La sicurezza di WordPress è un argomento di enorme importanza per ogni proprietario di un sito web.
Se avete a cuore il vostro sito web, dovete prestare attenzione alle best practice di sicurezza di WordPress. Altrimenti, potreste diventare uno degli oltre 10.000 siti web che Google inserisce nella blacklist ogni giorno per malware e phishing.
In questa guida condivideremo i nostri migliori consigli sulla sicurezza di WordPress per aiutarvi a proteggere il vostro sito web da hacker e malware.
Anche se il software di base di WordPress è molto sicuro e viene controllato regolarmente da centinaia di sviluppatori, c’è ancora molto da fare per mantenere il vostro sito sicuro.
Noi di WPBeginner crediamo che la sicurezza non si limiti all’eliminazione dei rischi. Si tratta anche di ridurre i rischi. Come proprietari di un sito web, potete fare molto per migliorare la sicurezza di WordPress, anche se non siete esperti di tecnologia.
In questo articolo abbiamo messo insieme un elenco di azioni che potete intraprendere per proteggere il vostro sito web dalle vulnerabilità della sicurezza.
Per semplificare le cose, abbiamo creato un indice per aiutarvi a navigare facilmente nella nostra guida definitiva alla sicurezza di WordPress.
Indice dei contenuti
Nozioni di base sulla sicurezza di WordPress
- Perché la sicurezza di WordPress è importante
- Mantenere WordPress aggiornato
- Utilizzare password e permessi utente forti
- Capire il ruolo dell’hosting WordPress
La sicurezza di WordPress in semplici passi (senza codice)
- Installare una soluzione di backup per WordPress
- Installate un plugin di sicurezza per WordPress affidabile
- Abilitare un firewall per applicazioni Web (WAF)
- Passare il sito WordPress a SSL/HTTPS
Sicurezza di WordPress per gli utenti fai-da-te
- Cambiare il nome utente amministratore predefinito
- Disattivare la modifica dei file
- Disabilitare l’esecuzione di file PHP in alcune directory di WordPress
- Limitare i tentativi di accesso
- Aggiungere l’autenticazione a due fattori (2FA)
- Cambiare il prefisso del database di WordPress
- Proteggere con password la pagina di amministrazione e di accesso di WordPress
- Disabilitare l’indicizzazione e la navigazione delle directory
- Disabilitare XML-RPC in WordPress
- Disconnettere automaticamente gli utenti inattivi in WordPress
- Aggiungere domande di sicurezza al login di WordPress
- Scansione di WordPress alla ricerca di malware e vulnerabilità
- Riparare un sito WordPress violato
Pronti? Iniziamo.
Perché la sicurezza del sito web è importante
Un sito WordPress violato può causare gravi danni alle entrate e alla reputazione della vostra azienda. Gli hacker possono rubare informazioni e password degli utenti, installare software dannoso e persino distribuire malware agli utenti.
Nel peggiore dei casi, potreste ritrovarvi a pagare un ransomware agli hacker solo per riottenere l’accesso al vostro sito web.
Ogni giorno, Google avvisa 12-14 milioni di utenti che un sito web che stanno cercando di visitare potrebbe contenere malware o rubare informazioni.
Inoltre, ogni giorno Google inserisce nella blacklist oltre 10.000 siti web per malware o phishing.
Proprio come i proprietari di aziende con una sede fisica hanno la responsabilità di salvaguardare la loro proprietà, i proprietari di aziende online devono prestare maggiore attenzione alla sicurezza del loro WordPress.
Mantenere WordPress aggiornato
WordPress è un software open-source e viene mantenuto e aggiornato regolarmente. Per impostazione predefinita, WordPress installa automaticamente gli aggiornamenti minori.
Per le versioni principali, è necessario avviare manualmente l’aggiornamento.
WordPress è inoltre dotato di migliaia di plugin e temi che è possibile installare sul proprio sito web. Questi plugin e temi sono gestiti da sviluppatori terzi, che rilasciano regolarmente anche gli aggiornamenti.
Questi aggiornamenti di WordPress sono fondamentali per la sicurezza e la stabilità del vostro sito WordPress. Dovete assicurarvi che il nucleo di WordPress , i plugin e il tema siano aggiornati.
Utilizzare password e permessi utente forti
I più comuni tentativi di violazione di WordPress utilizzano password rubate. Potete rendere più difficile questa situazione utilizzando password più forti e uniche per il vostro sito web.
Non stiamo parlando solo dell’area di amministrazione di WordPress. Ricordate di creare password forti per gli account FTP, i database, gli account di hosting WordPress e gli indirizzi e-mail personalizzati che utilizzano il nome di dominio del vostro sito.
Molti principianti non amano usare password forti perché sono difficili da ricordare. La cosa positiva è che non è più necessario ricordare le password perché basta usare un gestore di password.
Per ulteriori informazioni, consultate la nostra guida su come gestire le password di WordPress.
Un altro modo per ridurre il rischio è quello di non dare a nessuno l’accesso all’account di amministrazione di WordPress, a meno che non sia assolutamente necessario.
Se avete un team numeroso o autori ospiti, assicuratevi di aver compreso i ruoli e le capacità degli utenti in WordPress prima di aggiungere nuovi account utente e autori al vostro sito WordPress.
Capire il ruolo dell’hosting WordPress
Il vostro servizio di hosting WordPress gioca il ruolo più importante nella sicurezza del vostro sito WordPress. Un buon provider di hosting condiviso come Hostinger, Bluehost o SiteGround adotta misure extra per proteggere i propri server dalle minacce più comuni.
Ecco alcuni modi in cui le buone società di web hosting lavorano in background per proteggere i vostri siti web e i vostri dati:
- Monitorano continuamente la loro rete alla ricerca di attività sospette.
- Tutte le buone società di hosting dispongono di strumenti per prevenire gli attacchi DDoS su larga scala.
- Mantengono aggiornati il software del server, le versioni di PHP e l’hardware per evitare che gli hacker sfruttino una vulnerabilità di sicurezza nota in una vecchia versione.
- Dispongono di piani di disaster recovery e di incidenti pronti all’uso che consentono di proteggere i dati in caso di incidente grave.
Con un piano di hosting condiviso, si condividono le risorse del server con molti altri clienti. Esiste il rischio di contaminazione cross-site, in cui un hacker può utilizzare un sito vicino per attaccare il vostro sito web.
Al contrario, l’utilizzo di un servizio di hosting WordPress gestito offre una piattaforma più sicura per il vostro sito web. Le società di hosting WordPress gestite offrono backup automatici, aggiornamenti automatici di WordPress e configurazioni di sicurezza più avanzate per proteggere il vostro sito web.
Raccomandiamo WP Engine come nostro provider di hosting WordPress gestito preferito. È anche il provider più popolare del settore.
Assicuratevi di ottenere la migliore offerta utilizzando il nostro coupon speciale WP Engine.
La sicurezza di WordPress in pochi semplici passi (senza codice)
Sappiamo che migliorare la sicurezza di WordPress può essere un pensiero terrificante per i principianti, soprattutto se non si è esperti di tecnologia. Indovinate un po’: non siete soli.
Abbiamo aiutato migliaia di utenti di WordPress a rafforzare la loro sicurezza.
Vi mostreremo come migliorare la sicurezza di WordPress con pochi clic (non è necessario alcun codice).
Se sapete fare punta e clicca, potete fare questo!
1. Installare una soluzione di backup per WordPress
I backup sono la prima difesa contro qualsiasi attacco a WordPress. Ricordate che nulla è sicuro al 100%. Se i siti web governativi possono essere violati, anche il vostro può esserlo.
I backup consentono di ripristinare rapidamente il sito WordPress nel caso in cui si verifichi un evento negativo.
Esistono molti plugin di backup per WordPress, gratuiti e a pagamento, che potete utilizzare. La cosa più importante da sapere quando si tratta di backup è che dovete salvare regolarmente i backup dell’intero sito in una posizione remota (non il vostro account di hosting).
Si consiglia di archiviarli su un servizio cloud come Amazon, Dropbox o su cloud privati come Stash.
In base alla frequenza di aggiornamento del sito web, l’impostazione ideale potrebbe essere quella di un backup al giorno o in tempo reale.
Fortunatamente questo può essere fatto facilmente utilizzando plugin come Duplicator, UpdraftPlus o BlogVault. Sono entrambi affidabili e soprattutto facili da usare (non è necessario alcun codice).
Per maggiori dettagli, consultate la nostra guida su come eseguire il backup del vostro sito web WordPress.
Installate un plugin di sicurezza per WordPress affidabile
Dopo i backup, la cosa successiva da fare è impostare un sistema di auditing e monitoraggio che tenga traccia di tutto ciò che accade sul vostro sito web.
Questo include il monitoraggio dell’integrità dei file, i tentativi di accesso falliti, la scansione del malware e altro ancora.
Per fortuna, potete occuparvene facilmente installando uno dei migliori plugin di sicurezza per WordPress, come Sucuri.
È necessario installare e attivare il plugin gratuito Sucuri Security. Per maggiori dettagli, consultate la nostra guida passo-passo su come installare un plugin di WordPress.
Ora è possibile accedere alla “Dashboard” di Sucuri Security per verificare se il plugin ha riscontrato problemi immediati con il codice di WordPress.
La cosa successiva da fare è navigare nella pagina Sucuri Security ” Impostazioni e fare clic sulla scheda “Tempra”.
Le impostazioni predefinite funzionano bene per la maggior parte dei siti web, quindi si può procedere all’attivazione facendo clic sul pulsante “Applica protezione” per ciascuna opzione.
In questo modo è possibile bloccare le aree chiave che gli hacker utilizzano spesso nei loro attacchi.
Suggerimento: più avanti in questo articolo tratteremo altri modi per rendere più sicuro il vostro sito web, come la modifica del prefisso del database e del nome utente dell’amministratore. Tuttavia, questi sono più tecnici e potrebbero richiedere conoscenze di codifica.
Dopo la parte di indurimento, le altre impostazioni predefinite del plugin sono sufficienti per la maggior parte dei siti web e non richiedono alcuna modifica.
L’unica cosa che consigliamo di personalizzare sono gli avvisi via e-mail, che si trovano nella scheda “Avvisi” della pagina delle impostazioni.
Per impostazione predefinita, riceverete molti avvisi e-mail che possono ingombrare la vostra casella di posta.
Si consiglia di attivare gli avvisi solo per le azioni chiave di cui si desidera ricevere notifica, come le modifiche ai plugin e le registrazioni di nuovi utenti.
Questo plugin per la sicurezza di WordPress è molto potente, quindi sfogliate tutte le schede e le impostazioni per vedere tutto ciò che fa, come la scansione del malware, i registri di audit, il monitoraggio dei tentativi di accesso falliti e altro ancora.
Per maggiori informazioni, potete consultare la nostra recensione dettagliata di Sucuri.
Abilitare un firewall per applicazioni Web (WAF)
Il modo più semplice per proteggere il vostro sito ed essere sicuri della sicurezza di WordPress è utilizzare un firewall per applicazioni web (WAF).
Un firewall per siti web blocca tutto il traffico dannoso prima ancora che raggiunga il vostro sito.
- Un firewall per siti web a livello di DNS instrada il traffico del vostro sito web attraverso i suoi server proxy nel cloud. Ciò consente di inviare al vostro server web solo il traffico autentico.
- Un firewall a livello di applicazione esamina il traffico una volta raggiunto il server, ma prima di caricare la maggior parte degli script di WordPress. Questo metodo non è efficiente come il firewall a livello di DNS nel ridurre il carico del server.
Per saperne di più, consultate il nostro elenco dei migliori plugin firewall per WordPress.
Abbiamo utilizzato Sucuri su WPBeginner per molti anni e lo raccomandiamo ancora come uno dei migliori firewall per applicazioni web per WordPress. Di recente siamo passati da Sucuri a Cloudflare perché avevamo bisogno di una rete CDN più grande con caratteristiche più orientate ai clienti aziendali.
Potete leggere come Sucuri ci ha aiutato a bloccare 450.000 attacchi WordPress in un mese.
La parte migliore del firewall di Sucuri è che viene fornito anche con una garanzia di pulizia del malware e di rimozione dalla blacklist. Ciò significa che se doveste subire un attacco di hacking sotto la loro sorveglianza, vi garantiscono di sistemare il vostro sito web, indipendentemente dal numero di pagine che avete.
Si tratta di una garanzia piuttosto forte, perché riparare i siti web violati è costoso. Gli esperti di sicurezza normalmente chiedono più di 250 dollari all’ora, mentre è possibile ottenere l’intero pacchetto di sicurezza Sucuri a 199 dollari per un anno intero.
Detto questo, Sucuri non è l’unico fornitore di firewall a livello di DNS in circolazione. L’altro popolare concorrente è Cloudflare. Consultate il nostro confronto tra Sucuri e Cloudflare (pro e contro).
Passare il sito WordPress a SSL/HTTPS
SSL (Secure Sockets Layer) è un protocollo che cripta il trasferimento di dati tra il vostro sito web e il browser dell’utente. Questa crittografia rende più difficile per qualcuno sniffare e rubare informazioni.
Una volta attivato l’SSL, l’indirizzo del vostro sito web utilizzerà HTTPS anziché HTTP. Nel browser si vedrà anche un lucchetto o un’icona simile accanto all’indirizzo del sito web.
I certificati SSL sono tipicamente emessi dalle autorità di certificazione e il loro prezzo varia da 80 a centinaia di dollari all’anno. A causa dei costi aggiuntivi, in passato la maggior parte dei proprietari di siti web ha scelto di continuare a utilizzare il protocollo insicuro.
Per risolvere questo problema, un’organizzazione no-profit chiamata Let’s Encrypt ha deciso di offrire certificati SSL gratuiti ai proprietari di siti web. Il loro progetto è sostenuto da Google Chrome, Facebook, Mozilla e molte altre aziende.
È più facile che mai iniziare a usare l’SSL per tutti i vostri siti web WordPress. Molte società di hosting offrono ora un certificato SSL gratuito per il vostro sito WordPress.
Se la vostra società di hosting non ne offre uno, potete acquistare un certificato SSL da Domain.com. Si tratta delle offerte SSL migliori e più affidabili del mercato. Il certificato viene fornito con una garanzia di sicurezza di 10.000 dollari e un sigillo di sicurezza TrustLogo.
Sicurezza di WordPress per gli utenti fai-da-te
Se fate tutto ciò che abbiamo menzionato finora, allora siete a buon punto.
Ma come sempre, è possibile fare di più per rafforzare la sicurezza di WordPress.
Tenete presente che alcuni di questi passaggi possono richiedere conoscenze di codifica.
Cambiare il nome utente amministratore predefinito
In passato, il nome utente predefinito dell’amministratore di WordPress era “admin”. Poiché i nomi utente costituiscono la metà delle credenziali di accesso, questo rendeva più facile per gli hacker effettuare attacchi a forza bruta.
Fortunatamente, WordPress ha cambiato questo aspetto e ora richiede di selezionare un nome utente personalizzato al momento dell’installazione di WordPress.
Tuttavia, alcuni installatori di WordPress con un solo clic impostano ancora il nome utente amministratore predefinito su “admin”. Se notate che questo è il caso, probabilmente è una buona idea cambiare il vostro hosting web.
Poiché WordPress non consente di modificare i nomi utente per impostazione predefinita, ci sono tre metodi che si possono utilizzare per cambiare il nome utente.
- Creare un nuovo nome utente amministratore ed eliminare quello vecchio.
- Utilizzare il plugin Cambio nome utente
- Aggiornare il nome utente da phpMyAdmin
Abbiamo trattato tutti e tre questi aspetti nella nostra guida dettagliata su come cambiare correttamente il nome utente di WordPress.
Nota: per essere chiari, stiamo parlando di cambiare il nome utente chiamato “admin”, non il ruolo di amministratore, che a volte è chiamato anche “admin”.
Disattivare la modifica dei file
WordPress è dotato di un editor di codice integrato che consente di modificare i file di temi e plugin direttamente dall’area di amministrazione di WordPress.
Nelle mani sbagliate, questa funzione può rappresentare un rischio per la sicurezza, per cui si consiglia di disattivarla.
È possibile farlo facilmente aggiungendo il seguente codice al file wp-config.php o con un plugin di snippet di codice come WPCode (consigliato):
// Disallow file edit
define( 'DISALLOW_FILE_EDIT', true );
Vi mostriamo come farlo passo dopo passo nella nostra guida su come disabilitare gli editor di temi e plugin dal pannello di amministrazione di WordPress.
In alternativa, è possibile eseguire questa operazione con un solo clic utilizzando la funzione Hardening del plugin gratuito Sucuri menzionato in precedenza.
Disabilitare l’esecuzione di file PHP in determinate directory di WordPress
Un altro modo per rafforzare la sicurezza di WordPress è quello di disabilitare l’esecuzione di file PHP nelle directory in cui non è necessario, come /wp-content/uploads/.
È possibile farlo aprendo un editor di testo come Notepad e incollando questo codice:
<Files *.php>
deny from all
</Files>
Successivamente, è necessario salvare questo file come .htaccess e caricarlo nella cartella /wp-content/uploads/ del vostro sito web utilizzando un client FTP.
Per una spiegazione più dettagliata, consultate la nostra guida su come disabilitare l’esecuzione di PHP in alcune directory di WordPress.
In alternativa, è possibile eseguire questa operazione con un solo clic utilizzando la funzione Hardening del plugin gratuito Sucuri di cui abbiamo parlato sopra.
Limitare i tentativi di accesso
Per impostazione predefinita, WordPress consente agli utenti di provare ad accedere quante volte vogliono. Questo rende il vostro sito WordPress vulnerabile agli attacchi di forza bruta. In questo caso, gli hacker cercano di decifrare le password provando ad accedere con diverse combinazioni.
Questo problema può essere facilmente risolto limitando i tentativi di accesso falliti che un utente può effettuare. Se si utilizza il firewall per applicazioni web menzionato in precedenza, questo problema viene risolto automaticamente.
Tuttavia, se non avete impostato il firewall, potete procedere come segue.
Innanzitutto, è necessario installare e attivare il plugin gratuito Limit Login Attempts Reloaded. Per maggiori dettagli, consultate la nostra guida passo-passo su come installare un plugin di WordPress.
Dopo l’attivazione, il plugin inizierà a limitare il numero di tentativi di accesso degli utenti.
Le impostazioni predefinite funzionano per la maggior parte dei siti web, tuttavia è possibile personalizzarle visitando la pagina Impostazioni ” Limita tentativi di accesso e facendo clic sulla scheda “Impostazioni” in alto. Ad esempio, per rispettare le leggi GDPR, è possibile fare clic sulla casella di controllo “Conformità GDPR”.
Per istruzioni dettagliate, date un’occhiata alla nostra guida su come e perché limitare i tentativi di accesso in WordPress.
Aggiungere l’autenticazione a due fattori (2FA)
Il metodo di autenticazione a due fattori richiede due diversi passaggi per l’accesso degli utenti:
- Il primo passo è rappresentato dal nome utente e dalla password.
- Il secondo passo richiede l’utilizzo di un codice da un dispositivo o da un’applicazione in vostro possesso a cui gli hacker non possono accedere, come ad esempio il vostro smartphone.
La maggior parte dei principali siti online, come Google, Facebook e Twitter, consentono di abilitarla per i propri account. È possibile aggiungere la stessa funzionalità al proprio sito WordPress.
Innanzitutto, è necessario installare e attivare il plugin WP 2FA – Autenticazione a due fattori. Per maggiori dettagli, consultate la nostra guida passo passo su come installare un plugin di WordPress.
Una procedura guidata di facile utilizzo vi aiuterà a configurare il plugin e poi vi verrà fornito un codice QR.
È necessario scansionare il codice QR utilizzando un’applicazione di autenticazione sul telefono, come Google Authenticator, Authy e LastPass Authenticator.
Si consiglia di utilizzare LastPass Authenticator o Authy perché consentono di eseguire il backup degli account nel cloud. Questo è molto utile nel caso in cui il vostro telefono venga perso, resettato o ne acquistiate uno nuovo. Tutti i login dei vostri account saranno facilmente ripristinati.
La maggior parte di queste app funziona in modo simile e, se si utilizza Authy, è sufficiente fare clic sul pulsante “+” o “Aggiungi account” nell’app Autenticatore.
In questo modo è possibile scansionare il codice QR sul computer utilizzando la fotocamera del telefono. Potrebbe essere necessario dare all’applicazione il permesso di accedere alla fotocamera.
Dopo aver dato un nome all’account, è possibile salvarlo.
La prossima volta che accederete al vostro sito web, vi verrà chiesto il codice di autenticazione a due fattori dopo aver inserito la password.
È sufficiente aprire l’app Authenticator sul telefono per visualizzare un codice unico.
È quindi possibile inserire il codice sul proprio sito web per completare l’accesso.
Cambiare il prefisso del database di WordPress
Per impostazione predefinita, WordPress utilizza wp_ come prefisso per tutte le tabelle del database di WordPress.
Se il vostro sito WordPress utilizza il prefisso predefinito del database, è più facile per gli hacker indovinare il nome della tabella. Per questo motivo vi consigliamo di cambiarlo.
Potete cambiare il prefisso del database seguendo il nostro tutorial passo passo su come cambiare il prefisso del database di WordPress per migliorare la sicurezza.
Nota: la modifica del prefisso del database può danneggiare il sito se non viene eseguita correttamente. Eseguite questa operazione solo se vi sentite a vostro agio con le vostre capacità di codifica.
Proteggere con password la pagina di amministrazione e di accesso di WordPress
Normalmente, gli hacker possono richiedere la cartella wp-admin e la pagina di accesso senza alcuna restrizione. Questo permette loro di provare i loro trucchi di hacking o di eseguire attacchi DDoS.
È possibile aggiungere una protezione aggiuntiva con password a livello di server, che bloccherà efficacemente tali richieste.
Seguite le nostre istruzioni passo passo su come proteggere con password la directory di amministrazione di WordPress (wp-admin).
Disattivare l’indicizzazione e la navigazione delle directory
Quando si digita l’indirizzo di una delle cartelle del sito web in un browser, viene visualizzata la pagina web index.html, se esiste. Se non esiste, viene visualizzato un elenco di file nella cartella. Questa operazione è nota come navigazione nelle directory.
L’esplorazione delle directory può essere utilizzata dagli hacker per scoprire se sono presenti file con vulnerabilità note, in modo da poterli sfruttare per ottenere l’accesso.
L’esplorazione delle directory può essere utilizzata anche da altre persone per esaminare i file, copiare immagini, scoprire la struttura delle directory e altre informazioni. Per questo motivo si consiglia vivamente di disattivare l’indicizzazione e l’esplorazione delle directory.
È necessario collegarsi al proprio sito web utilizzando l’FTP o il file manager del proprio provider di hosting. Quindi, individuate il file .htaccess nella directory principale del vostro sito web. Se non riuscite a vederlo, consultate la nostra guida sul perché non riuscite a vedere il file .htaccess in WordPress.
Successivamente, è necessario aggiungere la seguente riga alla fine del file .htaccess:
Opzioni -Indici
Non dimenticate di salvare e caricare il file .htaccess sul vostro sito.
Per saperne di più su questo argomento, consultate il nostro articolo su come disabilitare la navigazione nelle directory in WordPress.
Disabilitare XML-RPC in WordPress
XML-RPC è un’API di base di WordPress che aiuta a collegare il vostro sito WordPress con le applicazioni web e mobili. È stata attivata per impostazione predefinita da WordPress 3.5.
Tuttavia, a causa della sua natura potente, XML-RPC può amplificare in modo significativo gli attacchi brute-force.
Ad esempio, se un hacker volesse provare 500 password diverse sul vostro sito web, dovrebbe effettuare 500 tentativi di accesso separati. Questo può essere individuato e bloccato dal plugin Limit Login Attempts Reloaded.
Ma con XML-RPC, un hacker può utilizzare la funzione system.multicall per provare migliaia di password con 20 o 50 richieste.
Per questo motivo, se non si utilizza XML-RPC, si consiglia di disabilitarlo.
Ci sono 3 modi per disabilitare XML-RPC in WordPress e li abbiamo trattati tutti nel nostro tutorial passo-passo su come disabilitare XML-RPC in WordPress.
Suggerimento: il metodo .htaccess è il migliore perché è quello che richiede meno risorse. Gli altri metodi sono più semplici per i principianti.
In alternativa, questo aspetto viene gestito automaticamente se si utilizza un firewall per applicazioni web (WAF), come abbiamo detto in precedenza.
Disconnettere automaticamente gli utenti inattivi in WordPress
Gli utenti connessi possono talvolta allontanarsi dallo schermo e questo rappresenta un rischio per la sicurezza. Qualcuno può dirottare la loro sessione, cambiare le password o apportare modifiche al loro account.
Ecco perché molti siti bancari e finanziari disconnettono automaticamente un utente inattivo. Potete impostare una funzionalità simile anche sul vostro sito WordPress.
È necessario installare e attivare il plugin Inactive Logout. Dopo l’attivazione, visitare la pagina Impostazioni ” Logout inattivo per personalizzare le impostazioni di logout.
È sufficiente impostare la durata e aggiungere un messaggio di logout. Quindi, non dimenticate di fare clic sul pulsante “Salva modifiche” in fondo alla pagina per memorizzare le impostazioni.
Per istruzioni passo passo, consultare la nostra guida su come disconnettere automaticamente gli utenti inattivi in WordPress.
Aggiungere domande di sicurezza alla schermata di accesso di WordPress
L’aggiunta di una domanda di sicurezza alla schermata di login di WordPress rende ancora più difficile l’accesso non autorizzato.
È possibile aggiungere domande di sicurezza installando il plugin Autenticazione a due fattori. Dopo l’attivazione, è necessario visitare la pagina Autenticazione a più fattori ” Due fattori per configurare le impostazioni del plugin.
Questo vi permetterà di aggiungere vari tipi di autenticazione a due fattori al vostro sito, comprese le domande di sicurezza.
Per istruzioni più dettagliate, consultate il nostro tutorial su come aggiungere domande di sicurezza alla schermata di login di WordPress.
Scansione di WordPress alla ricerca di malware e vulnerabilità
Se avete installato un plugin di sicurezza per WordPress, questo controllerà regolarmente la presenza di malware e di segni di violazione della sicurezza.
Tuttavia, se notate un improvviso calo del traffico del sito web o delle classifiche di ricerca, potreste voler effettuare una scansione manuale alla ricerca di malware. Potete farlo utilizzando il plugin di sicurezza di WordPress o uno dei migliori scanner di malware e sicurezza.
L’esecuzione di queste scansioni online è piuttosto semplice. Basta inserire l’URL del vostro sito web e i loro crawler lo esamineranno alla ricerca di malware e codice dannoso.
Ora, tenete presente che la maggior parte degli scanner di sicurezza di WordPress può solo avvisarvi se il vostro sito contiene malware. Non possono rimuovere il malware o pulire un sito WordPress violato.
Questo ci porta alla sezione successiva, la pulizia di malware e siti WordPress violati.
Riparare un sito WordPress violato
Molti utenti di WordPress non si rendono conto dell’importanza dei backup e della sicurezza del sito web fino a quando il loro sito non viene violato.
Gli hacker installano backdoor sui siti colpiti e se queste backdoor non vengono corrette correttamente, è probabile che il vostro sito web venga nuovamente violato.
Per gli utenti più avventurosi e fai-da-te, abbiamo compilato una guida passo-passo su come riparare un sito WordPress violato.
Tuttavia, la pulizia di un sito WordPress può essere molto difficile e richiedere molto tempo. Il nostro consiglio è di lasciare che se ne occupi un professionista.
Se si paga per utilizzare il plugin di sicurezza Sucuri di cui abbiamo parlato sopra, la riparazione del sito violato è inclusa nel prezzo.
È anche possibile utilizzare il servizio di riparazione dei siti violati di WPBeginner Pro Services. Questo servizio richiede un pagamento una tantum di 249 dollari e comprende la determinazione dei file premium, la rimozione del codice maligno, gli aggiornamenti del software e della sicurezza e il backup del sito pulito.
Garantiamo di riparare il vostro sito o di restituirvi i soldi. Inoltre, copriamo il vostro sito web per 30 giorni dopo la riparazione, quindi se venite violati di nuovo durante questo periodo, saremo lì per ripararlo.
Puliamo e mettiamo in sicurezza i siti web WordPress da oltre 10 anni, quindi potrete stare tranquilli quando utilizzerete il nostro servizio di riparazione dei siti violati.
Suggerimento bonus: assumete un servizio di manutenzione di WordPress
In quanto proprietari di una piccola impresa molto impegnata, potreste non avere il tempo di monitorare la sicurezza del vostro sito web e di proteggerlo dalle vulnerabilità. Quindi, per alleggerire la vostra mente e il vostro carico di lavoro, potete assumere un servizio di manutenzione di WordPress per il monitoraggio della sicurezza 24 ore su 24, 7 giorni su 7.
WPBeginner Pro Services offre una manutenzione completa del sito web WordPress a un prezzo accessibile. Include il monitoraggio della sicurezza, i backup cloud di routine, gli aggiornamenti di WordPress, il monitoraggio dei tempi di attività e molto altro ancora.
Basta scegliere il pacchetto di servizi di manutenzione mensile più adatto alle vostre esigenze e otterrete un sito WordPress più sicuro e del tempo libero in più per lavorare su altri aspetti della vostra attività.
Se desiderate altre raccomandazioni, potete consultare la nostra selezione dei migliori servizi di manutenzione di siti web per WordPress.
Speriamo che questo articolo vi abbia aiutato a conoscere le migliori pratiche per la sicurezza di WordPress e a scoprire i migliori plugin di sicurezza per il vostro sito web. Potreste anche voler consultare la nostra guida definitiva alla SEO di WordPress per migliorare le vostre classifiche SEO e i nostri consigli da esperti su come velocizzare WordPress.
Se questo articolo vi è piaciuto, iscrivetevi al nostro canale YouTube per le esercitazioni video su WordPress. Potete trovarci anche su Twitter e Facebook.