Proteggiamo il nostro sito in WordPress dagli hacker
WordPress è un bersaglio amatissimo dagli hacker e dalle persone che hanno interesse a prelevare informazioni personali e private da te e dagli utenti che te le affidano. Questi loschi individui si focalizzano sui temi, sui file core di WordPress, sui plugin e, ultima ma non per importanza, sulla pagina di login.
Essendo la mamma dei furboni sempre incinta ed, essendo le misure di sicurezza quasi sempre un passo indietro rispetto a coloro che vogliono gabbarle, questo articolo si prefigge l’obiettivo di darti una mano a costruire le fondamenta del muro di sicurezza di cui hai bisogno per il tuo sito in WordPress. In questo modo, sarai in grado di mantenere un certo livello di protezione per te e i tuoi utenti, vivendo una vita più tranquilla e dando un’impressione di autorevolezza e di sicurezza in più.
Starà poi a te approfondire il tema della sicurezza con i nostri esperti di Innovando per ottenere il meglio della protezione attualmente disponibile. Questa guida ha lo scopo di farti capire quali sono i principali pericoli che corre il tuo sito WordPress, e come fare da sé per porre un rimedio rapido.
Perché gli hacker attaccano i siti WordPress?
Perché qualcuno dovrebbe attaccare il mio sito WordPress vetrina in cui scrivo articoli sui tosaerba elettrici? Perché qualcuno dovrebbe, anche solo lontanamente, interessarsi alla mia attività così settoriale e specifica?
Ci sono migliaia di ragioni per cui qualche hacker è interessato a te. Tutti i siti, non solo quelli WordPress, sono costantemente sotto attacco. Non è inusuale per queste persone raccogliere una lista di potenziali siti web, tra cui forse c’è anche il tuo, e utilizzare programmi che tentano l’accesso centinaia di migliaia di volte al giorno, finché non trovano la password giusta. Di norma, ogni sito web si trova sotto attacco di più di un hacker alla volta, moltiplicando esponenzialmente i numeri che ti abbiamo già fornito.
Non stiamo parlando di uomini incappucciati in un buio garage, con le lenti degli occhiali a specchio, che digitano furiosamente password per tentare di accedere. Parliamo di persone con vite più o meno normali che lasciano un software fatto apposta a prendersi cura della tua password, andando per tentativi finché non la individuano. E non solo password, ma anche possibili vulnerabilità in generale del tuo sito web: debolezze da sfruttare per accedere ai tuoi giardini segreti.
Questi “bot” sono pericolosi perché rallentano il traffico sul tuo sito web – specialmente se il tuo hosting non è dei migliori – e perché prima o poi, con la pazienza, trovano sempre un modo per entrare e rubare tutto ciò che c’è di valore tra i tuoi dati. Questi sono definiti attacchi brute force.
Tentativi ripetitivi e uno di seguito all’altro che provano varie combinazioni fino a beccare la tua password, eventualità che prima o poi si verifica.
Installa un firewall su WordPress
Un firewall è un programma che blocca le intrusioni. Di solito trovi questi firewall nei plugin di WordPress, ma spesso vengono messi a disposizione anche dagli hosting per proteggere il tuo dominio. Un buon firewall per il tuo sito in WordPress è Wordfence, il quale:
- Controlla costantemente il tuo sito e ti segnala quando il comportamento dei visitatori che lo esplorano non è conforme a quello di un essere umano, ma più che altro di un bot. Se questo visitatore rompe alcune regole in un lasso di tempo breve, Wordfence interviene e blocca automaticamente il potenziale bot.
- Wordfence è programmato per lasciar stare i crawler di Bing o di Google, in maniera da non inficiare sul tuo posizionamento sui motori di ricerca.
- È dotato di moltissime altre funzionalità specifiche che ti illustrano quali tipologie di bot stanno attaccando il tuo sito web, e ti spiega in che modo fermarli. Avrai inoltre la possibilità di bloccare i bot per indirizzo IP, o per un intero range di indirizzi IP.
Nascondi la tua pagina di login
Non ci vuole un hacker a sapere che, 8 volte su 10, il tuo indirizzo di login è https://sitowordpress.it/wp-admin . Un poco di buono deve trovare la tua pagina di accesso prima di poter effettuare un attacco efficace. Ciò significa accedere alla tua cartella wp-admin o al file /wp-login.php. La maggior parte dei siti WordPress ha il punto di accesso in comune. Puoi nascondere questa pagina rinominandola del tutto.
Come si impediscono gli attacchi brute force?
Ogni amministratore che si rispetti deve fornire linee guida severe sulla creazione della password da parte dei suoi publisher. Basta un account d’accesso debole per generare un’area vulnerabile da cui possono arrivare gli attacchi. Insomma: la password dei tuoi autori non può essere “ciaomondo”, ma dovrebbe rispettare una serie di parametri di sicurezza. Numeri, simboli, maiuscole, lunghezza minima.
Limitare i tentativi di accesso è una buona regola di sicurezza che si può impostare sul proprio sito WordPress senza ricorrere all’aiuto di un professionista. Un buon numero è 3: in questo modo permetti all’utente smemorato di avere uno spazio di manovra, e al tempo stesso impedire al malintenzionato di provare finché non ci è riuscito. Usa WP Limit, un ottimo plugin, per questo scopo.
L’attacco dei malware
Alcuni siti web non vengono attaccati con il semplice scopo di rubare i dati, ma con l’obiettivo specifico di infettare tramite malware. Anche qui WordFence giunge in tuo soccorso, aiutandoti e proteggendo il tuo prezioso sito in WordPress da attacchi particolarmente sgraditi e sgradevoli.
Fai sempre un backup
Se hai mai avuto a che fare con il mondo digitale, sarai certamente a conoscenza dell’importanza di creare i backup. Un backup quotidiano impedisce il verificarsi di catastrofi, e ti fa dormire sonni tranquilli. Puoi usare qualsiasi sistema a tua disposizione, l’importante è farlo.
In questo modo qualora un hacker avesse la meglio sul tuo sistema di sicurezza, avresti una possibilità di ripristinare i dati allo stato originario – prendendo poi provvedimenti adeguati a impedirgli di nuocere nuovamente.
Aggiorna sempre i plugin
Quante volte ho effettuato l’accesso in un CMS WordPress notando che i plugin non erano aggiornati? Qualcuno non li aggiorna per timore dei malfunzionamenti, altri perché non sanno che gli aggiornamenti fanno bene. Mantenere i propri plugin allo stato dell’arte permette di avere il software più aggiornato a disposizione, e dunque quello più performante in termini di sicurezza – il più delle volte. Se non vuoi aggiornare un plugin e non lo usi da tempo, rimuovilo. Non serve, e può essere una potenziale falla nella tua sicurezza web.
Temi che il tuo sito web in WordPress non sia abbastanza sicuro? Contattaci e, insieme a Innovando, troverai tutte le risposte di sicurezza che stai cercando per te e per i dati che devi proteggere ogni giorno.
Se ricevi molto spam attraverso i tuoi form di contatto e vuoi sapere come fare per eliminarlo usando CONTACT FORM 7, leggi qui:
Potresti essere interessato anche a:
Una DAO in Formula 1 dall’accordo fra ApeCoin e BWT Alpine
L’organizzazione decentralizzata del teschio roteante e l’équipe francese attiveranno una fanbase mondiale tramite esperienze reali e Web3
Austria, Germania e Svizzera per ferrovie cargo “più innovative”
I Ministri DACH Leonore Gewessler, Volker Wissing e Albert Rösti: un elemento chiave l’introduzione dell’Accoppiamento Automatico Digitale
Persuasione o manipolazione? Genesi e impatto storico delle PR
Nella narrazione della civiltà umana, le Relazioni Pubbliche o PR si pongono come uno dei capitoli più intriganti e controversi, tessendo una trama…
I giovani e le crypto: come fare a saperne di più del Bitcoin…
Avvicinare i ragazzi a valute digitali e Blockchain può essere un'impresa entusiasmante, data la loro affinità con la tecnologia e l'innovazione
//