Ogni proprietario di sito WordPress che conosciamo ha avuto quel momento di panico quando si rende conto che il proprio sito web potrebbe essere vulnerabile agli hacker. Abbiamo imparato questa lezione a nostre spese all'inizio del nostro percorso, quando abbiamo visto cosa potevano fare le violazioni della sicurezza alle aziende.
Ecco perché nel corso degli anni abbiamo mantenuto WPBeginner al sicuro da attacchi ripetuti utilizzando i migliori plugin di sicurezza e seguendo le migliori pratiche di sicurezza di WordPress.
La sicurezza di WordPress non deve essere complicata o costosa. La maggior parte dei proprietari di siti pensa di dover assumere esperti o spendere migliaia di euro in strumenti di sicurezza, ma non è affatto vero. Con l'approccio giusto e strategie comprovate, puoi proteggere il tuo sito web proprio come proteggiamo il nostro.
Abbiamo trascorso anni a testare plugin di sicurezza, implementare le migliori pratiche e aiutare migliaia di utenti WordPress a mettere in sicurezza i propri siti. In questa guida, ti accompagneremo passo dopo passo attraverso ogni passaggio che utilizziamo per mantenere il nostro sito sicuro, in modo che tu possa dormire sonni tranquilli sapendo che il tuo sito WordPress è protetto.
Sebbene il software core di WordPress sia molto sicuro e venga regolarmente revisionato da centinaia di sviluppatori, c'è ancora molto da fare per mantenere il tuo sito sicuro.
Noi di WPBeginner crediamo che la sicurezza non riguardi solo l'eliminazione del rischio. Riguarda anche la riduzione del rischio. Come proprietario di un sito web, c'è molto che puoi fare per migliorare la sicurezza del tuo WordPress, anche se non sei esperto di tecnologia.
Ecco perché abbiamo creato una checklist di sicurezza per WordPress con passaggi attuabili che puoi intraprendere per proteggere il tuo sito web da vulnerabilità di sicurezza.
Per semplificare, abbiamo creato un indice dei contenuti per aiutarti a navigare facilmente nella nostra guida definitiva alla sicurezza di WordPress.
Indice dei contenuti
Fondamenti della sicurezza di WordPress
- Perché la sicurezza di WordPress è importante
- Mantieni WordPress aggiornato
- Usa password forti e permessi utente
- Comprendi il ruolo dell'hosting WordPress
Sicurezza di WordPress in semplici passaggi (senza codice)
- Installa una soluzione di backup per WordPress
- Installa un plugin di sicurezza WordPress affidabile
- Abilita un Web Application Firewall (WAF)
- Sposta il tuo sito WordPress su SSL/HTTPS
Sicurezza di WordPress per utenti fai-da-te
- Cambia il nome utente predefinito dell'amministratore
- Disabilita la modifica dei file
- Disabilita l'esecuzione di file PHP in determinate directory di WordPress
- Limita i tentativi di accesso
- Aggiungi l'autenticazione a due fattori (2FA)
- Cambia il prefisso del database di WordPress
- Proteggi con password la pagina di amministrazione e di accesso di WordPress
- Disabilita indicizzazione e navigazione directory
- Disabilita XML-RPC in WordPress
- Disconnetti automaticamente gli utenti inattivi in WordPress
- Aggiungi domande di sicurezza all'accesso di WordPress
- Scansiona WordPress alla ricerca di malware e vulnerabilità
- Ripara un sito WordPress compromesso
Pronto? Iniziamo.
Perché la sicurezza del sito web è importante
Un sito WordPress compromesso può causare gravi danni alle entrate e alla reputazione della tua attività. Gli hacker possono rubare informazioni e password degli utenti, installare software dannoso e persino distribuire malware ai tuoi utenti.
Peggio ancora, potresti trovarti a pagare un riscatto agli hacker solo per riottenere l'accesso al tuo sito web.
Ogni giorno, Google avverte 12-14 milioni di utenti che un sito web che stanno cercando di visitare potrebbe contenere malware o rubare informazioni.
Inoltre, Google mette in blacklist circa 10.000+ siti web ogni giorno per malware o phishing.
Proprio come i proprietari di attività commerciali con una sede fisica sono responsabili della salvaguardia della loro proprietà, i proprietari di attività online devono prestare particolare attenzione alla sicurezza di WordPress.
Mantieni WordPress aggiornato
WordPress è un software open-source e viene regolarmente mantenuto e aggiornato. Per impostazione predefinita, WordPress installa automaticamente gli aggiornamenti minori.
Per le versioni principali, è necessario avviare manualmente l'aggiornamento.
WordPress viene fornito anche con migliaia di plugin e temi che puoi installare sul tuo sito web. Questi plugin e temi sono mantenuti da sviluppatori di terze parti, che rilasciano regolarmente aggiornamenti.
Questi aggiornamenti di WordPress sono cruciali per la sicurezza e la stabilità del tuo sito WordPress. Devi assicurarti che il core, i plugin e il tema di WordPress siano aggiornati.
Usa password forti e permessi utente
I tentativi di hacking più comuni su WordPress utilizzano password rubate. Tuttavia, puoi rendere difficile questo processo utilizzando password più forti e uniche per il tuo sito web.
Non stiamo parlando solo dell'area di amministrazione di WordPress. Ricorda di creare password forti per i tuoi account FTP, database, account di hosting WordPress e indirizzi email personalizzati che utilizzano il nome di dominio del tuo sito.
Molti principianti non amano usare password forti perché sono difficili da ricordare. La cosa buona è che non devi più ricordare le password perché puoi semplicemente usare un gestore di password.
Consulta la nostra guida su come gestire le password di WordPress per maggiori informazioni.
Un altro modo per ridurre il rischio è non dare a nessuno l'accesso al tuo account di amministrazione di WordPress a meno che tu non debba assolutamente.
Se hai un team numeroso o autori ospiti, assicurati di comprendere i ruoli e le autorizzazioni degli utenti in WordPress prima di aggiungere nuovi account utente e autori al tuo sito WordPress.
Comprendi il ruolo dell'hosting WordPress
Il tuo servizio di hosting WordPress gioca il ruolo più importante nella sicurezza del tuo sito WordPress. Un buon provider di hosting condiviso come Hostinger, Bluehost o SiteGround adotta misure aggiuntive per proteggere i propri server da minacce comuni.
Ecco solo alcuni dei modi in cui le buone società di web hosting lavorano in background per proteggere i tuoi siti web e i tuoi dati:
- Monitorano continuamente la loro rete per attività sospette.
- Tutte le buone società di hosting dispongono di strumenti per prevenire attacchi DDoS su larga scala.
- Mantengono aggiornati il software del server, le versioni di PHP e l'hardware per impedire agli hacker di sfruttare una vulnerabilità di sicurezza nota in una vecchia versione.
- Hanno piani di disaster recovery e piani di emergenza pronti all'uso che consentono loro di proteggere i tuoi dati in caso di un grave incidente.
Su un piano di hosting condiviso, condividi le risorse del server con molti altri clienti. Esiste il rischio di contaminazione cross-site, in cui un hacker può utilizzare un sito vicino per attaccare il tuo sito web.
Al contrario, l'utilizzo di un servizio di hosting WordPress gestito fornisce una piattaforma più sicura per il tuo sito web. Le società di hosting WordPress gestito offrono backup automatici, aggiornamenti automatici di WordPress e configurazioni di sicurezza più avanzate per proteggere il tuo sito web.
Raccomandiamo SiteGround come nostro provider di hosting WordPress gestito preferito. Hanno un supporto reattivo, server veloci ed eccellente affidabilità.
Assicurati di ottenere la migliore offerta utilizzando il nostro speciale coupon SiteGround.
Sicurezza di WordPress in pochi semplici passaggi (senza codice)
Sappiamo che migliorare la sicurezza di WordPress può essere un pensiero terrificante per i principianti, specialmente se non sei esperto di tecnologia. Indovina un po': non sei solo.
Abbiamo aiutato migliaia di utenti WordPress a rafforzare la sicurezza dei loro siti WordPress.
Ti mostreremo come puoi migliorare la sicurezza del tuo sito WordPress con pochi clic (nessun codice richiesto).
Se sai fare clic, puoi farlo!
1. Installa una soluzione di backup per WordPress
I backup sono la tua prima difesa contro qualsiasi attacco a WordPress. Ricorda, niente è sicuro al 100%. Se i siti web governativi possono essere hackerati, allora anche il tuo può esserlo.
I backup ti permettono di ripristinare rapidamente il tuo sito WordPress nel caso in cui accada qualcosa di brutto.
Esistono molti plugin di backup per WordPress gratuiti e a pagamento plugin di backup per WordPress che puoi utilizzare. La cosa più importante da sapere riguardo ai backup è che devi salvare regolarmente backup completi del sito in una posizione remota (non sul tuo account di hosting).
Ti consigliamo di archiviarlo su un servizio cloud come Amazon, Dropbox o cloud privati come Stash.
In base alla frequenza con cui aggiorni il tuo sito web, l'impostazione ideale potrebbe essere un backup giornaliero o in tempo reale.
Fortunatamente questo può essere facilmente fatto utilizzando plugin come Duplicator, UpdraftPlus o BlogVault. Sono entrambi affidabili e soprattutto facili da usare (non è necessaria alcuna codifica).
Per maggiori dettagli, consulta la nostra guida su come eseguire il backup del tuo sito WordPress.
Installa un plugin di sicurezza WordPress affidabile
Dopo i backup, la prossima cosa da fare è impostare un sistema di auditing e monitoraggio che tenga traccia di tutto ciò che accade sul tuo sito web.
Ciò include il monitoraggio dell'integrità dei file, i tentativi di accesso non riusciti, la scansione malware e altro ancora.
Fortunatamente, puoi risolvere facilmente questo problema installando uno dei migliori plugin di sicurezza per WordPress, come Sucuri.
Devi installare e attivare il plugin gratuito Sucuri Security. Per maggiori dettagli, consulta la nostra guida passo passo su come installare un plugin per WordPress.
Ora, puoi accedere a Sucuri Security » Dashboard per vedere se il plugin ha riscontrato problemi immediati con il codice del tuo WordPress.
La prossima cosa da fare è navigare alla pagina Sucuri Security » Impostazioni e fare clic sulla scheda ‘Hardening’.
Le impostazioni predefinite funzionano bene per la maggior parte dei siti web, quindi puoi procedere ad attivarle facendo clic sul pulsante ‘Applica hardening’ per ogni opzione.
Questo ti aiuta a bloccare le aree chiave che gli hacker utilizzano spesso nei loro attacchi.
Suggerimento: tratteremo ulteriormente i modi per rafforzare il tuo sito web più avanti in questo articolo, come cambiare il prefisso del database e il nome utente dell'amministratore. Tuttavia, questi sono più tecnici e potrebbero richiedere conoscenze di codifica.
Dopo la parte di hardening, le altre impostazioni predefinite del plugin sono sufficienti per la maggior parte dei siti web e non necessitano di modifiche.
L'unica cosa che consigliamo di personalizzare sono gli avvisi via email, che si trovano nella scheda ‘Avvisi’ della pagina delle impostazioni.
Per impostazione predefinita, riceverai molti avvisi via email che possono ingombrare la tua casella di posta.
Consigliamo di abilitare gli avvisi solo per le azioni chiave di cui desideri essere notificato, come le modifiche ai plugin e le nuove registrazioni di utenti.
Questo plugin di sicurezza per WordPress è molto potente, quindi sfoglia tutte le schede e le impostazioni per vedere tutto ciò che fa, come la scansione di malware, i log di controllo, il tracciamento dei tentativi di accesso falliti e altro ancora.
Per maggiori informazioni, puoi consultare la nostra recensione dettagliata di Sucuri.
Abilita un Web Application Firewall (WAF)
L'utilizzo di un firewall per applicazioni web (WAF) è il modo più semplice per proteggere il tuo sito ed essere sicuro della sicurezza del tuo WordPress.
Un firewall per siti web blocca tutto il traffico dannoso prima ancora che raggiunga il tuo sito web.
- Un firewall per siti web a livello DNS instrada il traffico del tuo sito web attraverso i suoi server proxy cloud. Questo gli consente di inviare solo traffico genuino al tuo server web.
- Un firewall a livello di applicazione esamina il traffico una volta che raggiunge il tuo server ma prima di caricare la maggior parte degli script di WordPress. Questo metodo non è efficiente come il firewall a livello DNS nel ridurre il carico del server.
Per saperne di più, consulta il nostro elenco dei migliori plugin firewall per WordPress.
Abbiamo utilizzato Sucuri su WPBeginner per molti anni e lo raccomandiamo ancora come uno dei migliori firewall per applicazioni web per WordPress. Recentemente siamo passati da Sucuri a Cloudflare perché avevamo bisogno di una rete CDN più ampia con funzionalità più orientate ai clienti enterprise.
Puoi leggere di come Sucuri ci ha aiutato a bloccare 450.000 attacchi WordPress in un mese.
La parte migliore del firewall di Sucuri è che include anche una garanzia di pulizia malware e rimozione dalla blacklist. Ciò significa che se venissi hackerato sotto la loro sorveglianza, garantiscono di riparare il tuo sito web, indipendentemente dal numero di pagine che hai.
Questa è una garanzia piuttosto solida perché riparare siti web hackerati è costoso. Gli esperti di sicurezza normalmente addebitano più di $250 all'ora, mentre puoi ottenere l'intero stack di sicurezza Sucuri per $199 per un anno intero.
Detto questo, Sucuri non è l'unico provider di firewall a livello DNS disponibile. L'altro concorrente popolare è Cloudflare. Vedi il nostro confronto tra Sucuri vs. Cloudflare (Pro e Contro).
Sposta il tuo sito WordPress su SSL/HTTPS
SSL (Secure Sockets Layer) è un protocollo che crittografa il trasferimento dei dati tra il tuo sito web e il browser dell'utente. Questa crittografia rende più difficile per qualcuno intercettare e rubare informazioni.
Una volta abilitato SSL, l'indirizzo del tuo sito web utilizzerà HTTPS invece di HTTP. Vedrai anche un lucchetto o un'icona simile accanto all'indirizzo del tuo sito web nel browser.
I certificati SSL sono tipicamente emessi da autorità di certificazione e i loro prezzi partono da $80 fino a centinaia di dollari all'anno. A causa del costo aggiuntivo, la maggior parte dei proprietari di siti web in passato ha scelto di continuare a utilizzare il protocollo insicuro.
Per risolvere questo problema, un'organizzazione no-profit chiamata Let’s Encrypt ha deciso di offrire certificati SSL gratuiti ai proprietari di siti web. Il loro progetto è supportato da Google Chrome, Facebook, Mozilla e molte altre aziende.
È più facile che mai iniziare a usare SSL per tutti i tuoi siti web WordPress. Molte società di hosting offrono ora un certificato SSL gratuito per il tuo sito web WordPress.
Se la tua società di hosting non ne offre uno, puoi acquistare un certificato SSL da Domain.com. Hanno le migliori e più affidabili offerte SSL sul mercato. Il certificato viene fornito con una garanzia di sicurezza di $10.000 e un sigillo di sicurezza TrustLogo.
Sicurezza di WordPress per utenti fai-da-te
Se fai tutto ciò che abbiamo menzionato finora, allora sei in buona forma.
Ma come sempre, c'è di più che puoi fare per rafforzare la sicurezza del tuo WordPress.
Tieni presente che alcuni di questi passaggi potrebbero richiedere conoscenze di codifica.
Cambia il nome utente predefinito dell'amministratore
Ai vecchi tempi, il nome utente predefinito di amministrazione di WordPress era 'admin'. Poiché i nomi utente costituiscono metà delle credenziali di accesso, ciò rendeva più facile per gli hacker eseguire attacchi di forza bruta.
Fortunatamente, WordPress ha da allora cambiato questo e ora richiede di selezionare un nome utente personalizzato al momento dell'installazione di WordPress.
Tuttavia, alcuni installer WordPress con 1 clic impostano ancora il nome utente predefinito dell'amministratore su 'admin'. Se noti che è così, allora è probabilmente una buona idea cambiare il tuo hosting web.
Poiché WordPress non consente di modificare i nomi utente per impostazione predefinita, ci sono tre metodi che puoi utilizzare per cambiare il nome utente.
- Crea un nuovo nome utente amministratore ed elimina quello vecchio.
- Usa il plugin Username Changer
- Aggiorna il nome utente da phpMyAdmin
Abbiamo trattato tutti e tre questi metodi nella nostra guida dettagliata su come cambiare correttamente il tuo nome utente WordPress.
Nota: giusto per essere chiari, stiamo parlando di cambiare il nome utente chiamato 'admin', non il ruolo utente amministratore, che a volte viene anche chiamato 'admin'.
Disabilita la modifica dei file
WordPress viene fornito con un editor di codice integrato che ti consente di modificare i file del tuo tema e plugin direttamente dall'area di amministrazione di WordPress.
Nelle mani sbagliate, questa funzionalità può rappresentare un rischio per la sicurezza, motivo per cui consigliamo di disattivarla.
Puoi farlo facilmente aggiungendo il seguente codice al tuo file wp-config.php o con un plugin per snippet di codice come WPCode (consigliato):
// Disallow file edit
define( 'DISALLOW_FILE_EDIT', true );
Ti mostriamo come fare passo dopo passo nella nostra guida su come disabilitare gli editor di temi e plugin dal pannello di amministrazione di WordPress.
In alternativa, puoi farlo con 1 clic utilizzando la funzionalità di hardening nel plugin gratuito Sucuri menzionato sopra.
Disabilita l'esecuzione di file PHP in determinate directory di WordPress
Un altro modo per rafforzare la sicurezza di WordPress è disabilitare l'esecuzione dei file PHP nelle directory in cui non è necessaria, come /wp-content/uploads/.
Puoi farlo aprendo un editor di testo come Blocco note e incollando questo codice:
<Files *.php>
deny from all
</Files>
Successivamente, devi salvare questo file come .htaccess e caricarlo nella cartella /wp-content/uploads/ sul tuo sito web utilizzando un client FTP.
Per una spiegazione più dettagliata, consulta la nostra guida su come disabilitare l'esecuzione di PHP in determinate directory di WordPress.
In alternativa, puoi farlo con un clic utilizzando la funzione di hardening nel plugin gratuito Sucuri che abbiamo menzionato in precedenza.
Limita i tentativi di accesso
Per impostazione predefinita, WordPress consente agli utenti di tentare di accedere tutte le volte che desiderano. Questo lascia il tuo sito WordPress vulnerabile agli attacchi brute-force. È qui che gli hacker tentano di decifrare le password provando ad accedere con diverse combinazioni.
Questo può essere facilmente risolto limitando i tentativi di accesso falliti che un utente può effettuare. Se stai utilizzando il firewall per applicazioni web menzionato in precedenza, questo viene gestito automaticamente.
Tuttavia, se non hai configurato il firewall, puoi procedere seguendo i passaggi seguenti.
Innanzitutto, devi installare e attivare il plugin gratuito Limit Login Attempts Reloaded. Per maggiori dettagli, consulta la nostra guida passo passo su come installare un plugin WordPress.
Dopo l'attivazione, il plugin inizierà a limitare il numero di tentativi di accesso che gli utenti possono effettuare.
Le impostazioni predefinite funzioneranno per la maggior parte dei siti web. Tuttavia, puoi personalizzarle visitando la pagina Impostazioni » Limit Login Attempts e facendo clic sulla scheda 'Impostazioni' in alto. Ad esempio, per essere conforme alle leggi GDPR, puoi fare clic sulla casella di controllo 'Conformità GDPR'.
Per istruzioni dettagliate, dai un'occhiata alla nostra guida su come e perché limitare i tentativi di accesso in WordPress.
Aggiungi l'autenticazione a due fattori (2FA)
Il metodo di autenticazione a due fattori richiede 2 passaggi diversi per consentire agli utenti di accedere:
- Il primo passaggio è nome utente e password.
- Il secondo passaggio richiede l'utilizzo di un codice da un dispositivo o un'app in tuo possesso a cui gli hacker non possono accedere, come il tuo smartphone.
La maggior parte dei principali siti web online come Google, Facebook e Twitter, ti consente di abilitarla per i tuoi account. Puoi anche aggiungere la stessa funzionalità al tuo sito WordPress.
Innanzitutto, devi installare e attivare il plugin WP 2FA – Autenticazione a due fattori. Per maggiori dettagli, consulta la nostra guida passo passo su come installare un plugin WordPress.
Una procedura guidata user-friendly ti aiuterà a configurare il plugin e poi ti verrà fornito un codice QR.
Dovrai scansionare il codice QR utilizzando un'app di autenticazione sul tuo telefono, come Google Authenticator, Authy o LastPass Authenticator.
Ti consigliamo di utilizzare LastPass Authenticator o Authy perché consentono di eseguire il backup dei tuoi account sul cloud. Questo è molto utile nel caso in cui il tuo telefono venga smarrito, resettato o ne acquisti uno nuovo. Tutti i tuoi accessi agli account verranno ripristinati facilmente.
La maggior parte di queste app funziona in modo simile e, se stai usando Authy, fai semplicemente clic sul pulsante '+' o 'Aggiungi account' nell'app di autenticazione.
Questo ti permetterà di scansionare il codice QR sul tuo computer utilizzando la fotocamera del tuo telefono. Potrebbe essere necessario prima concedere all'app il permesso di accedere alla fotocamera.
Dopo aver dato un nome all'account, puoi salvarlo.
La prossima volta che accederai al tuo sito web, ti verrà richiesto il codice di autenticazione a due fattori dopo aver inserito la password.
Apri semplicemente l'app di autenticazione sul tuo telefono e vedrai un codice monouso.
Puoi quindi inserire il codice sul tuo sito web per completare l'accesso.
Cambia il prefisso del database di WordPress
Per impostazione predefinita, WordPress utilizza wp_ come prefisso per tutte le tabelle nel tuo database WordPress.
Se il tuo sito WordPress utilizza il prefisso del database predefinito, è più facile per gli hacker indovinare il nome della tua tabella. Ecco perché ti consigliamo di cambiarlo.
Puoi cambiare il prefisso del tuo database seguendo il nostro tutorial passo dopo passo su come cambiare il prefisso del database di WordPress per migliorare la sicurezza.
Nota: Cambiare il prefisso del database può causare problemi al tuo sito se non viene fatto correttamente. Fallo solo se ti senti a tuo agio con le tue competenze di programmazione.
Proteggi con password la pagina di amministrazione e di accesso di WordPress
Normalmente, gli hacker possono richiedere la tua cartella wp-admin e la pagina di accesso senza alcuna restrizione. Questo consente loro di provare i loro trucchi di hacking o di eseguire attacchi DDoS.
Puoi aggiungere una protezione password aggiuntiva a livello di server, che bloccherà efficacemente tali richieste.
Segui semplicemente le nostre istruzioni passo dopo passo su come proteggere con password la directory di amministrazione di WordPress (wp-admin).
Disabilita indicizzazione e navigazione directory
Quando digiti l'indirizzo di una delle cartelle del tuo sito web in un browser web, ti verrà mostrata la pagina web chiamata index.html se esiste. Se non esiste, ti verrà mostrato un elenco di file in quella cartella. Questo è noto come esplorazione delle directory.
L'esplorazione delle directory può essere utilizzata dagli hacker per scoprire se hai file con vulnerabilità note, in modo che possano sfruttare questi file per ottenere l'accesso.
L'esplorazione delle directory può anche essere utilizzata da altre persone per esaminare i tuoi file, copiare immagini, scoprire la struttura delle tue directory e altre informazioni. Ecco perché è altamente raccomandato disattivare l'indicizzazione e l'esplorazione delle directory.
Devi connetterti al tuo sito web utilizzando FTP o il file manager del tuo provider di hosting. Successivamente, individua il file .htaccess nella directory principale del tuo sito web. Se non riesci a vederlo lì, consulta la nostra guida su perché non riesci a vedere il file .htaccess in WordPress.
Dopodiché, devi aggiungere la seguente riga alla fine del file .htaccess:
Options -Indexes
Non dimenticare di salvare e caricare nuovamente il file .htaccess sul tuo sito.
Per saperne di più su questo argomento, consulta il nostro articolo su come disabilitare la navigazione delle directory in WordPress.
Disabilita XML-RPC in WordPress
XML-RPC è un'API principale di WordPress che aiuta a connettere il tuo sito WordPress con app mobili e web. È abilitato per impostazione predefinita da WordPress 3.5.
Tuttavia, a causa della sua natura potente, XML-RPC può amplificare significativamente gli attacchi brute-force.
Ad esempio, se un hacker volesse tradizionalmente provare 500 password diverse sul tuo sito web, dovrebbe effettuare 500 tentativi di accesso separati. Il plugin Limit Login Attempts Reloaded può intercettare e bloccare questo.
Ma con XML-RPC, un hacker può utilizzare la funzione system.multicall per provare migliaia di password con, diciamo, 20 o 50 richieste.
Ecco perché, se non stai utilizzando XML-RPC, ti consigliamo di disabilitarlo.
Ci sono 3 modi per disabilitare XML-RPC in WordPress, e li abbiamo trattati tutti nel nostro tutorial passo-passo su come disabilitare XML-RPC in WordPress.
Suggerimento: Il metodo .htaccess è il migliore perché è il meno dispendioso in termini di risorse. Gli altri metodi sono più facili per i principianti.
In alternativa, questo viene gestito automaticamente se si utilizza un firewall per applicazioni web (WAF) come menzionato in precedenza.
Disconnetti automaticamente gli utenti inattivi in WordPress
Gli utenti connessi a volte possono allontanarsi dallo schermo, e questo rappresenta un rischio per la sicurezza. Qualcuno potrebbe dirottare la loro sessione, cambiare password o apportare modifiche al loro account.
Ecco perché molti siti bancari e finanziari disconnettono automaticamente un utente inattivo. È possibile impostare una funzionalità simile anche sul tuo sito WordPress.
Dovrai installare e attivare il plugin Inactive Logout. Dopo l'attivazione, visita la pagina Impostazioni » Inactive Logout per personalizzare le impostazioni di logout.
Imposta semplicemente la durata del tempo e aggiungi un messaggio di logout. Quindi, non dimenticare di fare clic sul pulsante 'Salva modifiche' in fondo alla pagina per memorizzare le tue impostazioni.
Per istruzioni dettagliate, consulta la nostra guida su come disconnettere automaticamente gli utenti inattivi in WordPress.
Aggiungi domande di sicurezza alla schermata di accesso di WordPress
Aggiungere una domanda di sicurezza alla schermata di accesso di WordPress rende ancora più difficile per qualcuno ottenere un accesso non autorizzato.
Puoi aggiungere domande di sicurezza installando il plugin Autenticazione a due fattori. Dopo l'attivazione, dovrai visitare la pagina Autenticazione multi-fattore » Due fattori per configurare le impostazioni del plugin.
Questo ti permetterà di aggiungere vari tipi di autenticazione a due fattori al tuo sito, comprese le domande di sicurezza.
Per istruzioni più dettagliate, consulta il nostro tutorial su come aggiungere domande di sicurezza alla schermata di accesso di WordPress.
Scansiona WordPress alla ricerca di malware e vulnerabilità
Se hai installato un plugin di sicurezza per WordPress, controllerà regolarmente la presenza di malware e segni di violazioni della sicurezza.
Tuttavia, se noti un calo improvviso del traffico sul sito web o dei posizionamenti nei motori di ricerca, potresti voler eseguire una scansione manuale del malware. Puoi farlo utilizzando il tuo plugin di sicurezza WordPress o uno dei migliori scanner di malware e sicurezza.
Eseguire queste scansioni online è piuttosto semplice. Devi solo inserire l'URL del tuo sito web e i loro crawler esamineranno il tuo sito alla ricerca di malware e codice dannoso noti.
Ora, tieni presente che la maggior parte degli scanner di sicurezza WordPress può solo avvisarti se il tuo sito contiene malware. Non possono rimuovere il malware o ripulire un sito WordPress hackerato.
Questo ci porta alla sezione successiva, la pulizia del malware e dei siti WordPress hackerati.
Ripara un sito WordPress compromesso
Molti utenti WordPress non si rendono conto dell'importanza dei backup e della sicurezza del sito web finché il loro sito non viene hackerato.
Gli hacker installano backdoor sui siti interessati e, se queste backdoor non vengono risolte correttamente, è probabile che il tuo sito web venga nuovamente hackerato.
Per gli utenti avventurosi e fai-da-te, abbiamo preparato una guida passo passo su come riparare un sito WordPress hackerato.
Tuttavia, la pulizia di un sito WordPress può essere molto difficile e richiedere molto tempo. Il nostro consiglio sarebbe di lasciare che un professionista se ne occupi.
Se stai pagando per utilizzare il plugin di sicurezza Sucuri che abbiamo menzionato in precedenza, la riparazione del sito compromesso è inclusa nel prezzo.
In alternativa, puoi consultare le nostre raccomandazioni delle migliori agenzie di supporto WordPress per trovare professionisti che possano riparare il tuo sito hackerato per te.
Domande frequenti sulla sicurezza di WordPress
Poiché la sicurezza di WordPress è così importante, ci vengono poste regolarmente domande al riguardo. Ecco le risposte alle domande frequenti su come proteggere i siti web WordPress dagli attacchi.
WordPress è sicuro da usare?
WordPress è progettato per essere sicuro, soprattutto se lo si mantiene regolarmente aggiornato. Tuttavia, poiché è così popolare, gli hacker prendono spesso di mira i siti web WordPress.
Non preoccuparti, però. Seguendo semplici consigli di sicurezza come quelli di questo articolo, puoi ridurre notevolmente le possibilità che qualcuno violi il tuo sito web.
Cosa può mettere a rischio il mio sito web WordPress?
Ci sono diversi modi in cui gli hacker cercano di accedere ai siti web. Alcune minacce comuni includono l'indovinamento delle password, l'installazione di software dannoso (malware) e la ricerca di vulnerabilità nel codice del tuo sito web per rubare informazioni o prenderne il controllo.
Ogni quanto dovrei aggiornare il mio sito web WordPress?
Mantenere aggiornato il tuo sito web WordPress, i temi e i plugin è molto importante. I nuovi aggiornamenti spesso includono correzioni per problemi di sicurezza. Prova a utilizzare gli aggiornamenti automatici o controlla gli aggiornamenti da solo almeno una volta alla settimana e installali rapidamente.
Ho bisogno di un plugin speciale per la sicurezza?
Non devi usare un plugin di sicurezza, ma possono rendere il tuo sito web molto più sicuro. I plugin di sicurezza agiscono come guardie aggiuntive per il tuo sito web, proteggendoti da hacker e malware.
Come faccio a sapere se qualcuno ha hackerato il mio sito web?
Se noti cose strane che accadono sul tuo sito web, potrebbe essere un segno che sei stato hackerato. Questo potrebbe includere la visualizzazione di nuovi utenti o file che non hai creato, il tuo sito web che reindirizza i visitatori verso siti web diversi, il tuo sito web che funziona lentamente o la ricezione di avvisi da Google o dal tuo provider di hosting web.
Cosa devo fare se il mio sito web viene hackerato?
Se pensi che il tuo sito web sia stato hackerato, non farti prendere dal panico, ma agisci rapidamente. Puoi contattare la tua società di hosting web e chiedere aiuto. Puoi anche utilizzare un plugin di sicurezza o chiedere a un esperto di sicurezza di ripulire il tuo sito web.
Se hai un backup del tuo sito web, ripristinalo da quel backup. Assicurati di cambiare tutte le tue password, comprese quelle per la tua area di amministrazione di WordPress, il database e FTP.
Speriamo che questo articolo ti abbia aiutato a conoscere le migliori pratiche per proteggere il tuo sito web e la nostra checklist di sicurezza WordPress consigliata. Potresti anche voler consultare il nostro elenco dei principali motivi per cui i siti WordPress vengono hackerati e le nostre scelte di esperti dei migliori plugin di sicurezza per WordPress.
Se ti è piaciuto questo articolo, iscriviti al nostro canale YouTube per tutorial video su WordPress. Puoi anche trovarci su Twitter e Facebook.
Leanne
Questo è uno dei migliori siti tutorial (su qualsiasi argomento) che abbia mai trovato. Grazie, consiglierò wpbeginner ad altri – sito fantastico!
Supporto WPBeginner
You’re welcome and glad you’ve found our content helpful
Amministratore
Daniel
Sai che ci sono persone che chiedono più di $50 o $100 per insegnarti come fare tutto questo, e tu l'hai dato gratis! Grazie mille ragazzi!
Supporto WPBeginner
You’re welcome
Amministratore
Power
Grazie per l'articolo, è davvero utile
Supporto WPBeginner
You’re welcome
Amministratore
Mydas
Questo è stato super utile. Ho le competenze di codifica per implementare tutto, e ora posso prendermi cura molto meglio delle installazioni WordPress mie e dei miei clienti. Grazie per le informazioni, è così completo che non riesco a credere che sia gratuito xD
Supporto WPBeginner
You’re welcome, glad our guide was helpful
Amministratore
Splendor Edesiri
Ho bisogno di una VPN per accedere al mio sito WordPress dal backend come parte della sicurezza del mio sito WordPress?
Supporto WPBeginner
No, non è richiesto
Amministratore
uzoma ichetaonye
Non credo che tu abbia bisogno di una VPN per accedere al tuo sito web tramite il suo backend.
Le VPN vengono utilizzate per mascherare o aiutare la tua identità o accedere a un sito che è stato bloccato dalla tua posizione.
Kam
Grazie per questo articolo. È una lettura essenziale!
Se hai un hosting come Bluehost, è essenziale avere un backup con un plugin come Updraft plus + archiviazione remota? Dopo tutto, i provider di hosting dovrebbero fornire il backup?
Supporto WPBeginner
Sebbene alcuni host offrano backup, consigliamo comunque di creare i propri backup per sicurezza
Amministratore
Kyle B.
Cambiare il prefisso del database non farà alcuna differenza. A parte questo, non è un brutto articolo.
Supporto WPBeginner
Thanks for sharing your opinion and glad you liked our article
Amministratore
kalmoa
solo per informazione, con Nginx non esiste un file di configurazione a livello di directory come .htaccess di Apache. Tutta la configurazione deve essere fatta a livello di server da un amministratore, e WordPress non può modificare la configurazione, come può fare con Apache. Quindi la parte su 'Disabilita esecuzione file PHP', non può essere completata da installazioni WordPress in esecuzione su Nginx. Questo include me stesso, che sto eseguendo la mia installazione WordPress su Vultr. La loro installazione WordPress con un clic viene distribuita su Nginx (ubuntu 18.04)
Supporto WPBeginner
Grazie per aver condiviso questo per gli utenti che utilizzano specificamente Nginx per il loro sito.
Amministratore
Tom
Qual è il metodo migliore per aggiornare i plugin se ne ho diversi che necessitano di aggiornamento? Aggiornare uno alla volta e vedere se il plugin aggiornato interrompe qualche funzionalità del sito web?
Supporto WPBeginner
Se sei preoccupato che un aggiornamento possa compromettere il tuo sito, ti consigliamo di testare l'aggiornamento seguendo la nostra guida su come creare un ambiente di staging qui sotto:
https://www.wpbeginner.com/wp-tutorials/how-to-create-staging-environment-for-a-wordpress-site/
Amministratore
Kartik Satija
Articolo incredibile, molto ben articolato e documentato.
Grazie mille a tutti per questo.
Più forza a voi, continuate così.
Saluti,
Kartik.
Supporto WPBeginner
Glad you found our guide helpful
Amministratore
MIMIFTAH
Contenuto molto informativo. Grazie
Supporto WPBeginner
You’re welcome
Amministratore
Liz
Ottimo articolo. Ho una domanda sulle opzioni di hardening. Ho letto che l'attivazione dell'hardening su tutte le opzioni può causare problemi ad alcuni plugin o al tema, facendoli smettere di funzionare correttamente. Se ciò accade, quanto è difficile risolverlo? Sembra che ci sia più di quanto si pensi, oltre al semplice ripristino dell'opzione di hardening. Qualsiasi suggerimento sarebbe molto apprezzato. Grazie!
Supporto WPBeginner
La difficoltà dipenderebbe dalla specifica raccomandazione di hardening, dal plugin e dal messaggio di errore in caso di problemi. Altrimenti, la maggior parte dei plugin non dovrebbe avere problemi
Amministratore
Gary Starling
Suggerimenti molto utili e ben spiegati dal basilare al complesso
Grazie per le tue spiegazioni
Supporto WPBeginner
You’re welcome, glad our article could be helpful
Amministratore
Andrei
Ciao ragazzi,
Dopo il primo tentativo di enumerazione utenti, un plugin di brute force bloccherà quell'indirizzo IP.
Se proteggi con password la directory wp-admin, il plugin non potrà più bloccare quell'IP.
È una valutazione corretta?
Supporto WPBeginner
Corretto, ci sarebbe un carico simile a quello di un IP bloccato, ma se hai bisogno che molti nuovi utenti accedano al tuo sito, limitare i tentativi di accesso sarebbe meglio che proteggere con password il tuo wp-admin
Amministratore
Andrei
Ok, ho finalmente capito come funziona e lo condivido qui per tutti. La protezione con password di wp-admin viene effettuata a livello di server (Apache/Nginx). Se un tentativo di enumerazione utenti o brute force non riesce a bypassare il livello del server, non sarà in grado di toccare PHP/MySQL. Pertanto, proteggere con password wp-admin non aggiunge carico al database.
Peter
Molto informativo e utile, ho configurato tutte le procedure di hardening che hai menzionato, grazie mille.
Supporto WPBeginner
You’re welcome, glad our guide was helpful
Amministratore
Aqib khan
Ti seguirò sempre. Ti amerò sempre e condividerò sempre contenuti così freschi e interessanti per farci sorridere. Grazie.
Supporto WPBeginner
Thank you, glad you’ve enjoyed our content
Amministratore
mahmoud
Adoro questo sito. Offrite informazioni preziose.
Sono un principiante e questo è utile.
Ma posso solo avere una password forte e disabilitare l'indicizzazione per fare la cosa?
Che dire di tutti questi plugin che penso influenzeranno la velocità del sito o non sono installati sul sito?
Supporto WPBeginner
Per quanto riguarda i plugin che rallentano il tuo sito, non dovresti preoccuparti, spieghiamo le nostre ragioni qui: https://www.wpbeginner.com/opinion/how-many-wordpress-plugins-should-you-install-on-your-site/
Amministratore
Krishna
Ciao Team WP Beginner,
Grazie per una spiegazione così concisa della sicurezza di WordPress. Questo articolo è stato molto utile e mi ha fatto conoscere il valore della sicurezza di WP per gli utenti e i proprietari di siti web.
GRAZIE ANCORA…
Supporto WPBeginner
You’re welcome, glad our article was helpful
Amministratore
Kushal
Ho usato tutti i plugin che hai menzionato: Sucuri, iThemes, WP Server e Jetpack. Quanti plugin posso usare sul mio sito web?
Supporto WPBeginner
Consiglieremmo di attenersi a un solo plugin per una funzionalità specifica, ma in generale quanti plugin usare dovresti dare un'occhiata al nostro articolo qui: https://www.wpbeginner.com/opinion/how-many-wordpress-plugins-should-you-install-on-your-site/
Amministratore
Leighann
Questo è stato MOLTO utile. Grazie per le informazioni e per avermi fatto risparmiare così tanto tempo!
Supporto WPBeginner
You’re welcome, glad our guide could be helpful
Amministratore
Dietrich
Ciao
Va bene usare Sucuri e Wordfence contemporaneamente? Ho installato Wordfence poiché la versione gratuita di Sucuri non ha una funzione firewall.
Supporto WPBeginner
Sconsigliamo l'uso di entrambi, più strumenti di sicurezza possono entrare in conflitto tra loro e causare problemi al tuo sito.
Amministratore
Yiannis Christodoulou
Articolo molto utile.
Grazie per averlo condiviso.
Supporto WPBeginner
You’re welcome, glad our article could help
Amministratore
Steve Schultz
Il tuo link al plugin gratuito Sucuri Security è interrotto... errore 404.
Supporto WPBeginner
Thanks for letting us know, the link should be fixed
Amministratore
Monty parihar
Ora il mio sito web è sicuro, dopo aver letto il tuo post abbiamo subito installato il plugin di sicurezza. Grazie WP Beginner.
Supporto WPBeginner
You’re welcome
Amministratore
Melvin Adame
Lettura incredibile! La sicurezza dovrebbe essere sempre la priorità numero 1 per ogni proprietario di sito web, per il loro bene e quello dei loro visitatori.
Supporto WPBeginner
Thank you, glad you like our content
Amministratore
Adil
Grazie per tutte queste informazioni!
Supporto WPBeginner
You’re welcome
Amministratore
Mark Bunner
Alcuni buoni consigli qui. Ne ho già usati molti; ma mi dà altre aree su cui riflettere.
Supporto WPBeginner
Thank you, glad you like our recommendations
Amministratore
Chukwuemeka Ebuka
Sono molto grato per questo articolo, tutti i ringraziamenti a wpbeginner.com.
Supporto WPBeginner
You’re welcome, glad our article could be helpful
Amministratore
Heidi
Great article, thanks! I think I’ve done most of these things now (except ones requiring coding). I did however have a problem setting a password for the admin folder. While I worked out how to do this in cPanel (under ‘directory privacy’), when I went back to my dashboard I found I was locked out. Then I spent over an hour on chat support with Bluehost only to discover what I suspected – that when you log in to WP from Bluehost it takes you straight to the admin area, so there is no opportunity to login to the admin folder, which means you just get locked out. Guess this is a problem with Bluehost and the only solution they gave me was install a plugin
Supporto WPBeginner
Se stai usando il loro link dalla dashboard di hosting per accedere al tuo sito, potrebbe essere vero, ma se aggiungi /wp-admin al tuo dominio, dovrebbe portarti alla pagina di accesso che richiederà l'accesso aggiuntivo.
Amministratore
Heidi
Ok, grazie mille, ci proverò.
Julian Song
Fantastico articolo sulla sicurezza. Configurare WordPress è facile, ma gestirlo richiede molto studio e ricerca. Il tuo blog aiuta la community più di quanto tu possa immaginare. Ho persino condiviso il tuo blog all'ultimo incontro WordPress come una delle migliori linee guida.
Supporto WPBeginner
Thank you for your kind words and sharing our articles
Amministratore
Malith
Grazie mille!
Supporto WPBeginner
You’re welcome, glad our guide could be helpful
Amministratore
Shiva Prasad
Grazie per essere stato un buon mentore e per avermi guidato sulla strada giusta. Ti sarò sempre grato.
Supporto WPBeginner
Glad our guides could help you
Amministratore
Majid
Ciao,
Sono nuovo di WordPress, sto usando Bluehost per ospitare il mio sito web, quando ho cliccato sul pulsante WordPress, mi ha portato automaticamente a cPanel, senza chiedere alcuna password, di quali password stiamo parlando?
P.S. nell'angolo in alto a destra vedo Ciao, il mio nome... significa che quello è il mio nome utente?
Non ricordo di aver installato WordPress su Bluehost, né ho inserito separatamente un nome utente o una password per WordPress.
Per favore, aiutami.
Supporto WPBeginner
Quello è lo strumento di BlueHost per semplificare la configurazione del tuo sito WordPress, il nostro articolo parla della password per il tuo sito WordPress. Puoi cambiare la password del tuo sito andando su Utenti > Il tuo profilo. Il nome accanto a Ciao dovrebbe essere il tuo nome utente.
Amministratore
Terence Vickers
Potresti avere un errore di battitura nella sezione XML-RPC che è un po' confusa.
Attualmente dice: “Questo è il motivo per cui se non stai usando XML-RPC, ti consigliamo di disabilitarlo.”
Se non lo usassi, probabilmente non ci sarebbe modo di disabilitarlo.
Supporto WPBeginner
Apologies for any confusion, with that statement we mean if you’re not using it for a specific plugin or other need then we would recommend disabling it rather than meaning if it is disabled to disable it. We’ll look into clarifying that
Amministratore
Syed Gallani
Capisco che mantenere WordPress aggiornato sia essenziale per la sicurezza, ma è davvero necessario, dal punto di vista della sicurezza, aggiornare tutti i plugin. In che modo i plugin obsoleti possono rendere il tuo sito web più vulnerabile agli attacchi?
Supporto WPBeginner
Dipenderebbe dal plugin su come potrebbe rendere il tuo sito vulnerabile, ma alcuni plugin potrebbero avere codice obsoleto per un problema appena scoperto con un pezzo di codice.
Amministratore
David Anozie
Un enorme grazie! Sei il capo.
Supporto WPBeginner
Thank you for being one of our readers
Amministratore
Nick
Bloccare i crawler dei motori di ricerca (tramite robots.txt) dall'indicizzare le directory aiuterebbe con la sicurezza?
Supporto WPBeginner
No, significherebbe solo che quei crawler di ricerca non guarderebbero il tuo sito.
Amministratore
寒星
È veramente utile per la manutenzione di WP. Lo adoro e vi ringrazio moltissimo.
Supporto WPBeginner
You’re welcome, glad our article was helpful
Amministratore
peg
sto imparando a mie spese! : ) sono così felice di averti trovato. ho un sito hackerato di 5 anni ospitato su godaddy (non riesco ad accedere all'admin per niente)... vogliono 300$ per risolverlo, quindi sto ricostruendo su bluehost e implementando i tuoi suggerimenti di sicurezza. non vedo l'ora di imparare molto di più! grazie mille per questa risorsa.
Supporto WPBeginner
You’re welcome, glad our guide can help
Amministratore
Jeff Moyer
Ottima lista completa, grazie! Limitare il numero di tentativi di accesso, trovo, è un punto importante poiché scoraggerà molti hacker fin dall'inizio. Potrebbe essere frustrante se perdi o dimentichi le password, ma ne vale comunque la pena.
Supporto WPBeginner
You’re welcome, glad you liked our article
Amministratore
Tanmay Kapse
Un post incredibilmente dettagliato!! Ogni singola cosa è descritta perfettamente. Continua così!
Supporto WPBeginner
Thank you, glad you liked our content
Amministratore
Sunny Chawla
Molto obbligato per la pagina di supporto per migliorare il mio sito
Supporto WPBeginner
Glad our guide could be helpful
Amministratore
Santhosh Naikar
A quali cose devo prestare attenzione quando è ospitato su una rete interna [ha accesso solo ai sistemi all'interno della rete del nostro ufficio]?
Supporto WPBeginner
La tua principale preoccupazione per una intranet sarebbe assicurarti che ogni utente abbia i privilegi corretti per il proprio ruolo, dopodiché si tratterebbe di proteggersi da attacchi brute force e simili.
Amministratore
steven suslick
Trovo questo e molti altri post molto utili. Ho una domanda relativa agli hack. Google Analytics sta segnalando pagine strane che in realtà non esistono nei miei post. Sembrano tutte avere un /?s= ad esempio /?s=dox. Non riesco a trovare la fonte, qualche suggerimento?
Supporto WPBeginner
Those pages are from users using the search on your site, for the second someone searched for the word dox
Amministratore
Emmanuel Ikechukwu
Questo è il miglior tutor online di WordPress che abbia mai incontrato finora.
Supporto WPBeginner
Glad our articles are helpful
Amministratore
Bobbie Camp
Ho trovato questo articolo molto utile. Sono molto nuovo e non "tecnologico" e ho bisogno di tutta l'assistenza possibile. Apprezzo le tue istruzioni facili da leggere.
Supporto WPBeginner
Glad our articles could help
Amministratore
Jemes
È molto utile. Grazie
Supporto WPBeginner
You’re welcome
Amministratore
NICHOLAS AMOL GOMES
Grazie per la pagina utile, migliora il mio sito
Supporto WPBeginner
You’re welcome
Amministratore
Brad Vincent
Ciao ragazzi,
Devo essere d'accordo con le tue menzioni di Sucuri: hanno risolto un paio di siti hackerati negli anni. Vale ogni centesimo!
Sto davvero apprezzando questi post estesi con tutte le informazioni di cui ho bisogno. Ho seguito il tuo post sulla velocità del sito e questo ha fatto una grande differenza per i miei siti. Dopo aver finito con quello, seguirò sicuramente questo.
Ottimo lavoro e molto apprezzato.
Supporto WPBeginner
Thank you, glad you find our articles helpful
Amministratore
Brian
Cosa ne pensi di Wordfence e Sucuri sulla stessa installazione di WP? Sembrano avere funzionalità simili, quindi mi chiedevo quanto di più ottengo con entrambi rispetto a un solo strumento di sicurezza. Wordfence è un'alternativa ragionevole?
Supporto WPBeginner
Consiglieremmo solo uno alla volta per evitare conflitti tra i plugin.
Amministratore
Mark
Uso Wordfence e Sucuri per funzioni diverse. Sebbene all'inizio possano sembrare concorrenti, in realtà sono complementari. Non ho avuto problemi a eseguirli entrambi... finora... ma ovviamente ci sono incompatibilità tra i plugin in generale.