WordPress Security per principianti

Che tu stia lanciando un sito aziendale, un negozio online o un blog che parla di hobby, WordPress offre flessibilità, facilità d’uso e funzionalità avanzate che contribuiranno a fargli avere un successo strepitoso.

Prima di essere pronto per andare live, però, dedica qualche minuto a pensare alla sicurezza. Proteggi il più possibile il tuo sito per tenerlo al sicuro dagli hacker e per farlo lavorare per i fan e i clienti in ogni momento.

Perché la sicurezza è importante?

Il tuo sito web dice ai visitatori chi sei, che tipo di contenuti e servizi offri e cosa possono aspettarsi dal tuo marchio. È il luogo dove fare un’ottima prima impressione, creare fiducia e fidelizzare i fan esistenti.

Ecco perché è così importante assicurarsi che il sito web sia sempre attivo e funzionante. Se improvvisamente vengono inclusi link a malware, però, inizia a funzionare molto lentamente dopo un attacco o va del tutto offline. Ciò avrà un impatto negativo sulla tua reputazione.

Se il tuo sito viene violato, potresti perdere denaro a causa della diminuzione delle visualizzazioni, delle vendite o delle impressioni derivate dagli annunci. Potrebbero presentarsi dei costi per ripristinarlo e farlo tornare in buone condizioni. Potresti anche perdere posizionamenti sui motori di ricerca, a volte in modo permanente. Quindi, per risparmiare denaro (e salvare la faccia!), assicurati che il tuo sito web sia chiuso e sicuro.

Come vengono violati i siti web WordPress?

Google ha recentemente pubblicato un elenco dei principali modi in cui gli hacker accedono ai siti web. Diamo un’occhiata ad alcuni nel dettaglio: 

Password compromesse

Gli attacchi di forza bruta sono uno dei modi più comuni con cui gli hacker si muovono furtivamente in un sito. Usano i bot per provare diversi nomi utente e password, migliaia di combinazioni al secondo, finché non trovano quelli giusti.

Plugin e temi non sicuri

Le vulnerabilità riscontrate nei plugin e nei temi sono un modo relativamente semplice per gli utenti malintenzionati di introdursi. Gli sviluppatori di temi di alta qualità rilasciano patch per tali vulnerabilità con aggiornamenti regolari, ma non tutti gli utenti di WordPress aggiornano frequentemente il proprio sito. Inoltre, le versioni gratuite e nulled di plugin e temi premium spesso hanno backdoor incorporate nel loro codice: punti di accesso che consentono agli hacker di accedere da remoto al tuo sito e fare tutto ciò che vogliono.

Politiche di sicurezza deboli

Pratiche relative alla sicurezza scadenti, come il fatto di dare accesso al sito a persone che non ne hanno bisogno o consentire password non sicure, rendono più facile per le persone accedere al tuo sito web. 

Perché qualcuno dovrebbe violare un sito web?

  1. Vuole rubare soldi. Potrebbe voler raccogliere informazioni sulla carta di credito dei clienti o indirizzare i visitatori a siti web dannosi progettati per truffare le persone.
  2. Vuole acquisire informazioni. Potrebbe vendere dati personali a terzi o trattenere informazioni in cambio di denaro.
  3. Vuole far diventare inattivo il tuo sito. Questo avviene di solito per un motivo personale e raramente è una minaccia per il comune proprietario di un sito web.
  4. Vuole vandalizzare il tuo sito. Ancora una volta, questo è solitamente personale. L’hacker potrebbe deturpare il sito web di qualcuno con cui non è d’accordo come atto dimostrativo.
  5. Vuole attaccare qualcun altro. Gli aggressori possono usare il tuo sito web per diffondere malware o ransomware su Internet o utilizzare il tuo server web per attaccare in modo dannoso qualcun altro.
  6. Vuole imparare. Gli hacker devono esercitarsi in qualche modo, giusto? Potrebbero usare il tuo sito web come campo di allenamento per obiettivi più grandi e redditizi in futuro.

Come proteggere il tuo sito WordPress

1. Scegliere un fornitore di hosting di qualità

La tua società di hosting è il tuo partner per la sicurezza: è importante sceglierne una con una buona reputazione. Ottieni ciò per cui paghi e molti fornitori di hosting, che offrono sconti, non mettono in atto solide pratiche di sicurezza.

Come sapere, però, quale scegliere? Ecco alcune indicazioni di un fornitore del servizio di hosting sicuro:

  • Backup regolari, inclusi nel tuo piano o per commissioni aggiuntive.
  • Certificati SSL, che proteggono i dati dei visitatori del tuo sito.
  • Assistenza 24 ore su 24, 7 giorni su 7, nel caso in cui il tuo sito venga violato.
  • Un firewall integrato, che protegge i file e il database sul tuo server.
  • Scansioni di sicurezza che ti avviseranno di codice sospetto e attività sul tuo sito.
  • Una buona reputazione. Recensioni e consigli sono spesso il modo migliore per determinare la qualità di un fornitore di hosting.

Inoltre ricorda: un’azienda con buone conoscenze e una forte sicurezza vale tutti i costi aggiuntivi. Per iniziare, ecco un elenco di fornitori di hosting WordPress consigliati.

2. Mantenere il software aggiornato

Il modo numero uno per proteggere il tuo sito web è aggiornare regolarmente il tuo software: WordPress, temi e plugin. I nuovi rilasci spesso applicano patch alle vulnerabilità della sicurezza, quindi prima viene eseguito un aggiornamento, meglio è.

Puoi anche minimizzare i rischi per la sicurezza di WordPress scegliendo plugin affidabili che siano stabili e soddisfino più di un’esigenza alla volta. Ad esempio, Jetpack Security offre un’intera suite di strumenti di sicurezza di WordPress integrati nel singolo plugin Jetpack. Quindi puoi anche beneficiare di funzionalità aggiuntive senza installare dozzine di plugin e aumentare il rischio di un attacco al tuo sito.

3. Creare nomi utente e password sicuri

Fai in modo che gli hacker continuino a tirare a indovinare scegliendo un nome utente univoco e una password sicura. Usa almeno 20 caratteri, una lettera maiuscola, una lettera minuscola, un numero e un simbolo. 

Se stai creando un sito con utenti aggiuntivi, assicurati di impostare le autorizzazioni corrette per ciascuno di essi. Ad esempio, potresti non volere che il tuo nuovo stagista abbia accesso ai file principali o ad altri dati importanti. Ecco un fantastico articolo sulle autorizzazioni utente per WooCommerce, ma gran parte di quanto scritto qui si applica a qualsiasi tipo di sito. 

Inoltre, se crei un account per una terza parte, come uno sviluppatore, un’agenzia di marketing o un tecnico del supporto, assicurati di rimuovere l’accesso una volta completato il lavoro.

4. Impostare i backup esternamente‑

I backup sono fondamentali per proteggere i contenuti, il duro lavoro e i dati di clienti o visitatori. Indipendentemente dal problema con il tuo sito, avere un backup completo a portata di mano significa poter riprendere rapidamente a lavorare. 

È però importante scegliere il giusto tipo di backup. Ad esempio, assicurati che i tuoi backup siano archiviati esternamente, nel cloud anziché sul tuo server. Ciò significa che, anche se perdi l’accesso al tuo sito o il tuo server è compromesso, puoi comunque ripristinare una versione pulita.

È qui che Jetpack Backup dà il meglio. Non solo archivia tutti i backup sugli stessi server sicuri che usa per il proprio sito, ma conserva anche più backup crittografati per un ulteriore livello di protezione. 

Ripristino di Jetpack Backup

Inoltre, puoi scegliere tra due opzioni: in tempo reale e giornalieri. 

I backup in tempo reale sono la scelta migliore per negozi online, forum di membership o siti web regolarmente aggiornati. Jetpack salva una copia del tuo sito ogni volta che viene apportata una modifica: viene effettuata una vendita, viene aggiornata una pagina o viene aggiunto un commento. In questo modo non perderai una singola offerta o informazione, qualunque cosa accada.

I backup giornalieri sono ideali per i siti statici che non vengono aggiornati frequentemente. Jetpack salva i file e il database una volta al giorno, anziché quando vengono apportate modifiche.

La parte migliore? È semplicissimo da impostare: non c’è bisogno di complicate configurazioni del server. Basta seguire alcuni semplici passaggi e contattare l’impareggiabile team del supporto clienti di Jetpack se hai bisogno di assistenza.

Puoi usare il miglior plugin di backup di WordPress come strumento autonomo o come parte della suite di sicurezza completa.

5. Aggiungere protezione contro gli attacchi di forza bruta

Gli attacchi di forza bruta si verificano quando gli hacker usano i bot per indovinare migliaia di combinazioni di nome utente/password al secondo fino a quando non ottengono finalmente l’accesso al tuo sito. Questi attacchi non solo mettono a rischio le informazioni del tuo sito, ma possono anche rallentare tutto sovraccaricando il tuo server. 

Mentre le informazioni di accesso sicure sono certamente di aiuto, la migliore prevenzione è uno strumento che li sul loro percorso. La funzionalità di protezione dagli attacchi di forza bruta gratuita di Jetpack blocca gli indirizzi IP sospetti prima ancora che arrivino al tuo sito. 

il numero di attacchi dannosi bloccati su un sito: 14.989

L’impostazione non potrebbe essere più semplice: tutto ciò che devi fare è attivare la funzionalità. Puoi visualizzare il numero di attacchi bloccati direttamente dalla bacheca. Suggerimento: la media è 5.193.

6. Cercare malware

Se un hacker riesce ad accedere, devi saperlo subito in modo da poter risolvere i problemi. Dopotutto, più a lungo il tuo sito è inattivo o non sicuro, maggiore è il danno alla tua reputazione e ai dati. 

Jetpack Scan, però, cerca in modo automatico nel tuo sito malware, malintenzionati e attività sospette, avvisandoti immediatamente se viene trovato qualcosa. Puoi persino correggere la maggior parte degli attacchi noti con un solo clic, risparmiando tempo e denaro. 

scansione antimalware in esecuzione su un sito web

Non dovrai nemmeno perdere tempo a decifrare un linguaggio tecnico complicato: la bacheca di Jetpack Scan spiega tutto con parole facili e ti guida attraverso ogni passaggio necessario. Puoi semplicemente impostarlo e dimenticarlo, rilassandoti sapendo che il tuo sito web viene monitorato 24 ore su 24, 7 giorni su 7. 

Scopri di più sul nostro strumento di scansione antimalware di WordPress.

7. Implementare il monitoraggio dei tempi di inattività

Che sia il risultato di un attacco dannoso o di un semplice errore, se il tuo sito web non funziona, devi agire immediatamente. Non hai però tempo per ricaricare il tuo sito tutto il giorno per assicurarti che funzioni.

notifica dei tempi di inattività da Jetpack

Lo strumento di monitoraggio dei tempi di inattività del team del supporto clienti di Jetpack controlla il tuo sito 24 ore su 24, 7 giorni su 7 e ti avvisa se questo smette di rispondere. Puoi quindi usare il log attività per determinare esattamente quale è stato il problema e quando si è verificato, in modo da poter rispondere in modo appropriato e tornare operativo in pochi minuti, non ore o giorni.

8. Eliminare plugin e temi inutilizzati

Più temi e plugin hai installato sul tuo sito, più opportunità ci sono per un hacker di trarne vantaggio. Sebbene i plugin siano un ottimo modo per aggiungere ulteriori funzionalità, fai un po’ di pulizia e rimuovi quelli che non stai più usando.

A parte un tema predefinito su cui puoi ripiegare durante la risoluzione degli errori del sito, non è necessario archiviare temi aggiuntivi. 

Bonus: eliminarli può anche migliorare la velocità del tuo sito.

9. Attivare l’autenticazione a due fattori per gli amministratori

L’autenticazione a due fattori è un modo estremamente efficace per proteggere la tua pagina di accesso perché richiede che un hacker abbia sia la tua password che un elemento fisico, una combinazione improbabile. Quando un amministratore accede al tuo sito, dovrà inserire un codice monouso che viene inviato al suo telefono.

Jetpack offre questa funzionalità gratuitamente, fornendo un modo semplice per compiere un ulteriore passo avanti rispetto alle password complesse. Hai più utenti? Richiedi l’autenticazione a due fattori in modo semplice per tutti loro.

10. Impostare un firewall WordPress

Un firewall WordPress monitora tutto il traffico in arrivo al tuo sito, fungendo da barriera contro gli hacker. Mentre un buon piano di hosting include un firewall che protegge il tuo server, ti consigliamo anche di installarne uno specifico per WordPress. 

Un buon plugin firewall ha un database di informazioni sugli utenti malintenzionati (indirizzi IP sospetti, bot dannosi e traffico che sembra semplicemente “inattivo”) e li blocca prima che possano attaccare il tuo sito web. Puoi vedere alcune delle opzioni più popolari nel repository dei plugin di WordPress.

11. Controllare l’attività del sito

Quando hai un log che riporta tutto ciò che accade sul tuo sito web, puoi facilmente esaminarlo e identificare qualsiasi attività sospetta. Inoltre, se il tuo sito viene violato, puoi anche identificare il momento in cui ciò si è verificato, sapere quali azioni sono state intraprese e scoprire quali account sono stati compromessi molto più facilmente.

attività avvenuta su un sito web

Il log attività per WordPress di Jetpack tiene traccia di tutte le principali modifiche che vengono effettuate, dai tentativi di accesso e dalle pagine pubblicate ai plugin eliminati, ai temi aggiornati e alle impostazioni cambiate. Per ogni evento, puoi vedere data e ora, l’utente che ha apportato la modifica e una descrizione di ciò che ha fatto. Puoi quindi usare queste informazioni per risolvere i problemi o ripristinare un backup del momento immediatamente precedente a quello in cui si è verificato un problema. 

Cosa accade se il mio sito WordPress non è sicuro?

La maggior parte degli aggressori non prende di mira te in modo specifico, sta solo cercando il sito più semplice a cui accedere. Quindi, se il tuo sito WordPress non è protetto in modo appropriato, è più probabile che tu sia vittima di un attacco. In definitiva, questo potrebbe portare a:

  • Una reputazione danneggiata. Se sul tuo sito vengono visualizzati avvisi di sicurezza, se non funziona o reindirizza a un sito web sospetto, non farà una buona impressione ai visitatori del sito. Potrebbero perdere fiducia nel tuo blog o nella tua attività, facendoti perdere vendite o entrate dagli annunci.
  • Dati dei clienti rubati. Se un hacker accede al tuo negozio di eCommerce, potrebbe raccogliere informazioni personali che può utilizzare lui stesso o vendere a terzi.
  • File del sito web danneggiati. Potresti perdere una parte o l’intero sito web, potenzialmente anni di duro lavoro.
  • Rimozione dai risultati di ricerca. Se il tuo sito è stato violato, potrebbe essere inserito nell’elenco degli elementi da bloccare di Google e rimosso completamente dai risultati di ricerca.
  • Traffico del sito perso. Tra riposizionamenti dei motori di ricerca inferiori (o inesistenti) e persone che non vorranno visitare un sito in cui è presente un avviso di sicurezza, il traffico del tuo sito potrebbe diminuire in modo significativo.
  • Entrate derivate dagli annunci pubblicitari ridotte. Le reti pubblicitarie non vogliono che gli annunci dei loro clienti vengano eseguiti su siti non sicuri. Quindi, se il tuo sito viene violato, potrebbe essere rimosso dalle reti pubblicitarie e potresti essere completamente escluso, riducendo o eliminando le tue entrate dagli annunci. Anche se non viene rimosso, il traffico ridotto influirà negativamente sui clic sugli annunci.

Come faccio a sapere se il mio sito WordPress è stato violato?

A volte può essere difficile sapere se il tuo sito web è stato violato o se si sta riscontrando qualche altro tipo di problema. Tuttavia, di seguito ti proponiamo alcune indicazioni relative a un attacco del sito:

  • Sul tuo sito web viene visualizzato un avviso di sicurezza quando carichi il tuo URL.
  • Il tuo plugin di sicurezza segnala un problema.
  • Il tuo fornitore di hosting ti invia un’e-mail in merito a un problema.
  • Il tuo sito web reindirizza da qualche altra parte e tu non hai creato quel reindirizzamento.
  • Vedi strane righe di codice nelle pagine del tuo sito.
  • Il tuo sito è completamente inattivo, anche se ciò potrebbe anche essere dovuto ad altre cause.
  • Gli annunci sul tuo sito reindirizzano a siti web sospetti.
  • Il tuo sito si carica improvvisamente molto lentamente o ha uno strano comportamento in altri modi.

Cosa devo fare se il mio sito WordPress viene violato?

Se il tuo sito WordPress viene violato, esistono alcuni passaggi che puoi eseguire per risolvere il problema e recuperare file e database:

  1. Determina cosa è successo. Se stai usando Jetpack, dai un’occhiata al log attività per vedere chi ha effettuato l’accesso, quando e cosa è stato modificato. Questo può aiutarti a identificare gli account compromessi e a capire quali file sono interessati.
  2. Esegui una scansione antimalware. Usa uno strumento come Jetpack Scan per cercare nei file del tuo sito web malware o altri segni di un attacco. Se usi lo strumento di scansione antimalware per WordPress di Jetpack, puoi anche risolvere la maggior parte dei problemi con un clic.
  3. Ripristina un backup. Se esegui backup regolari del tuo sito web, ripristinane uno al momento antecedente l’attacco. Se stai utilizzando Jetpack Backup, i tuoi file vengono archiviati separatamente dal tuo server, quindi non dovrebbero essere compromessi.
  4. Reimposta tutte le password ed elimina gli utenti sospetti. Reimposta tutte le password per il tuo sito WordPress e per il fornitore del servizio di hosting. Se vedi account utente sospetti che non hai creato, eliminali.
  5. Assumi un esperto di sicurezza di siti web. Se non sei in grado di rimuovere il malware da solo o vuoi semplicemente essere certo che il tuo sito sia sicuro, prendi in considerazione l’assunzione di un esperto di sicurezza da un servizio come Codeable.
  6. Aggiorna i tuoi plugin, temi e versione di WordPress. Ciò contribuirà a proteggere eventuali vulnerabilità di cui l’hacker potrebbe aver approfittato.
  7. Invia nuovamente il tuo sito a Google. Se il tuo sito è stato inserito nell’elenco degli elementi da bloccare, usa Google Search Console per richiedere una revisione e rimuoverlo dall’elenco. 

Per maggiori dettagli, leggi la nostra guida che spiega cosa fare se il tuo sito viene violato.

Pronto per il lancio

Proteggere il tuo lavoro proteggendolo in modo corretto con WordPress fin dall’inizio, imposta il tuo sito per condurlo al successo e lo aiuta a funzionare in modo sicuro ed efficiente per gli anni a venire. Ricorda, prevenire gli attacchi del sito è molto più semplice che risolverli dopo che si sono verificati.

Con il pacchetto Jetpack Security, puoi controllare la maggior parte degli elementi in questo elenco in pochi minuti, senza bisogno di uno sviluppatore o di una impostazione complicata. 

Inizia con il miglior plugin di sicurezza per WordPress.

Questa voce è stata pubblicata in Sicurezza. Contrassegna il permalink.

Rob Pugh profile
Rob Pugh

Rob is the Marketing Lead for Jetpack. He has worked in marketing and product development for more than 15 years, primarily at Jetpack, Mailchimp, and UPS. Since receiving a Master of Science in Marketing Degree from Johns Hopkins University, he’s focused on delivering products that delight people and solve real problems.

Esplora i vantaggio di Jetpack

Scopri come Jetpack può aiutarti a proteggere, velocizzare e far crescere il tuo sito WordPress.

Sconto del 20 per il primo anno.

Confronta i piani

Hai una domanda?

I commenti sono chiusi per questo articolo, ma siamo ancora qui per aiutarti. Visita il forum di supporto e saremo felici di rispondere a qualsiasi domanda.

Visualizza il forum di supporto
  • Inserisci il tuo indirizzo e-mail per seguire questo blog e ricevere notizie e aggiornamenti da Jetpack.

    Unisciti ad altri 61 follower
  • Naviga per argomento