WordPress: 10 buone pratiche in termini di sicurezza per i siti web

Linux Post Install

minuti 10

WordPress: 10 best practice in termini di sicurezza

WordPress: 10 best practice in termini di sicurezza

WordPress (WP) è noto come CMS più popolare, tra le molte cose, essendo stato progettato con un'enfasi sull'accessibilità, le prestazioni e la facilità d'uso, essendo in continuo sviluppo (versione corrente 5.2), hanno un'enorme comunità di utenti in molte lingue e hanno un'enorme capacità di personalizzazione attraverso l'uso di temi e componenti aggiuntivi propri o di terze parti.

Anche per essere molto sicuro, ma per questo, come in qualsiasi applicazione o sistema, è necessario seguire buone pratiche per ottenere un'implementazione sicura a lungo termine. E in questo post vogliamo fornire alcuni consigli di base al riguardo.

Introduzione

WP è il CMS più popolare per la creazione di siti Web, di solito è anche un obiettivo frequente di attacchi informatici, quindi a parte il suo costante aggiornamento, richiede frequenti procedure di manutenzione, aggiornamento e sicurezza per evita così i punti deboli dovuti a vulnerabilità in componenti aggiuntivi, password deboli, software obsoleto, tra molti altri motivi, ovvero raggiungere ridurre notevolmente la tua vulnerabilità a qualsiasi attacco intenzionale o imprevisto.

Inoltre, WP come qualsiasi altro sistema di gestione dei contenuti (CMS) consente di creare un sito Web in modo rapido ed efficiente e quindi di metterlo online. La sua elevata capacità di lavoro e crescita, attraverso moduli, temi complementari, rende più facile che mai portare a termine questo compito, ma senza la necessità dei lunghi anni di apprendimento che di solito sono necessari per questo.

Tuttavia, un effetto collaterale nulla di piacevole che possa derivare da questo, può essere che alcuni gestori di detto strumento, di solito bypass, le misure necessarie per garantire che il sito Web creato o gestito sia sicuro. Per questo motivo, è importante tenere a mente alcune misure generali e specifiche (buone pratiche), su WP o qualsiasi altro CMS e sito Web per mantenerlo al sicuro.

Buone abitudini

1.- Rafforza la tua sicurezza in generale

WP sicuramente supera facilmente il 30% della base di siti Web attivi oggi su Internet, il che lo rende un bersaglio preferito per invasori e / o aggressori (hacker / cracker) con buone o cattive intenzioni. Pertanto, una vulnerabilità nota e già sfruttata con successo su un sito WP simile verrà tentata su altri siti WP simili.

WordPress: 1a buona pratica

Quindi, se gestisci e / o utilizzi uno o più siti Web con WP, assicurati di essere più attento, completo e consapevole della loro sicurezza online. Tieni presente che la maggior parte delle violazioni della sicurezza analizzate e segnalate sui siti Web con WP avevano poco o nulla a che fare con il nucleo dell'applicazione stessa, ma molto a che fare con tutto ciò che riguarda la sua implementazione, configurazione e manutenzione generale, eseguito in modo errato da sviluppatori o amministratori. "

WordPress: seconda buona pratica

2.- Conosci le tue vulnerabilità

WordPress ha circa 4.000 vulnerabilità di sicurezza note, distribuite come segue: WP Core (37%), Plugin (52%) e Temi (11%), secondo un recente rapporto dal sito Web WPScans, che ora si chiama WPsec (dal 01-05-2019). Esamina le vulnerabilità di sicurezza del tuo sito Web e trova una soluzione per risolvere questi problemi. Evita di eseguire versioni non sicure di WP Core o dei suoi plugin e temi.

Concentrati sui seguenti argomenti di sicurezza sul tuo WP o sito web, cioè su I diversi tipi di file Attacchi da:

  • Forza bruta: Rafforzare la sicurezza sulla tua pagina di accesso.
  • Inclusione di file: Rafforzare la sicurezza del tuo file di configurazione wp-config.php.
  • SQL Injection: Rafforzare la sicurezza del tuo database MySQL associato a WP.
  • Cross Site Scripting: Rafforzare la sicurezza dei plugin WP utilizzati.
  • Infezione da malware: Rafforzare la sicurezza generale del tuo sito web per impedire accessi non autorizzati, l'inserimento di malware e la successiva raccolta di dati riservati da parte di questi codici dannosi. I malware o gli attacchi più frequenti sono solitamente del tipo: Backdoor, SEO Spam, HackTool, Mailer, Defacement e Phishing. Cerca di proteggere il tuo sito da ciascuno di questi tipi di malware o attacchi.

Ricorda che una volta che un sito web viene compromesso, il suo posizionamento SEO può risentirne. Perché i motori di ricerca tendono a registrare rapidamente i siti Web compromessi in modo che i browser segnalino segnali di avvertimento ai visitatori o blocchino completamente la loro capacità di navigare in tali siti.

WordPress: 3a buona pratica

3.- Conosci l'infrastruttura del tuo provider di hosting

Se il tuo sito web utilizza hosting esterno, ovvero assunto al di fuori della tua infrastruttura, non risparmiare sui costi per garantire la qualità del servizio dal tuo provider di hosting. Soprattutto se ospita il suo sito in regime di "hosting condiviso".

Come "hosting condiviso" di scarsa qualità può rendere il tuo sito più vulnerabile quando uno dei diversi siti Web archiviati sullo stesso server viene compromesso. Cioè, se un sito web viene violato su un server con "hosting condiviso", gli aggressori possono anche ottenere l'accesso ad altri siti web e ai loro dati.

WordPress: quarta buona pratica

4.- Conosci l'especifiche tecniche web dal tuo provider di hosting

Quando si tratta di valutare un provider di hosting, la sua infrastruttura non è tutto. Anche le specifiche tecniche web utilizzate dal tuo provider di hosting per ottenere una maggiore sicurezza dei siti web ospitati sono importanti. Assicurati che segua le seguenti linee guida di sicurezza consigliate per l'hosting del tuo sito web:

  • Facile installazione di certificati SSL
  • Gestione attiva delle versioni software del server web.
  • Protezione firewall
  • Registro degli accessi al sito web
  • Controlli di sicurezza di routine
  • Rilevamento di attività dannose
  • Supporto per SFTP (non solo FTP), TLS 1.2 e 1.3 e PHP 5.6, come minimo, sebbene sia consigliato 7.0 in poi.

Tutto ciò è necessario, come minimo, per aumentare la sicurezza del tuo sito web con o senza WP come CMS utilizzato.

WordPress - Temi e plugin: plugin

5.- Attenzione ai temi e ai complementi utilizzati

I plugin e i temi installati contano molto a livello di sicurezza. Cerca di utilizzare solo temi e plugin ufficiali certificati da WP o dalla comunità, repository commerciali ben noti o direttamente da sviluppatori affidabili. Poiché molti di essi (non certificati) possono contenere codice dannoso.

Non importa quanto proteggi il tuo sito web da WP se installi il malware. Fai la tua ricerca prima di scaricare e installare qualsiasi tema e plugin, o il loro sito web per sviluppatori o promotori, e prenota con quelli gratuiti o scontati.

WordPress: quarta buona pratica

6.- Prova ad aggiornare frequentemente il tuo CMS

Gli aggiornamenti alla tua piattaforma web sono molto importanti per la tua sicurezza. se WP o meno il tuo CMS, versioni obsolete del tuo Core, Tema o plugin possono portarti a ospitare vulnerabilità note sul tuo sito web. Nel caso di WP, che è open source, c'è un team specificamente dedicato a questo problema all'interno del Core dell'applicazione.

Ogni vulnerabilità di sicurezza scoperta in WP viene corretta ed eliminata immediatamente al fine di risolvere ogni nuovo problema di sicurezza scoperto in WP. A causa di quell'aggiornamento WP e tutti i suoi temi e plugin all'ultima versione è una componente vitale di una strategia di sicurezza di successo.

WordPress: quarta buona pratica

7.- Ho trovato una password adatta

La qualità o la forza delle nostre password sui siti web è molto importante. L'accesso ai nostri siti Web è un obiettivo primario per lo sfruttamento delle vulnerabilità, perché fornisce l'accesso più semplice alla pagina di amministrazione del tuo sito web.

Gli attacchi di forza bruta sono il metodo più comune per sfruttare il tuo login, scoprendo le combinazioni di username e password per accedere al sito. Nel caso specifico di WP, per impostazione predefinita non limita il numero di tentativi di login falliti che qualcuno può effettuare, quindi il più consigliato è l'utilizzo di una password complessa per il login del proprio amministratore WP.

Quando si sceglie una password, tenere in considerazione questi 3 requisiti fondamentali basati sul formato CLU (Complesso, lungo, unico):

  • COMPLESSO: Le password devono essere il più possibile casuali e meno correlate all'amministratore web o al sito web.
  • LUNGO: Le password devono contenere almeno 12 caratteri. E rafforzato con restrizioni o limitazioni sul numero di tentativi di connessione non riusciti.
  • SOLO: Non riutilizzare le password. Ogni password deve essere unica nel tempo. Questa semplice regola limita drasticamente l'impatto di qualsiasi password compromessa.

raccomandazione: Utilizza un gestore di password come "LastPass" (online) e "KeePass 2" (offline) per generare e memorizzare tutte le tue password in un formato crittografato.

WordPress: settima buona pratica

8.- Prepara sempre il tuo piano anti-disastro

Se usi WP ricorda che non ha un sistema di backup integrato. Includine uno come priorità, in modo da avere sempre un backup aggiornato del tuo sito web. I backup sono fondamentali e una strategia di sicurezza generale da implementare.

Non dimenticare che non dovresti solo eseguire il backup dei siti Web e dei database utilizzatima tutto le impostazioni dell'intero server attraverso attività automatizzate con sistemi di script o di immagini clonate, per facilitare i necessari restauri e reinstallazioni nel più breve tempo possibile.

WordPress: ottava buona pratica

9.- Aumenta la tua sicurezza utilizzando 2FA

Rafforza il tuo login di amministratore WP o il tuo sito web utilizzando il meccanismo di autenticazione a due fattori (2FA), che è uno dei modi migliori per proteggere il tuo sito web oggi. L'autenticazione a due fattori aggiunge un ulteriore livello di protezione al login del tuo sito web, richiedendo che l'uso della tua password richieda un codice time-sensitive aggiuntivo da un altro dispositivo, come il tuo smartphone, per accedere correttamente. .

Nel caso di WP che non offre questa funzionalità per impostazione predefinita incorporare lo stesso utilizzando un plug-income iThemes Security per aggiungere lo stesso.

WordPress: nona buona pratica

10.- Utilizzare tutti gli accessori di sicurezza necessari

La maggior parte dei CMS come WP utilizza plugin per aumentare il potenziale di sicurezza di se stessi. Nel caso specifico di WP, si consiglia l'utilizzo del plugin di sicurezza denominato iThemes Security. per aggiungere ancora più protezione al tuo sito web. Questo plugin blocca WP, corregge i buchi noti, blocca gli attacchi automatici e rafforza le credenziali dell'utente.

Ha una versione gratuita (iThemes Security) e una versione a pagamento (iThemes Security Pro) che ovviamente fornisce più funzionalità di sicurezza come 2FA, scansioni malware pianificate, registrazione utente, tra le altre cose.

Conclusione

Che si tratti di WP o di un altro CMS, puoi evitare la maggior parte dei problemi di sicurezza del sito Web semplicemente seguendo queste best practice o buone pratiche di sicurezza. Il tuo sito web merita e deve disporre delle misure di sicurezza necessarie per garantire o minimizzare la sua inviolabilità in questi tempi così tormentati dall'attività di hacker e cracker.

Infine e come aggiunta, ti consigliamo di leggere questo altro articolo sul nostro blog sull'argomento per rafforzare la sicurezza del tuo sito web, chiamato: Autorizzazioni Linux per amministratori di sistema e sviluppatori.


Lascia un tuo commento

L'indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati con *

*

*

  1. Responsabile dei dati: Miguel Ángel Gatón
  2. Scopo dei dati: controllo SPAM, gestione commenti.
  3. Legittimazione: il tuo consenso
  4. Comunicazione dei dati: I dati non saranno oggetto di comunicazione a terzi se non per obbligo di legge.
  5. Archiviazione dati: database ospitato da Occentus Networks (UE)
  6. Diritti: in qualsiasi momento puoi limitare, recuperare ed eliminare le tue informazioni.