Proteggere sito WordPress: fai impazzire gli hacker!

Per proteggere un sito WordPress è necessario adottare delle tecniche di difesa serrate e a prova di hacker. Ad oggi, a causa di falle nella sicurezza informatica, moltissime aziende e privati sono vittime di attacchi hacker che hanno lo scopo unico di rubare i loro dati o peggio ancora, distruggere il loro sito.

Perché?

Beh, magari per invidia, oppure perché non hanno niente di meglio da fare. Quindi vediamo come proteggere il lavoro di una vita. Infatti è possibile che siano anni che hai un sito web WordPress che ti sta portando traffico e soldi.

Potrebbe essere addirittura che il tuo sito è talmente importante che funge da reddito con cui riesci a vivere in maniera dignitosa. Capisco cosa si possa provare nel momento in cui rilevi che qualcuno ha tentato di hackerare il tuo sito. Immediatamente ti sale una rabbia incontrollabile e vorresti solamente denunciarlo alla polizia postale.

La maggior parte delle volte però, i veri esperti di hacking ci sanno fare. Questo significa che sanno esattamente come evitare di essere scoperti ed allo stesso tempo penetrare le tue difese iniettando dei codici malevoli.

Quindi è arrivato finalmente il momento di dire basta e di metterlo in quel posto a chi tenta di rovinarci il nostro lavoro, lavoro per cui abbiamo lottato ed investito ingenti risorse in termini di tempo e denaro.

Ora continua la lettura che diventerai cintura nera di cyber security per quanto riguarda il come proteggere un sito WordPress.

Difesa del sito WordPress: tutte le tecniche

Difesa del sito WordPress: tutte le tecniche

Per proteggere un sito WordPress dovrai adottare delle misure di sicurezza estreme. Non voglio dirti: “ma si tranquillo, metti un doppio fattore d’autenticazione ed il gioco è fatto”.

No. Non funziona così.

Proteggere un sito WordPress significa difendere il tuo negozio in centro città. Ti limiteresti a chiudere la porta, oppure gireresti la chiave, abbasseresti la saracinesca e chiameresti la vigilanza privata notturna?

Credo che se il tuo sito web WordPress ha del valore, allora sarai disposto ad adottare qualsiasi tecnica e strategia pur di difenderlo.

Quindi vediamo subito in ordine logico e di difficoltà, quali sono le misure base da adottare per poi addentrarci in quelle più avanzate. Ovviamente ti consiglio CALDAMENTE di adottarle tutte.

Iniziamo!

1. Mantieni aggiornato il tuo sito WordPress

Quando dico “mantieni aggiornato”, non intendo solamente la tua versione di WordPress. Intendo proprio TUTTO. Quindi sia i plugin che i temi. Gli aggiornamenti di questi solitamente vengono realizzati dagli sviluppatori proprietari in quanto il plugin o tema in questione presenta dei bug, oppure sono state rilevate falle nella sicurezza. Ovviamente gli hacker ogni giorno trovano diversi sistemi d’attacco, per cui noi dobbiamo adottare nuovi sistemi di difesa.

2. Elimina il superfluo

Sia per una questione di performance dell’hosting, sia per la protezione del sito WordPress è necessario ELIMINARE tutti i plugin ed i temi inutilizzati. Solitamente, quando gli hacker trovano un modo per entrare nel nostro sito, iniettano dei codici malevoli in posti dove noi non andremo mai a guardare. Se in questo momento ho 10 temi installati e per ovvie ragioni solamente uno è attivo, gli altri 9 potenzialmente sono nascondigli dove l’hacker potrebbe iniettare del codice infetto. D’altra parte, chi mai ci andrebbe a guardare?

3. Installa temi e plugin affidabili

Per proteggere un sito WordPress è necessario affidarsi a sviluppatori seri e professionali. Non ha senso comprare un tema da 20$ per risparmiare e poi ti ritrovi con mille falle nella sicurezza. Sulla sicurezza non si risparmia, mai. Quindi acquista per il tuo sito dei temi premium e fidati degli sviluppatori. I migliori temi che puoi comprare sono solitamente quelli che vengono utilizzati maggiormente. Infatti gli sviluppatori per assicurarsi di continuare a vendere il loro tema, molto frequentemente rilasceranno degli aggiornamenti per garantire il servizio. Se invece compri un tema che è stato acquistato solamente da 20 persone, lo sviluppatore non ricavandoci niente abbandonerà il progetto e sarai esposto a falle nella sicurezza. Questo discorso ovviamente vale anche per tutti i plugin.

4. Utilizza il protocollo SSL

Il protocollo SSL è fondamentale sia per quanto riguarda la SEO che per la sicurezza vera e propria del tuo sito web. Infatti consiste in un sistema di criptazione dei dati, per cui le informazioni vengono mascherate e mai mostrate in chiaro. I tuoi utenti ne trarranno benefici in termini di sicurezza e tu stesso dormirai più tranquillo la notte. Puoi installarlo gratuitamente tramite dei plugin per WordPress oppure controlla sul tuo hosting: molto probabilmente al momento del pagamento del servizio era compreso e ti sei dimenticato di installarlo.

5. Blocca qualsiasi forma di SPAM

Lo SPAM penalizza un sito web e soprattutto è una grande rottura di scatole andare ogni volta ad eliminare i commenti. A tal proposito ti consiglio questo plugin: Antispam BEE. Grazie a questo codice potrai settare delle impostazioni che impediscono ai bot di commentare i tuoi articoli. Di conseguenza non sarai pieno di spam e darai una buona impressione agli occhi di Google e dei tuoi visitatori.

Bene, ora abbiamo visto i metodi basic per proteggere un sito WordPress. Passiamo a quelle avanzate: adesso ci divertiamo!

Difese avanzate contro gli hacker: proteggiamo WordPress!

Difese avanzate contro gli hacker: proteggiamo WordPress!

Ora inizia il vero divertimento: li faremo impazzire. Dal canto mio, le probabilità che tutti i sistemi di difesa del sito WordPress vengano manomessi sono praticamente pari a zero.

Perché? Beh, non sarò esperto di sicurezza informatica, ma nel web e soprattutto in WordPress mi so destreggiare molto bene.

Per cui apri bene gli occhi e leggi cosa stiamo per fare!

1. Difendere la directory wp-admin.php

Difendere la directory wp-admin.php è fondamentale per evitare di essere hackerati. Questa directory è praticamente il core di WordPress in quanto gestisce il pannello d’amministrazione con tutti i vari privilegi ad essa connessi.

Quindi, cosa c’è da fare?

1.1 Accedi al cPanel del tuo hosting

Una volta che avrai effettuato il login al cPanel del tuo hosting, recati sulla sezione “protezione directory con password“.

Accesso cPanel

Subito dopo, ti ritroverai qui

protezione directory

Ora, seleziona la directory wp-admin.

Per trovarla segui il percorso: public.html > wp.admin.php

Una volta selezionata, inserisci il tuo nome utente e password. Quando avrai effettuato questo procedimento, riceverai questo risultato ogni volta che qualcuno proverà ad accedere al tuo pannello di login di WordPress.

Solitamente il login si trova a www.tuosito.com/wp-admin

protezione directory wordpress

Come puoi vedere, viene aggiunto un livello di sicurezza dove viene richiesto un nome utente ed una password.

Se non ce l’hai, NEANCHE TI FACCIO ARRIVARE A PROVARE AD INSERIRE EMAIL E PASSWORD A CASO NEL PANNELLO D’AMMINISTRAZIONE.

Forte, vero?

2. Difendere la password di login

La password del pannello di login è quella cosa che ci salva dall’essere aperti come un cocomero o restare chiusi come l’esercito romano quando creava la formazione a testuggine, detta in latino “testudo”.

Quindi, non scegliere password ovvie. Non mettere il tuo nome, data di nascita, luogo di residenza e cose simili.

Piuttosto cerca dei siti di generatori di password e criptale con dei linguaggi di codifica.

Ti assicuro che farai perdere i capelli a chiunque provi ad entrare.

3. Abilita il two factor authentication

Questo è il nostro ultimo baluardo. Se cade, il sito è preso. Quindi massima serietà in questo passaggio. Quello che bisogna fare è scaricare il plugin Google Authenticator.

Una volta configurato, dall’applicazione di Google sul tuo telefono riceverai degli OTP dinamici che cambieranno molto velocemente. Per cui quando farai l’accesso al tuo sito web dovrai controllare l’OTP ed inserirlo.

Cerchiamo ad ogni modo di fare bene i passaggi sopraindicati piuttosto che riporre le nostre speranze sulla doppia autenticazione. Ricordo che se arrivano a questo punto siamo abbastanza messi male in quanto sono riusciti a superare le nostre difese ma a mio avviso, la vedo dura.

4. Abilita le funzioni avanzate di Wordfence

Wordfence è un plugin talmente potente che una volta mi sono auto-bannato dal sito. Dico sul serio. Ero alle prime armi e volevo testare se la sicurezza funzionasse, ebbene si, funzionava eccome!

Per cui ecco alcuni accorgimenti che devi fare in fase di impostazione del plugin:

  1. Nascondi la versione di WordPress;
  2. attiva il firewall;
  3. blocca chiunque faccia più di 60 richieste per minuto;
  4. blocca chiunque accede da indirizzi IP NON italiani;
  5. blocca chiunque accede a più di 30 pagine 404 per minuto;
  6. blocca chiunque accede inserendo i nomi utenti “admin, demo, superadmin, etc”;
  7. blocca per due mesi (il massimo disponibile) chi sbaglia 5 volte l’username;
  8. blocca per due mesi chiunque sbaglia 5 volte la password;

Ti basta? Se vuoi posso continuare 🙂

Considerazioni sulla protezione di WordPress

Come hai ben potuto vedere da questo articolo, i nostri sistemi di protezione sito WordPress si aiutano l’un l’altro ed intervengono in ordine logico una volta che uno di questi viene superato.

Ovviamente ci tengo a ribadire che questi sistemi NON GARANTISCONO l’invulnerabilità del tuo sito web. Piuttosto rendono una vita molto dura a chiunque provi a fare lo stronz*.

Quindi quello che ti consiglio è di seguire esattamente quello che ti ho scritto sopra e renderai il tuo sito web una vera e propria fortezza.

Best practice per difendere un sito WordPress

Best practice per difendere sito WordPress

Partiamo dal presupposto che i primi responsabili della sicurezza del nostro sito WordPress siamo noi, ecco una serie di accorgimenti utili da attuare:

  1. Non condividere nome utente e password con nessuno;
  2. se un’agenzia deve risolvere dei problemi nel tuo sito, revoca immediatamente gli accessi appena hanno finito;
  3. non salvare le tue password per intero su dei block notes o servizi di cloud. Piuttosto se la password è “SonoFigoSonoBelloSonoFotomodello” io la ripoterei in promemoria come: S-F-S-B-S-F. Così ogni volta che leggerai le iniziali ti ricorderai la parola e chiunque altro la leggerà non ci capirà assolutamente niente;
  4. scollega tutte le sessioni dal tuo WordPress se vedi qualcosa di strano e controlla le tue password;
  5. tieni traccia del log del login del tuo sito per vedere quali indirizzi IP tentano di fare l’accesso;
  6. contatta un’azienda specializzata in sicurezza informatica o il tuo hosting se vedi dei problemi insuperabili.

Riassunto della strategia difensiva

Una volta che avrai impostato in maniera corretta le opzioni di sicurezza, avrai le seguenti sentinelle:

  1. L’URL wp-admin è protetto da una password ed username. Al 99% non riusciranno ad andare oltre.
  2. La directory ha ceduto, siamo davanti al pannello di login. L’hacker ha a disposizione solamente 5 tentativi per entrare. Al quinto errore viene bannato.
  3. L’hacker scopre la password ed entra in gioco il doppio fattore d’autenticazione. A quel punto dovrà trovare un modo di avere il codice. Se lo trova, ha vinto.

Ora, razionalmente e statisticamente parlando: quante probabilità ci sono che riesca a superare tutte le nostre barriere? Lascio a te la risposta.

Ps: questa strategia è stata ideata dal me medesimo, quindi ricordati di citarmi se la condividerai 🙂

Cosa fare se il nostro sito web viene hackerato

Con queste opzioni di sicurezza la vedo molto dura che qualcuno possa entrare nel nostro WordPress. Però magari stiamo combattendo contro dei cyber criminali e vogliamo essere preparati, no?

1. Tenere a portata di click un back-up del sito

Come prima cosa dobbiamo giocare d’anticipo. Quello che ti consiglio in primis è di effettuare dei backup del tuo sito in maniera costante e programmata nel tempo. Questo significa che ad esempio ogni Lunedì effettui un backup sia del database che dei file di WordPress attraverso il cPanel.

Così facendo, nel momento in cui di Lunedì hai fatto il backup e di Martedì noti che un indirizzo IP estraneo è entrato nel tuo sito web e potenzialmente ha iniettato del codice malevolo, non ti resterà altro da fare se non ripristinare il backup.

2. Cercare il file infetto

Solitamente questi file vengono posizionati in temi o plugin che non sono utilizzati, però installati all’interno del nostro sito. Quindi inizierei subito ad eliminarli.

Inoltre ti consiglio di guardare questi file:

  1. Caricamenti dei media;
  2. wp-config.php;
  3. wp-includes.

Per trovare il file incriminato dovresti comparare la versione originale di WordPress con quella attuale. Se dalla scansione risulta che ci sono delle differenze significative tra il WordPress originale ed il tuo, allora significa che 1 o + file dannosi sono presenti nel tuo sito.

3. Guarda la data delle modifiche

Supponiamo che non installi dei nuovi plugin dal 1 Gennaio 2022. Il giorno 1 Marzo 2022 apri i file del tuo sito web e vedi che tutti i plugin mostrano l’ultima data di modifica il 1 Gennaio 2022, tranne uno. Magari questo file potrebbe essere innocuo dal suo nome, però vedi che è stato modificato/installato in data 1 Febbraio 2022, strano no? Ecco, molto probabilmente è stata creata una backdoor dove l’hacker entra ed esce dal tuo sito senza lasciare tracce. Ovviamente in quel caso va rimosso il plugin e qualsiasi altro file potenzialmente infetto.

Potrebbe interessarti anche: Problemi indicizzazione Google

Conclusioni

In questo articolo abbiamo visto in che modo proteggere un sito WordPress. Mi auguro caldamente che ti sia stato d’aiuto.

Ricordati di dare un’occhiata ai miei servizi oppure scarica una delle mie guide, posso aiutarti con il tuo business online!

Lorenzo Mariani
Lorenzo Marianihttp://lorenzomariani.site
Sono Lorenzo Mariani, laureato in Psicologia. Dal 2018 mi occupo di online marketing e di investimenti. Grazie alla mia esperienza fornisco indicazioni e consigli utili a risolvere i problemi più comuni legati a queste attività. Ho a cuore il tempo che i miei lettori dedicano a leggere i miei articoli, pertanto dedico sempre il massimo sforzo e professionalità.

Hai bisogno di aiuto?

Guarda i miei servizi

LASCIA UN COMMENTO

Per favore inserisci il tuo commento!
Per favore inserisci il tuo nome qui