Recentemente, uno dei nostri lettori ci ha chiesto perché i siti WordPress vengono violati.
È frustrante scoprire che il vostro sito WordPress è stato violato. Sebbene gli hacker prendano di mira tutti i siti web, potreste commettere alcuni errori che rendono il vostro sito vulnerabile agli attacchi.
In questo articolo condivideremo i principali motivi per cui i siti WordPress vengono violati, in modo che possiate evitare questi errori e proteggere il vostro sito web.
Perché WordPress è preso di mira dagli hacker?
Innanzitutto, non si tratta solo di WordPress. Tutti i siti web su Internet sono vulnerabili ai tentativi di hacking.
Il motivo per cui i siti web WordPress sono un obiettivo comune è che WordPress è il costruttore di siti web più diffuso al mondo. Alimenta oltre il 43% di tutti i siti web, vale a dire centinaia di milioni di siti web in tutto il mondo.
Questa immensa popolarità offre agli hacker un modo semplice per trovare i siti web meno sicuri e sfruttarli.
Gli hacker hanno diversi motivi per violare un sito web. Alcuni sono principianti che stanno imparando a sfruttare i siti meno sicuri. Altri hanno intenzioni malevole, come distribuire malware, attaccare altri siti web e inviare spam.
Detto questo, analizziamo alcune delle principali cause di violazione dei siti WordPress, in modo che possiate imparare a prevenire la violazione del vostro sito web.
1. Hosting Web insicuro
Come tutti i siti web, anche i siti WordPress sono ospitati su un server web. Alcune società di hosting non proteggono adeguatamente la loro piattaforma di hosting. Questo rende tutti i siti web ospitati sui loro server vulnerabili ai tentativi di hacking.
Questo può essere facilmente evitato scegliendo il miglior provider di hosting WordPress per il vostro sito web. I server adeguatamente protetti possono bloccare molti degli attacchi più comuni ai siti WordPress.
Se volete prendere ulteriori precauzioni, vi consigliamo di utilizzare un provider di hosting WordPress gestito.
2. Utilizzo di password deboli
Le password sono le chiavi del vostro sito WordPress. Dovete assicurarvi di utilizzare una password forte e unica per ciascuno dei seguenti account, perché tutti possono fornire a un hacker l’accesso completo al vostro sito web:
- L’account di amministrazione di WordPress
- L’account del pannello di controllo del web hosting
- I vostri account FTP
- Il database MySQL utilizzato per il sito WordPress
- Tutti gli account e-mail utilizzati per l’amministrazione di WordPress e l’hosting
Tutti questi account sono protetti da password. L’uso di password deboli rende più facile per gli hacker decifrare le password utilizzando alcuni strumenti di hacking di base.
Potete facilmente evitarlo utilizzando password uniche e forti per ogni account. Consultate la nostra guida sul modo migliore di gestire le password per i principianti di WordPress per imparare a gestire tutte queste password forti.
3. Accesso non protetto all’amministrazione di WordPress (wp-admin)
L’area di amministrazione di WordPress consente all’utente di eseguire diverse azioni sul sito WordPress. È anche l’area più comunemente attaccata di un sito WordPress.
Lasciarla non protetta permette agli hacker di provare diversi approcci per craccare il vostro sito web. Potete rendergli le cose difficili aggiungendo livelli di autenticazione alla vostra directory di amministrazione.
Innanzitutto, dovreste proteggere con una password l’area di amministrazione di WordPress. Questo aggiunge un ulteriore livello di sicurezza e chiunque cerchi di accedere all’amministrazione di WordPress dovrà fornire una password aggiuntiva.
Se gestite un sito WordPress multi-autore o multi-utente, potete imporre password forti per tutti gli utenti del vostro sito. Potete anche aggiungere l’autenticazione a due fattori (2FA) per rendere ancora più difficile agli hacker l’accesso all’area di amministrazione di WordPress.
4. Permessi di file non corretti
I permessi dei file sono un insieme di regole utilizzate dal server web. Questi permessi aiutano il server web a controllare l’accesso ai file del sito. Permessi non corretti possono consentire a un hacker di scrivere e modificare i file.
Tutti i file di WordPress devono avere il valore 644 come autorizzazione per i file. Tutte le cartelle del vostro sito WordPress devono avere il valore 755 come autorizzazione per i file.
Consultate la nostra guida su come risolvere il problema del caricamento delle immagini in WordPress per sapere come applicare questi permessi ai file.
5. Non mantenere WordPress aggiornato
Alcuni utenti di WordPress hanno paura di aggiornare il proprio sito web. Temono che così facendo il loro sito web si rompa.
Ogni nuova versione di WordPress risolve bug e vulnerabilità di sicurezza. Se non aggiornate WordPress, state intenzionalmente lasciando il vostro sito vulnerabile.
Se temete che un aggiornamento possa distruggere il vostro sito web, potete creare un backup completo di WordPress prima di eseguire un aggiornamento. In questo modo, se qualcosa non funziona, potete facilmente tornare alla versione precedente.
Per saperne di più, consultate la nostra guida per principianti su come aggiornare WordPress in modo sicuro.
6. Non aggiornare i plugin o il tema
Proprio come il software principale di WordPress, l’aggiornamento del tema e dei plugin è altrettanto importante. L’utilizzo di un plugin o di un tema obsoleto può rendere il vostro sito vulnerabile.
Nei plugin e nei temi di WordPress vengono spesso scoperte falle e bug di sicurezza. Di solito, gli autori dei temi e dei plugin sono pronti a correggerli. Tuttavia, se un utente non aggiorna il proprio tema o plugin, non può farci nulla.
Assicuratevi di mantenere aggiornati il tema e i plugin di WordPress. Per sapere come fare, consultate la nostra guida sul corretto ordine di aggiornamento di WordPress, dei plugin e dei temi.
7. Utilizzo di FTP semplice invece di SFTP/SSH
Gli account FTP vengono utilizzati per caricare i file sul server web utilizzando un client FTP. La maggior parte dei provider di hosting supporta le connessioni FTP utilizzando diversi protocolli. È possibile connettersi tramite FTP semplice, SFTP o SSH.
Quando ci si connette al proprio sito utilizzando un FTP semplice, la password viene inviata al server in chiaro. Ciò significa che può essere spiata e facilmente rubata. Invece di usare l’FTP, dovreste sempre usare SFTP o SSH.
Non è necessario cambiare il client FTP. La maggior parte dei client FTP può connettersi al vostro sito web sia con SFTP che con SSH. È sufficiente cambiare il protocollo in “SFTP – SSH” quando ci si connette al sito web.
8. Usare Admin come nome utente di WordPress
L’uso di “admin” come nome utente di WordPress non è consigliato. Se il nome utente dell’amministratore è “admin”, è necessario cambiarlo immediatamente con un altro nome utente.
Per istruzioni dettagliate, consultate il nostro tutorial su come cambiare il nome utente di WordPress.
9. Temi e plugin annullati
Su Internet ci sono molti siti che distribuiscono gratuitamente plugin e temi per WordPress a pagamento. Potreste essere tentati di utilizzare questi plugin e temi nulli sul vostro sito.
Scaricare temi e plugin per WordPress da fonti non affidabili è molto pericoloso. Non solo possono compromettere la sicurezza del vostro sito web, ma possono anche essere utilizzati per rubare informazioni sensibili.
Dovreste sempre scaricare i plugin e i temi di WordPress da fonti affidabili, come il sito web dello sviluppatore o i repository ufficiali di WordPress.
Se non potete permettervi di acquistare un plugin o un tema premium, sono sempre disponibili alternative gratuite per questi prodotti. Questi plugin gratuiti potrebbero non essere all’altezza delle loro controparti a pagamento, ma svolgeranno il loro compito e, soprattutto, manterranno il vostro sito web al sicuro.
È inoltre possibile trovare sconti per molti dei prodotti WordPress più popolari nella sezione delle offerte del nostro sito web.
10. Non proteggere il file di configurazione di WordPress wp-config.php
Il file di configurazione di WordPress wp-config.php contiene le credenziali di accesso al database di WordPress. Se viene compromesso, rivelerà informazioni che potrebbero dare a un hacker l’accesso completo al vostro sito web.
È possibile aggiungere un ulteriore livello di protezione negando l’accesso al file wp-config tramite .htaccess. È sufficiente aggiungere questo codice al file .htaccess:
<files wp-config.php>
order allow,deny
deny from all
</files>
11. Non cambiare il prefisso della tabella di WordPress
Molti esperti consigliano di modificare il prefisso predefinito delle tabelle di WordPress. Per impostazione predefinita, WordPress utilizza wp_ come prefisso per le tabelle che crea nel database. L’opzione per cambiarlo è disponibile durante l’installazione.
Si consiglia di utilizzare un prefisso più complesso. In questo modo sarà più difficile per gli hacker indovinare i nomi delle tabelle del database.
Per istruzioni dettagliate, consultate la nostra guida su come modificare il prefisso del database di WordPress per migliorare la sicurezza.
Ripulire un sito WordPress violato
Ripulire un sito WordPress violato può essere doloroso. Tuttavia, è possibile farlo.
Ecco alcune risorse per iniziare a ripulire un sito WordPress violato:
- Segni che il vostro sito WordPress è stato violato (e come risolverlo)
- Come scansionare il vostro sito WordPress alla ricerca di codice potenzialmente dannoso
- Come trovare una backdoor in un sito WordPress violato e risolverlo
- Cosa fare se si è bloccati dall’amministrazione di WordPress (wp-admin)
- Guida per principianti su come ripristinare WordPress dal backup
Suggerimento bonus
Per una sicurezza solida come una roccia, Sucuri offre servizi di rilevamento e rimozione del malware e un firewall per siti web che proteggerà il vostro sito dalle minacce più comuni.
Leggete la storia di come Sucuri ci ha aiutato a bloccare 450.000 attacchi WordPress in 3 mesi.
In alternativa, potete usufruire dei nostri convenienti Servizi professionali WPBeginner.
Se il vostro sito web è stato violato, il nostro team di esperti può ripulire il codice dannoso, i file e il malware per assicurarsi che i vostri dati sensibili siano al sicuro. I prezzi partono da 249 dollari.
Speriamo che questo articolo vi abbia aiutato a conoscere i principali motivi per cui un sito WordPress viene violato. Potreste anche voler consultare la nostra guida su come aumentare il traffico del vostro blog o i nostri consigli da esperti per accelerare le prestazioni di WordPress.
Se questo articolo vi è piaciuto, iscrivetevi al nostro canale YouTube per le esercitazioni video su WordPress. Potete trovarci anche su Twitter e Facebook.
Syed Balkhi says
Hey WPBeginner readers,
Did you know you can win exciting prizes by commenting on WPBeginner?
Every month, our top blog commenters will win HUGE rewards, including premium WordPress plugin licenses and cash prizes.
You can get more details about the contest from here.
Start sharing your thoughts below to stand a chance to win!
Jiří Vaněk says
What exactly do the directives for securing the wp-config.php file using the .htaccess file do? Do they deny access to anyone from the outside, allowing access only to the file by specific applications? Am I understanding it correctly?
Won’t this cause some other problem of not being able to access the file?
WPBeginner Support says
It would prevent access from someone trying to open the file directly and in most cases should not cause a problem with limiting access this way.
Admin
Jiří Vaněk says
Thank you for answer. I just wanted to make sure that there could be a situation where I would break some internal WordPress communication. I definitely apply security.
SaifZiya says
Thanks for these amazing tips. I going to add the code to .htaccess file now.
Amit Khandelwal says
Hello, i have secure my wp-admin folder through folder privacy but how can i do the same for wp-login url?
Dragos says
You can also not install in the default location your WordPress website so you can actually install the wp into a folder named “secure” and then with some tricks your visitors will enter to your website.com not website.com/secure in order to see your site.