione di WordPress.
Tuttavia, alcuni installer WordPress con 1 clic impostano ancora il nome utente predefinito dell'amministratore su 'admin'. Se noti che è così, allora è probabilmente una buona idea cambiare il tuo hosting web.
Poiché WordPress non consente di modificare i nomi utente per impostazione predefinita, ci sono tre metodi che puoi utilizzare per cambiare il nome utente.
- Crea un nuovo nome utente amministratore ed elimina quello vecchio.
- Usa il plugin Username Changer
- Aggiorna il nome utente da phpMyAdmin
Abbiamo trattato tutti e tre questi metodi nella nostra guida dettagliata su come cambiare correttamente il tuo nome utente WordPress.
Nota: giusto per essere chiari, stiamo parlando di cambiare il nome utente chiamato 'admin', non il ruolo utente amministratore, che a volte viene anche chiamato 'admin'.
Disabilita la modifica dei file
WordPress viene fornito con un editor di codice integrato che ti consente di modificare i file del tuo tema e plugin direttamente dall'area di amministrazione di WordPress.
Nelle mani sbagliate, questa funzionalità può rappresentare un rischio per la sicurezza, motivo per cui consigliamo di disattivarla.
Puoi farlo facilmente aggiungendo il seguente codice al tuo file wp-config.php o con un plugin per snippet di codice come WPCode (consigliato):
// Disallow file edit
define( 'DISALLOW_FILE_EDIT', true );
Ti mostriamo come fare passo dopo passo nella nostra guida su come disabilitare gli editor di temi e plugin dal pannello di amministrazione di WordPress.
In alternativa, puoi farlo con 1 clic utilizzando la funzionalità di hardening nel plugin gratuito Sucuri menzionato sopra.
Disabilita l'esecuzione di file PHP in determinate directory di WordPress
Un altro modo per rafforzare la sicurezza di WordPress è disabilitare l'esecuzione dei file PHP nelle directory in cui non è necessaria, come /wp-content/uploads/.
Puoi farlo aprendo un editor di testo come Blocco note e incollando questo codice:
<Files *.php>
deny from all
</Files>
Successivamente, devi salvare questo file come .htaccess e caricarlo nella cartella /wp-content/uploads/ sul tuo sito web utilizzando un client FTP.
Per una spiegazione più dettagliata, consulta la nostra guida su come disabilitare l'esecuzione di PHP in determinate directory di WordPress.
In alternativa, puoi farlo con un clic utilizzando la funzione di hardening nel plugin gratuito Sucuri che abbiamo menzionato in precedenza.
Limita i tentativi di accesso
Per impostazione predefinita, WordPress consente agli utenti di tentare di accedere tutte le volte che desiderano. Questo lascia il tuo sito WordPress vulnerabile agli attacchi brute-force. È qui che gli hacker tentano di decifrare le password provando ad accedere con diverse combinazioni.
Questo può essere facilmente risolto limitando i tentativi di accesso falliti che un utente può effettuare. Se stai utilizzando il firewall per applicazioni web menzionato in precedenza, questo viene gestito automaticamente.
Tuttavia, se non hai configurato il firewall, puoi procedere seguendo i passaggi seguenti.
Innanzitutto, devi installare e attivare il plugin gratuito Limit Login Attempts Reloaded. Per maggiori dettagli, consulta la nostra guida passo passo su come installare un plugin WordPress.
Dopo l'attivazione, il plugin inizierà a limitare il numero di tentativi di accesso che gli utenti possono effettuare.
Le impostazioni predefinite funzioneranno per la maggior parte dei siti web. Tuttavia, puoi personalizzarle visitando la pagina Impostazioni » Limit Login Attempts e facendo clic sulla scheda 'Impostazioni' in alto. Ad esempio, per essere conforme alle leggi GDPR, puoi fare clic sulla casella di controllo 'Conformità GDPR'.
Per istruzioni dettagliate, dai un'occhiata alla nostra guida su come e perché limitare i tentativi di accesso in WordPress.
Aggiungi l'autenticazione a due fattori (2FA)
Il metodo di autenticazione a due fattori richiede 2 passaggi diversi per consentire agli utenti di accedere:
- Il primo passaggio è nome utente e password.
- Il secondo passaggio richiede l'utilizzo di un codice da un dispositivo o un'app in tuo possesso a cui gli hacker non possono accedere, come il tuo smartphone.
La maggior parte dei principali siti web online come Google, Facebook e Twitter, ti consente di abilitarla per i tuoi account. Puoi anche aggiungere la stessa funzionalità al tuo sito WordPress.
Innanzitutto, devi installare e attivare il plugin WP 2FA – Autenticazione a due fattori. Per maggiori dettagli, consulta la nostra guida passo passo su come installare un plugin WordPress.
Una procedura guidata user-friendly ti aiuterà a configurare il plugin e poi ti verrà fornito un codice QR.
Dovrai scansionare il codice QR utilizzando un'app di autenticazione sul tuo telefono, come Google Authenticator, Authy o LastPass Authenticator.
Ti consigliamo di utilizzare LastPass Authenticator o Authy perché consentono di eseguire il backup dei tuoi account sul cloud. Questo è molto utile nel caso in cui il tuo telefono venga smarrito, resettato o ne acquisti uno nuovo. Tutti i tuoi accessi agli account verranno ripristinati facilmente.
La maggior parte di queste app funziona in modo simile e, se stai usando Authy, fai semplicemente clic sul pulsante '+' o 'Aggiungi account' nell'app di autenticazione.
Questo ti permetterà di scansionare il codice QR sul tuo computer utilizzando la fotocamera del tuo telefono. Potrebbe essere necessario prima concedere all'app il permesso di accedere alla fotocamera.
Dopo aver dato un nome all'account, puoi salvarlo.
La prossima volta che accederai al tuo sito web, ti verrà richiesto il codice di autenticazione a due fattori dopo aver inserito la password.
Apri semplicemente l'app di autenticazione sul tuo telefono e vedrai un codice monouso.
Puoi quindi inserire il codice sul tuo sito web per completare l'accesso.
Cambia il prefisso del database di WordPress
Per impostazione predefinita, WordPress utilizza wp_ come prefisso per tutte le tabelle nel tuo database WordPress.
Se il tuo sito WordPress utilizza il prefisso del database predefinito, è più facile per gli hacker indovinare il nome della tua tabella. Ecco perché ti consigliamo di cambiarlo.
Puoi cambiare il prefisso del tuo database seguendo il nostro tutorial passo dopo passo su come cambiare il prefisso del database di WordPress per migliorare la sicurezza.
Nota: Cambiare il prefisso del database può causare problemi al tuo sito se non viene fatto correttamente. Fallo solo se ti senti a tuo agio con le tue competenze di programmazione.
Proteggi con password la pagina di amministrazione e di accesso di WordPress
Normalmente, gli hacker possono richiedere la tua cartella wp-admin e la pagina di accesso senza alcuna restrizione. Questo consente loro di provare i loro trucchi di hacking o di eseguire attacchi DDoS.
Puoi aggiungere una protezione password aggiuntiva a livello di server, che bloccherà efficacemente tali richieste.
Segui semplicemente le nostre istruzioni passo dopo passo su come proteggere con password la directory di amministrazione di WordPress (wp-admin).
Disabilita indicizzazione e navigazione directory
Quando digiti l'indirizzo di una delle cartelle del tuo sito web in un browser web, ti verrà mostrata la pagina web chiamata index.html se esiste. Se non esiste, ti verrà mostrato un elenco di file in quella cartella. Questo è noto come esplorazione delle directory.
L'esplorazione delle directory può essere utilizzata dagli hacker per scoprire se hai file con vulnerabilità note, in modo che possano sfruttare questi file per ottenere l'accesso.
L'esplorazione delle directory può anche essere utilizzata da altre persone per esaminare i tuoi file, copiare immagini, scoprire la struttura delle tue directory e altre informazioni. Ecco perché è altamente raccomandato disattivare l'indicizzazione e l'esplorazione delle directory.
Devi connetterti al tuo sito web utilizzando FTP o il file manager del tuo provider di hosting. Successivamente, individua il file .htaccess nella directory principale del tuo sito web. Se non riesci a vederlo lì, consulta la nostra guida su perché non riesci a vedere il file .htaccess in WordPress.
Dopodiché, devi aggiungere la seguente riga alla fine del file .htaccess:
Options -Indexes
Non dimenticare di salvare e caricare nuovamente il file .htaccess sul tuo sito.
Per saperne di più su questo argomento, consulta il nostro articolo su come disabilitare la navigazione delle directory in WordPress.
Disabilita XML-RPC in WordPress
XML-RPC è un'API principale di WordPress che aiuta a connettere il tuo sito WordPress con app mobili e web. È abilitato per impostazione predefinita da WordPress 3.5.
Tuttavia, a causa della sua natura potente, XML-RPC può amplificare significativamente gli attacchi brute-force.
Ad esempio, se un hacker volesse tradizionalmente provare 500 password diverse sul tuo sito web, dovrebbe effettuare 500 tentativi di accesso separati. Il plugin Limit Login Attempts Reloaded può intercettare e bloccare questo.
Ma con XML-RPC, un hacker può utilizzare la funzione system.multicall per provare migliaia di password con, diciamo, 20 o 50 richieste.
Ecco perché, se non stai utilizzando XML-RPC, ti consigliamo di disabilitarlo.
Ci sono 3 modi per disabilitare XML-RPC in WordPress, e li abbiamo trattati tutti nel nostro tutorial passo-passo su come disabilitare XML-RPC in WordPress.
Suggerimento: Il metodo .htaccess è il migliore perché è il meno dispendioso in termini di risorse. Gli altri metodi sono più facili per i principianti.
In alternativa, questo viene gestito automaticamente se si utilizza un firewall per applicazioni web (WAF) come menzionato in precedenza.
Disconnetti automaticamente gli utenti inattivi in WordPress
Gli utenti connessi a volte possono allontanarsi dallo schermo, e questo rappresenta un rischio per la sicurezza. Qualcuno potrebbe dirottare la loro sessione, cambiare password o apportare modifiche al loro account.
Ecco perché molti siti bancari e finanziari disconnettono automaticamente un utente inattivo. È possibile impostare una funzionalità simile anche sul tuo sito WordPress.
Dovrai installare e attivare il plugin Inactive Logout. Dopo l'attivazione, visita la pagina Impostazioni » Inactive Logout per personalizzare le impostazioni di logout.
Imposta semplicemente la durata del tempo e aggiungi un messaggio di logout. Quindi, non dimenticare di fare clic sul pulsante 'Salva modifiche' in fondo alla pagina per memorizzare le tue impostazioni.
Per istruzioni dettagliate, consulta la nostra guida su come disconnettere automaticamente gli utenti inattivi in WordPress.
Aggiungi domande di sicurezza alla schermata di accesso di WordPress
Aggiungere una domanda di sicurezza alla schermata di accesso di WordPress rende ancora più difficile per qualcuno ottenere un accesso non autorizzato.
Puoi aggiungere domande di sicurezza installando il plugin Autenticazione a due fattori. Dopo l'attivazione, dovrai visitare la pagina Autenticazione multi-fattore » Due fattori per configurare le impostazioni del plugin.
Questo ti permetterà di aggiungere vari tipi di autenticazione a due fattori al tuo sito, comprese le domande di sicurezza.
Per istruzioni più dettagliate, consulta il nostro tutorial su come aggiungere domande di sicurezza alla schermata di accesso di WordPress.
Scansiona WordPress alla ricerca di malware e vulnerabilità
Se hai installato un plugin di sicurezza per WordPress, controllerà regolarmente la presenza di malware e segni di violazioni della sicurezza.
Tuttavia, se noti un calo improvviso del traffico sul sito web o dei posizionamenti nei motori di ricerca, potresti voler eseguire una scansione manuale del malware. Puoi farlo utilizzando il tuo plugin di sicurezza WordPress o uno dei migliori scanner di malware e sicurezza.
Eseguire queste scansioni online è piuttosto semplice. Devi solo inserire l'URL del tuo sito web e i loro crawler esamineranno il tuo sito alla ricerca di malware e codice dannoso noti.
Ora, tieni presente che la maggior parte degli scanner di sicurezza WordPress può solo avvisarti se il tuo sito contiene malware. Non possono rimuovere il malware o ripulire un sito WordPress hackerato.
Questo ci porta alla sezione successiva, la pulizia del malware e dei siti WordPress hackerati.
Ripara un sito WordPress compromesso
Molti utenti WordPress non si rendono conto dell'importanza dei backup e della sicurezza del sito web finché il loro sito non viene hackerato.
Gli hacker installano backdoor sui siti interessati e, se queste backdoor non vengono risolte correttamente, è probabile che il tuo sito web venga nuovamente hackerato.
Per gli utenti avventurosi e fai-da-te, abbiamo preparato una guida passo passo su come riparare un sito WordPress hackerato.
Tuttavia, la pulizia di un sito WordPress può essere molto difficile e richiedere molto tempo. Il nostro consiglio sarebbe di lasciare che un professionista se ne occupi.
Se stai pagando per utilizzare il plugin di sicurezza Sucuri che abbiamo menzionato in precedenza, la riparazione del sito compromesso è inclusa nel prezzo.
In alternativa, puoi consultare le nostre raccomandazioni delle migliori agenzie di supporto WordPress per trovare professionisti che possano riparare il tuo sito hackerato per te.
Domande frequenti sulla sicurezza di WordPress
Poiché la sicurezza di WordPress è così importante, ci vengono poste regolarmente domande al riguardo. Ecco le risposte alle domande frequenti su come proteggere i siti web WordPress dagli attacchi.
WordPress è sicuro da usare?
WordPress è progettato per essere sicuro, soprattutto se lo si mantiene regolarmente aggiornato. Tuttavia, poiché è così popolare, gli hacker prendono spesso di mira i siti web WordPress.
Non preoccuparti, però. Seguendo semplici consigli di sicurezza come quelli di questo articolo, puoi ridurre notevolmente le possibilità che qualcuno violi il tuo sito web.
Cosa può mettere a rischio il mio sito web WordPress?
Ci sono diversi modi in cui gli hacker cercano di accedere ai siti web. Alcune minacce comuni includono l'indovinamento delle password, l'installazione di software dannoso (malware) e la ricerca di vulnerabilità nel codice del tuo sito web per rubare informazioni o prenderne il controllo.
Ogni quanto dovrei aggiornare il mio sito web WordPress?
Mantenere aggiornato il tuo sito web WordPress, i temi e i plugin è molto importante. I nuovi aggiornamenti spesso includono correzioni per problemi di sicurezza. Prova a utilizzare gli aggiornamenti automatici o controlla gli aggiornamenti da solo almeno una volta alla settimana e installali rapidamente.
Ho bisogno di un plugin speciale per la sicurezza?
Non devi usare un plugin di sicurezza, ma possono rendere il tuo sito web molto più sicuro. I plugin di sicurezza agiscono come guardie aggiuntive per il tuo sito web, proteggendoti da hacker e malware.
Come faccio a sapere se qualcuno ha hackerato il mio sito web?
Se noti cose strane che accadono sul tuo sito web, potrebbe essere un segno che sei stato hackerato. Questo potrebbe includere la visualizzazione di nuovi utenti o file che non hai creato, il tuo sito web che reindirizza i visitatori verso siti web diversi, il tuo sito web che funziona lentamente o la ricezione di avvisi da Google o dal tuo provider di hosting web.
Cosa devo fare se il mio sito web viene hackerato?
Se pensi che il tuo sito web sia stato hackerato, non farti prendere dal panico, ma agisci rapidamente. Puoi contattare la tua società di hosting web e chiedere aiuto. Puoi anche utilizzare un plugin di sicurezza o chiedere a un esperto di sicurezza di ripulire il tuo sito web.
Se hai un backup del tuo sito web, ripristinalo da quel backup. Assicurati di cambiare tutte le tue password, comprese quelle per la tua area di amministrazione di WordPress, il database e FTP.
Speriamo che questo articolo ti abbia aiutato a conoscere le migliori pratiche per proteggere il tuo sito web e la nostra checklist di sicurezza WordPress consigliata. Potresti anche voler consultare il nostro elenco dei principali motivi per cui i siti WordPress vengono hackerati e le nostre scelte di esperti dei migliori plugin di sicurezza per WordPress.
Se ti è piaciuto questo articolo, iscriviti al nostro canale YouTube per tutorial video su WordPress. Puoi anche trovarci su Twitter e Facebook.
Fred Laxton
Guida molto buona e completa, grazie!
Aggiungerei che è una buona idea cambiare l'URL di accesso di WP, usando un plugin come:
WPS Hide Login
Utilizzo un accesso personalizzato per ogni sito WP che costruisco utilizzando questo plugin. Questo aiuta molto (insieme ai limitatori di tentativi di accesso come hai menzionato, ecc.) a bloccare i tentativi di hacking.
Supporto WPBeginner
Changing your login URL is not a security measure, it is more for customizing the login experience. For changing the login URL we would recommend taking a look at our article below
https://www.wpbeginner.com/plugins/how-to-add-custom-login-url-in-wordpress/
Amministratore
Olaf
Wow, questa è davvero una guida incredibilmente completa alla sicurezza di WordPress. Do la priorità alla sicurezza del sito web sopra ogni altra cosa, ma onestamente, anche io probabilmente non ho mai implementato così tante misure diverse per rendere WordPress più difficile da violare. Oso dire che se qualcuno applica anche il 50% delle soluzioni e delle tecniche che hai elencato, il suo sito sarà praticamente a prova di proiettile.
Moinuddin Waheed
Per la sicurezza del sito web WordPress, vorrei richiamare l'attenzione sull'uso di plugin firewall.
L'uso del plugin giusto come Cloudflare CDN o Sucuri può proteggere il sito web da ogni tipo di attacco poiché filtra gli accessi malevoli.
Uso Cloudflare da molto tempo e posso testimoniare la sua utilità per la sicurezza e le prestazioni.
Oyatogun Oluwaseun Samuel
Questo è molto istruttivo. Aggiungerei anche che proteggere l'accesso alla propria postazione di lavoro o al laboratorio informatico è molto importante perché al giorno d'oggi, come parte della sicurezza, utilizziamo password complesse per accedere ai nostri siti WordPress che non sono facili da ricordare, costringendoci quindi a memorizzarle nel browser web utilizzato per accedere ai nostri siti WordPress. Chiunque abbia accesso al tuo computer e a questi browser potrebbe facilmente utilizzare il nome utente e la password memorizzati per accedere al tuo sito WordPress e causare scompiglio. In secondo luogo, penso che sia davvero meglio proteggersi dai ransomware, poiché recuperare l'accesso al tuo sito WordPress non è garantito nemmeno dopo aver pagato il riscatto. Potrei chiedere come si può sapere se Google ha messo in blacklist un sito web a causa di malware e phishing?
Supporto WPBeginner
Potresti voler usare la nostra guida qui sotto se sei preoccupato per il tuo sito dopo un attacco di malware o phishing per aiutarti a trovare e recuperare da una penalizzazione.
https://www.wpbeginner.com/beginners-guide/how-to-recover-a-wordpress-site-from-a-google-search-penalty/
Amministratore
Oyatogun Oluwaseun Samuel
Grazie per la tua risposta, seguirò il link per acquisire maggiori conoscenze. Sono felice di questa risposta.
uzoma ichetaonye
Wow.. questo è un articolo piuttosto ricco di modi per proteggere il tuo sito web dagli hacker.
MA LASCIATEMI DARE QUESTO CONSIGLIO: mentre navighi su Internet, NON, ripeto, NON fare clic su alcun link casuale che sembri molto sospetto e spam o scaricare file che compaiono inaspettatamente sullo schermo o ovunque senza richiesta. Scegli sempre software genuino piuttosto che uno nullo.
È attraverso questo mezzo che gli hacker ottengono l'accesso ai tuoi dettagli di accesso e utilizzano questi dettagli per accedere al tuo sito web.
Ho commesso l'errore di fare clic su un link particolare a caso per scaricare un link particolare e il mio sito web è stato hackerato, ma alla fine ho ripreso il controllo.
Quindi, stai lontano dall'accedere a link non autorizzati e sospetti che promettono di offrire offerte speciali per attirarti.
STAI SOLO ATTENTO E SICURO.
Dayo Olobayo
Grazie Uzoma per aver condiviso la tua esperienza. Questo è un ottimo promemoria che gli hacker possono essere subdoli. Hai assolutamente ragione riguardo all'evitare link e download sospetti. È un passo super importante per la sicurezza del sito web. Felice che tu abbia recuperato il tuo sito!
Jiří Vaněk
Questo è generalmente il problema con tutti i plugin nulled. Molte persone, pensando di risparmiare molti soldi sul software originale, optano per una versione nulled scaricata da fonti non ufficiali. La parte difficile è che il plugin funziona e fa quello che dovrebbe fare. Quello che è fantastico per queste persone è che è gratuito e hanno potenzialmente risparmiato centinaia di dollari. Ma il plugin non fa solo quello che dovrebbe fare, fa anche quello che l'hacker vuole che faccia. Dopo un po' di tempo, i proprietari di questi siti web si rendono conto di aver perso il controllo e ripristinare il sito al suo stato originale può costare più che se avessero pagato il plugin da una fonte ufficiale. A volte, riparare il sito può essere persino impossibile. Ho visto diversi siti web in cui, alla fine, tutti i dati hanno dovuto essere cancellati e tutto ha dovuto ricominciare da capo, correttamente, con plugin a pagamento, non nulled.
Moinuddin Waheed
Non potrei essere più d'accordo con questo fatto che i link dannosi sono porte d'accesso a minacce alla sicurezza.
Gli spammer usano link dubbi e cercano di accedere al sito web con ogni mezzo.
Quindi non si può sottolineare abbastanza che fai clic solo su ciò di cui sei sicuro e non fare mai clic su link casuali.
Mrteesurez
Nessuna attività seria sottovaluterà il potere della sicurezza per quanto riguarda i siti web, in particolare WordPress. La sua popolarità lo rende un centro di attenzione per gli hacker.
Consiglio ai siti WordPress appena installati di implementare prima la maggior parte di queste misure di sicurezza prima di lanciare o iniziare le operazioni.
Kushal Phalak
Ottimo articolo! L'anno scorso il mio sito web è stato hackerato (reindirizzato a un altro sito web sospetto), quindi penso che sia un must utilizzare misure di sicurezza. Nel mio caso, ho dovuto eliminare il mio sito web e sono stato fortunato che il mio provider di hosting avesse la funzione di backup. Da allora ho usato Wordfence per proteggere i miei siti web, ma sono passato a Sucuri poiché offriva servizi come protezione DDoS e CDN.
Moinuddin Waheed
Mi sono trovato in una situazione simile in cui stavo lavorando per il sito web di un istituto rinomato.
Dopo aver finalizzato tutto, il direttore mi ha chiesto una data in modo che potesse programmare un comunicato stampa.
Gli ho suggerito con sicurezza una data particolare e prima della data programmata,
il mio sito web si è corrotto e sfortunatamente non avevo un piano di backup pronto.
Ero completamente nei guai e ho lavorato tutto il giorno cercando di ripristinare le condizioni di lavoro precedenti.
Penso sia necessario prestare attenzione a ogni dettaglio relativo alla sicurezza.
Ayanda Temitayo
Per favore, vorrei chiedere se è sicuro dal punto di vista della sicurezza cambiare l'URL della pagina di accesso predefinita in un altro URL personalizzato. Come da tuo sito.com/wp-login a tuo sito.com/altroNome-login
Una volta ho usato un plugin per cambiare il mio URL di accesso in un altro URL dove nessuno poteva facilmente accedere alla mia pagina di accesso. Quindi uno dei miei esperti SEO ha detto che sarebbe stato facile per gli hacker violare il mio sito se il plugin fosse vulnerabile e avrei perso tutto sul mio sito web se avessi continuato a usare un percorso personalizzato per la pagina di accesso.
Qual è la tua opinione sul cambio del percorso di accesso predefinito?
Supporto WPBeginner
Cambiare l'URL di accesso è una preferenza personale e non specificamente per la sicurezza.
Amministratore
al amin Sheikh
Due cose importanti in un sito web: prestazioni e sicurezza.
Ben spiegato come possiamo proteggere il nostro sito dagli hacker. Grazie, WPB.
Supporto WPBeginner
You’re welcome
Amministratore
Moinuddin Waheed
Detto giustamente riguardo alle due cose più importanti di qualsiasi sito web.
la sicurezza e le prestazioni.
Penso che nel caso di WordPress, queste due cose possano essere in gran parte ottenute attraverso un buon provider di hosting e con l'uso di buoni temi e plugin.
La maggior parte delle volte, un plugin errato può causare una falla di sicurezza senza che tu te ne accorga.
Naturalmente, anche altri aspetti sono ugualmente importanti da considerare.
mohadese esmaeeli
Ciao, grazie per questo eccellente articolo. Voglio anche aggiungere alcuni elementi a questa lista, come l'utilizzo del plugin Google reCAPTCHA, l'impiego di hardware di sicurezza relativo al server, l'esame degli strumenti di sicurezza all'interno dell'ambiente di hosting, come Imunify360, e il cambio regolare delle password a brevi intervalli.
Supporto WPBeginner
Thank you for your recommendations, hosts do have different tools so it would be best to check with the hosting provider for any security tools they offer
Amministratore
Fajri
Wow, il metodo per disabilitare XML-RPC in WordPress è totalmente nuovo per me.
Proverò ad applicarlo per aggiungere più sicurezza ai miei siti web. Grazie per queste informazioni, team!
Supporto WPBeginner
Glad you found our article helpful
Amministratore
Murad Prodhan
WPbeginner è uno dei migliori siti web per la nostra community. Questo articolo mi è molto utile. Grazie WPbeginner.
Supporto WPBeginner
You’re welcome, glad the guide was helpful
Amministratore
Jiří Vaněk
Questo è un ottimo articolo. Ci sono molte cose qui a cui non avevo mai pensato, anche se ho cercato di proteggere WordPress il più possibile. Ho appena copiato uno snippet per nascondere i messaggi di errore durante l'accesso a WordPress e lo applicherò al mio sito web. Probabilmente non mi fermerò solo a questo. Questo articolo è davvero un elenco fantastico di ottimi consigli. Grazie per aver aumentato la consapevolezza sulla sicurezza. Ottimo lavoro.
Supporto WPBeginner
You’re welcome, glad our guide was helpful
Amministratore
Etop Udoekene
Grazie mille. Queste informazioni mi sono arrivate al momento giusto, dato che sto rimettendo in piedi il mio sito web dopo aver perso il mio precedente laptop e il mio telefono Android a causa di ladri.
Sono davvero grato.
Supporto WPBeginner
Prego, speriamo che le cose migliorino e speriamo che la nostra guida ti aiuti a mantenere sicuro il tuo sito dopo questo evento.
Amministratore
Mark Ellsworth
Grazie – molto ben organizzato e completo! Questo aiuterà sicuramente con quello che è un problema continuo e impegnativo con le installazioni di WordPress.
Supporto WPBeginner
Glad you found our security guide helpful
Amministratore
Ifakayode Femi
Ho adorato questo articolo e sto salvando questa pagina nei preferiti per il futuro, perché potrei non ricordare i nomi della maggior parte dei plugin elencati qui, ma sinceramente questo articolo aiuta molto
Grazie per aver dedicato il tuo tempo a comporre questo
Grazie mille volte
Supporto WPBeginner
Glad you found our guide and recommendations helpful!
Amministratore
Nikhil
grazie signore, le sue informazioni sono molto importanti, grazie mille signore
Supporto WPBeginner
Prego, siamo lieti di sapere che il nostro articolo è stato utile!
Amministratore
Yasin
Sono molto grato per questo articolo, tutti i ringraziamenti a wpbeginner.com.
Supporto WPBeginner
Prego, siamo lieti che tu abbia trovato utile la nostra guida!
Amministratore
Belinda Viret
Grazie per l'ottimo consiglio!
Supporto WPBeginner
Prego!
Amministratore
Marko Kozlica
Wow! Articolo esteso e approfondito sia per principianti che per utenti WordPress esperti. Continuate così!
Supporto WPBeginner
Felici che tu abbia trovato il nostro articolo utile!
Amministratore
Federico
Ottima guida, molto utile!
Supporto WPBeginner
Lieto che tu la pensi così!
Amministratore
Claudio Lopes
Sto seguendo i consigli e sento che il mio sito è più sicuro.
Supporto WPBeginner
Lieti di sapere che la nostra guida ti è stata d'aiuto!
Amministratore
Bob De Maria
Ciao,
Sono completamente nuovo a questo e questa è stata la mia prima email e sono felicissimo di essermi iscritto. Hai toccato una delle mie preoccupazioni che è in cima alla mia lista.
Non posso ringraziarti abbastanza per un tutorial molto ben scritto e molto apprezzato.
Cordiali saluti,
Bob De Maria
Supporto WPBeginner
Lieti di sapere che la nostra guida è stata utile!
Amministratore
Kimberly
FYI: Problema di sicurezza sul plugin WP Security Questions. È stato rimosso da wordpress.org.
Supporto WPBeginner
Thank you for letting us know, we will be sure to look for an alternative we would recommend
Amministratore
MS
Ciao ragazzi! Grazie mille per queste risorse utili. 1 domanda, influenzerà qualcosa il tempo di caricamento del mio sito web/pagine???
Supporto WPBeginner
Questi non dovrebbero causare un cambiamento significativo nella velocità del tuo sito.
Amministratore
john
Bel articolo,
L'uso di reCAPTCHA nei moduli è utile per la sicurezza?
Supporto WPBeginner
reCAPTCHA serve più a prevenire lo spam che la sicurezza.
Amministratore
tim jackz
Ciao team,
Se installo due plugin di sicurezza sul mio sito WordPress, ci sono svantaggi per il mio sito?
Supporto WPBeginner
Dovresti verificare con il supporto dei plugin che intendi utilizzare, alcuni funzionano insieme ma altri cercano di svolgere gli stessi compiti, il che può causare conflitti.
Amministratore
Diego
Il mio sito WordPress sta eseguendo WordPress 5.1.8 che fa parte della versione 5.1, aggiornata l'ultima volta a novembre 2020. La versione attuale di WordPress è 5.6.2.
Non capisco bene tutti questi diversi rami di WP.
Devo ancora aggiornare?
Supporto WPBeginner
Invece di aggiornare, devi aggiornare il tuo sito, puoi consultare la nostra guida qui sotto su come aggiornare in sicurezza il tuo sito:
https://www.wpbeginner.com/beginners-guide/ultimate-guide-to-upgrade-wordpress-for-beginners-infograph/
Amministratore
Julia
Quindi pago un premium e i plugin gratuiti sono solo per le aziende, c'è un modo per aggirare questo problema. Non ci permettono di pagare per i plugin. Premium e inferiori non sono autorizzati a usarli affatto.
Supporto WPBeginner
Questa sarebbe una limitazione di WordPress.com, per la differenza tra WordPress.com e WordPress.org ti consigliamo di consultare il nostro articolo qui sotto:
https://www.wpbeginner.com/beginners-guide/self-hosted-wordpress-org-vs-free-wordpress-com-infograph/
Amministratore
Trisha
Ottimo tutorial, grazie! Scorrendo i miei log di errori 404, vedo molti bot che cercano plugin inesistenti nella mia cartella /plugins... Non sono eccessivamente preoccupato poiché i plugin che cercano non esistono (da qui il 404) MA c'è un modo per proteggere la mia cartella /plugins che non interferisca con le normali operazioni dei plugin? È consigliabile? Dovrei preoccuparmi?
Supporto WPBeginner
Normalmente non dovrebbe essere qualcosa di cui preoccuparsi, a meno che il plugin non sia sul tuo sito, nel qual caso potresti voler assicurarti di avere quel plugin aggiornato nel caso in cui il bot stesse cercando un plugin con una vulnerabilità di sicurezza.
Amministratore
Ish
Ho preso in carico un sito WordPress, come faccio a sapere se il mio sito ha un account di backup cloud prima di me?
Supporto WPBeginner
Dovresti controllare i tuoi plugin attivi e contattare il tuo provider di hosting per vedere cosa è attivo per il tuo sito.
Amministratore
Lu
Come si fa a scoprire se il tuo sito utilizza XML-RPC? Davvero utile come sempre. Grazie.
Supporto WPBeginner
Se la tua versione di WordPress è aggiornata, dovrebbe essere attiva sul tuo sito normalmente.
Amministratore
Julie Taylor
Informazioni molto utili. Vorrei conoscere la tua opinione su quanto segue: se dovessi implementare tutte quelle situazioni di sicurezza, in particolare quelle che coinvolgono il codice, ecc., ciò influisce sulla capacità di Google di trovare il sito e sull'efficacia della SEO?
Supporto WPBeginner
Le raccomandazioni di sicurezza non dovrebbero influire sulla SEO del tuo sito
Amministratore
MooN Minhas
Grazie per aver condiviso belle informazioni.
Supporto WPBeginner
Glad you found it helpful
Amministratore
Samuel
questa guida si applica anche agli utenti di WordPress.com?
Supporto WPBeginner
No, our guides are for WordPress.org sites, you would want to reach out to WordPress.com for the hardening steps they allow
Amministratore
Leanne
Questo è uno dei migliori siti tutorial (su qualsiasi argomento) che abbia mai trovato. Grazie, consiglierò wpbeginner ad altri – sito fantastico!
Supporto WPBeginner
You’re welcome and glad you’ve found our content helpful
Amministratore
Daniel
Sai che ci sono persone che chiedono più di $50 o $100 per insegnarti come fare tutto questo, e tu l'hai dato gratis! Grazie mille ragazzi!
Supporto WPBeginner
You’re welcome
Amministratore
Power
Grazie per l'articolo, è davvero utile
Supporto WPBeginner
You’re welcome
Amministratore
Mydas
Questo è stato super utile. Ho le competenze di codifica per implementare tutto, e ora posso prendermi cura molto meglio delle installazioni WordPress mie e dei miei clienti. Grazie per le informazioni, è così completo che non riesco a credere che sia gratuito xD
Supporto WPBeginner
You’re welcome, glad our guide was helpful
Amministratore
Splendor Edesiri
Ho bisogno di una VPN per accedere al mio sito WordPress dal backend come parte della sicurezza del mio sito WordPress?
Supporto WPBeginner
No, non è richiesto
Amministratore
uzoma ichetaonye
Non credo che tu abbia bisogno di una VPN per accedere al tuo sito web tramite il suo backend.
Le VPN vengono utilizzate per mascherare o aiutare la tua identità o accedere a un sito che è stato bloccato dalla tua posizione.
Kam
Grazie per questo articolo. È una lettura essenziale!
Se hai un hosting come Bluehost, è essenziale avere un backup con un plugin come Updraft plus + archiviazione remota? Dopo tutto, i provider di hosting dovrebbero fornire il backup?
Supporto WPBeginner
Sebbene alcuni host offrano backup, consigliamo comunque di creare i propri backup per sicurezza
Amministratore
Kyle B.
Cambiare il prefisso del database non farà alcuna differenza. A parte questo, non è un brutto articolo.
Supporto WPBeginner
Thanks for sharing your opinion and glad you liked our article
Amministratore
kalmoa
solo per informazione, con Nginx non esiste un file di configurazione a livello di directory come .htaccess di Apache. Tutta la configurazione deve essere fatta a livello di server da un amministratore, e WordPress non può modificare la configurazione, come può fare con Apache. Quindi la parte su 'Disabilita esecuzione file PHP', non può essere completata da installazioni WordPress in esecuzione su Nginx. Questo include me stesso, che sto eseguendo la mia installazione WordPress su Vultr. La loro installazione WordPress con un clic viene distribuita su Nginx (ubuntu 18.04)
Supporto WPBeginner
Grazie per aver condiviso questo per gli utenti che utilizzano specificamente Nginx per il loro sito.
Amministratore
Tom
Qual è il metodo migliore per aggiornare i plugin se ne ho diversi che necessitano di aggiornamento? Aggiornare uno alla volta e vedere se il plugin aggiornato interrompe qualche funzionalità del sito web?
Supporto WPBeginner
Se sei preoccupato che un aggiornamento possa compromettere il tuo sito, ti consigliamo di testare l'aggiornamento seguendo la nostra guida su come creare un ambiente di staging qui sotto:
https://www.wpbeginner.com/wp-tutorials/how-to-create-staging-environment-for-a-wordpress-site/
Amministratore
Kartik Satija
Articolo incredibile, molto ben articolato e documentato.
Grazie mille a tutti per questo.
Più forza a voi, continuate così.
Saluti,
Kartik.
Supporto WPBeginner
Glad you found our guide helpful
Amministratore
MIMIFTAH
Contenuto molto informativo. Grazie
Supporto WPBeginner
You’re welcome
Amministratore
Liz
Ottimo articolo. Ho una domanda sulle opzioni di hardening. Ho letto che l'attivazione dell'hardening su tutte le opzioni può causare problemi ad alcuni plugin o al tema, facendoli smettere di funzionare correttamente. Se ciò accade, quanto è difficile risolverlo? Sembra che ci sia più di quanto si pensi, oltre al semplice ripristino dell'opzione di hardening. Qualsiasi suggerimento sarebbe molto apprezzato. Grazie!
Supporto WPBeginner
La difficoltà dipenderebbe dalla specifica raccomandazione di hardening, dal plugin e dal messaggio di errore in caso di problemi. Altrimenti, la maggior parte dei plugin non dovrebbe avere problemi
Amministratore
Gary Starling
Suggerimenti molto utili e ben spiegati dal basilare al complesso
Grazie per le tue spiegazioni
Supporto WPBeginner
You’re welcome, glad our article could be helpful
Amministratore
Andrei
Ciao ragazzi,
Dopo il primo tentativo di enumerazione utenti, un plugin di brute force bloccherà quell'indirizzo IP.
Se proteggi con password la directory wp-admin, il plugin non potrà più bloccare quell'IP.
È una valutazione corretta?
Supporto WPBeginner
Corretto, ci sarebbe un carico simile a quello di un IP bloccato, ma se hai bisogno che molti nuovi utenti accedano al tuo sito, limitare i tentativi di accesso sarebbe meglio che proteggere con password il tuo wp-admin
Amministratore
Andrei
Ok, ho finalmente capito come funziona e lo condivido qui per tutti. La protezione con password di wp-admin viene effettuata a livello di server (Apache/Nginx). Se un tentativo di enumerazione utenti o brute force non riesce a bypassare il livello del server, non sarà in grado di toccare PHP/MySQL. Pertanto, proteggere con password wp-admin non aggiunge carico al database.
Peter
Molto informativo e utile, ho configurato tutte le procedure di hardening che hai menzionato, grazie mille.
Supporto WPBeginner
You’re welcome, glad our guide was helpful
Amministratore