La sicurezza di WordPress è un argomento di enorme importanza per ogni proprietario di un sito web.
Se avete a cuore il vostro sito web, dovete prestare attenzione alle best practice di sicurezza di WordPress. Altrimenti, potreste diventare uno degli oltre 10.000 siti web che Google inserisce nella blacklist ogni giorno per malware e phishing.
In questa guida condivideremo i nostri migliori consigli sulla sicurezza di WordPress per aiutarvi a proteggere il vostro sito web da hacker e malware.
Anche se il software di base di WordPress è molto sicuro e viene controllato regolarmente da centinaia di sviluppatori, c’è ancora molto da fare per mantenere il vostro sito sicuro.
Noi di WPBeginner crediamo che la sicurezza non si limiti all’eliminazione dei rischi. Si tratta anche di ridurre i rischi. Come proprietari di un sito web, potete fare molto per migliorare la sicurezza di WordPress, anche se non siete esperti di tecnologia.
Ecco perché abbiamo messo insieme un elenco di azioni che potete intraprendere per proteggere il vostro sito web dalle vulnerabilità della sicurezza.
Per semplificare le cose, abbiamo creato un indice per aiutarvi a navigare facilmente nella nostra guida definitiva alla sicurezza di WordPress.
Indice dei contenuti
Nozioni di base sulla sicurezza di WordPress
- Perché la sicurezza di WordPress è importante
- Mantenere WordPress aggiornato
- Utilizzare password e permessi utente forti
- Capire il ruolo dell’hosting WordPress
La sicurezza di WordPress in semplici passi (senza codice)
- Installare una soluzione di backup per WordPress
- Installate un plugin di sicurezza per WordPress affidabile
- Abilitare un firewall per applicazioni Web (WAF)
- Passare il sito WordPress a SSL/HTTPS
Sicurezza di WordPress per gli utenti fai-da-te
- Cambiare il nome utente amministratore predefinito
- Disattivare la modifica dei file
- Disabilitare l’esecuzione di file PHP in alcune directory di WordPress
- Limitare i tentativi di accesso
- Aggiungere l’autenticazione a due fattori (2FA)
- Cambiare il prefisso del database di WordPress
- Proteggere con password la pagina di amministrazione e di accesso di WordPress
- Disabilitare l’indicizzazione e la navigazione delle directory
- Disabilitare XML-RPC in WordPress
- Disconnettere automaticamente gli utenti inattivi in WordPress
- Aggiungere domande di sicurezza al login di WordPress
- Scansione di WordPress alla ricerca di malware e vulnerabilità
- Riparare un sito WordPress violato
Pronti? Iniziamo.
Perché la sicurezza del sito web è importante
Un sito WordPress violato può causare gravi danni alle entrate e alla reputazione della vostra azienda. Gli hacker possono rubare informazioni e password degli utenti, installare software dannoso e persino distribuire malware agli utenti.
Nel peggiore dei casi, potreste ritrovarvi a pagare un ransomware agli hacker solo per riottenere l’accesso al vostro sito web.
Ogni giorno, Google avvisa 12-14 milioni di utenti che un sito web che stanno cercando di visitare potrebbe contenere malware o rubare informazioni.
Inoltre, ogni giorno Google inserisce nella blacklist oltre 10.000 siti web per malware o phishing.
Proprio come i proprietari di aziende con una sede fisica hanno la responsabilità di salvaguardare la loro proprietà, i proprietari di aziende online devono prestare maggiore attenzione alla sicurezza del loro WordPress.
Mantenere WordPress aggiornato
WordPress è un software open-source e viene mantenuto e aggiornato regolarmente. Per impostazione predefinita, WordPress installa automaticamente gli aggiornamenti minori.
Per le versioni principali, è necessario avviare manualmente l’aggiornamento.
WordPress è inoltre dotato di migliaia di plugin e temi che è possibile installare sul proprio sito web. Questi plugin e temi sono gestiti da sviluppatori terzi, che rilasciano regolarmente anche gli aggiornamenti.
Questi aggiornamenti di WordPress sono fondamentali per la sicurezza e la stabilità del vostro sito WordPress. Dovete assicurarvi che il nucleo di WordPress , i plugin e il tema siano aggiornati.
Utilizzare password e permessi utente forti
I più comuni tentativi di violazione di WordPress utilizzano password rubate. Potete rendere più difficile questa situazione utilizzando password più forti e uniche per il vostro sito web.
Non stiamo parlando solo dell’area di amministrazione di WordPress. Ricordate di creare password forti per gli account FTP, i database, gli account di hosting WordPress e gli indirizzi e-mail personalizzati che utilizzano il nome di dominio del vostro sito.
Molti principianti non amano usare password forti perché sono difficili da ricordare. La cosa positiva è che non è più necessario ricordare le password perché basta usare un gestore di password.
Per ulteriori informazioni, consultate la nostra guida su come gestire le password di WordPress.
Un altro modo per ridurre il rischio è quello di non dare a nessuno l’accesso all’account di amministrazione di WordPress, a meno che non sia assolutamente necessario.
Se avete un team numeroso o autori ospiti, assicuratevi di aver compreso i ruoli e le capacità degli utenti in WordPress prima di aggiungere nuovi account utente e autori al vostro sito WordPress.
Capire il ruolo dell’hosting WordPress
Il vostro servizio di hosting WordPress gioca il ruolo più importante nella sicurezza del vostro sito WordPress. Un buon provider di hosting condiviso come Hostinger, Bluehost o SiteGround adotta misure extra per proteggere i propri server dalle minacce più comuni.
Ecco alcuni modi in cui le buone società di web hosting lavorano in background per proteggere i vostri siti web e i vostri dati:
- Monitorano continuamente la loro rete alla ricerca di attività sospette.
- Tutte le buone società di hosting dispongono di strumenti per prevenire gli attacchi DDoS su larga scala.
- Mantengono aggiornati il software del server, le versioni di PHP e l’hardware per evitare che gli hacker sfruttino una vulnerabilità di sicurezza nota in una vecchia versione.
- Dispongono di piani di disaster recovery e di incidenti pronti all’uso che consentono di proteggere i dati in caso di incidente grave.
Con un piano di hosting condiviso, si condividono le risorse del server con molti altri clienti. Esiste il rischio di contaminazione cross-site, in cui un hacker può utilizzare un sito vicino per attaccare il vostro sito web.
Al contrario, l’utilizzo di un servizio di hosting WordPress gestito offre una piattaforma più sicura per il vostro sito web. Le società di hosting WordPress gestite offrono backup automatici, aggiornamenti automatici di WordPress e configurazioni di sicurezza più avanzate per proteggere il vostro sito web.
Raccomandiamo WP Engine come nostro provider di hosting WordPress gestito preferito. È anche il provider più popolare del settore.
Assicuratevi di ottenere la migliore offerta utilizzando il nostro coupon speciale WP Engine.
La sicurezza di WordPress in pochi semplici passi (senza codice)
Sappiamo che migliorare la sicurezza di WordPress può essere un pensiero terrificante per i principianti, soprattutto se non si è esperti di tecnologia. Indovinate un po’: non siete soli.
Abbiamo aiutato migliaia di utenti di WordPress a rafforzare la loro sicurezza.
Vi mostreremo come migliorare la sicurezza di WordPress con pochi clic (non è necessario alcun codice).
Se sapete fare punta e clicca, potete fare questo!
1. Installare una soluzione di backup per WordPress
I backup sono la prima difesa contro qualsiasi attacco a WordPress. Ricordate che nulla è sicuro al 100%. Se i siti web governativi possono essere violati, anche il vostro può esserlo.
I backup consentono di ripristinare rapidamente il sito WordPress nel caso in cui si verifichi un evento negativo.
Esistono molti plugin di backup per WordPress, gratuiti e a pagamento, che potete utilizzare. La cosa più importante da sapere quando si tratta di backup è che dovete salvare regolarmente i backup dell’intero sito in una posizione remota (non il vostro account di hosting).
Si consiglia di archiviarli su un servizio cloud come Amazon, Dropbox o su cloud privati come Stash.
In base alla frequenza di aggiornamento del sito web, l’impostazione ideale potrebbe essere quella di un backup al giorno o in tempo reale.
Fortunatamente questo può essere fatto facilmente utilizzando plugin come Duplicator, UpdraftPlus o BlogVault. Sono entrambi affidabili e soprattutto facili da usare (non è necessario alcun codice).
Per maggiori dettagli, consultate la nostra guida su come eseguire il backup del vostro sito web WordPress.
Installate un plugin di sicurezza per WordPress affidabile
Dopo i backup, la cosa successiva da fare è impostare un sistema di auditing e monitoraggio che tenga traccia di tutto ciò che accade sul vostro sito web.
Questo include il monitoraggio dell’integrità dei file, i tentativi di accesso falliti, la scansione del malware e altro ancora.
Per fortuna, potete occuparvene facilmente installando uno dei migliori plugin di sicurezza per WordPress, come Sucuri.
È necessario installare e attivare il plugin gratuito Sucuri Security. Per maggiori dettagli, consultate la nostra guida passo-passo su come installare un plugin di WordPress.
Ora è possibile accedere alla “Dashboard” di Sucuri Security per verificare se il plugin ha riscontrato problemi immediati con il codice di WordPress.
La cosa successiva da fare è navigare nella pagina Sucuri Security ” Impostazioni e fare clic sulla scheda “Tempra”.
Le impostazioni predefinite funzionano bene per la maggior parte dei siti web, quindi si può procedere all’attivazione facendo clic sul pulsante “Applica protezione” per ciascuna opzione.
In questo modo è possibile bloccare le aree chiave che gli hacker utilizzano spesso nei loro attacchi.
Suggerimento: più avanti in questo articolo tratteremo altri modi per rendere più sicuro il vostro sito web, come la modifica del prefisso del database e del nome utente dell’amministratore. Tuttavia, questi sono più tecnici e potrebbero richiedere conoscenze di codifica.
Dopo la parte di indurimento, le altre impostazioni predefinite del plugin sono sufficienti per la maggior parte dei siti web e non richiedono alcuna modifica.
L’unica cosa che consigliamo di personalizzare sono gli avvisi via e-mail, che si trovano nella scheda “Avvisi” della pagina delle impostazioni.
Per impostazione predefinita, riceverete molti avvisi e-mail che possono ingombrare la vostra casella di posta.
Si consiglia di attivare gli avvisi solo per le azioni chiave di cui si desidera ricevere notifica, come le modifiche ai plugin e le registrazioni di nuovi utenti.
Questo plugin per la sicurezza di WordPress è molto potente, quindi sfogliate tutte le schede e le impostazioni per vedere tutto ciò che fa, come la scansione del malware, i registri di audit, il monitoraggio dei tentativi di accesso falliti e altro ancora.
Per maggiori informazioni, potete consultare la nostra recensione dettagliata di Sucuri.
Abilitare un firewall per applicazioni Web (WAF)
Il modo più semplice per proteggere il vostro sito ed essere sicuri della sicurezza di WordPress è utilizzare un firewall per applicazioni web (WAF).
Un firewall per siti web blocca tutto il traffico dannoso prima ancora che raggiunga il vostro sito.
- Un firewall per siti web a livello di DNS instrada il traffico del vostro sito web attraverso i suoi server proxy nel cloud. Ciò consente di inviare al vostro server web solo il traffico autentico.
- Un firewall a livello di applicazione esamina il traffico una volta raggiunto il server, ma prima di caricare la maggior parte degli script di WordPress. Questo metodo non è efficiente come il firewall a livello di DNS nel ridurre il carico del server.
Per saperne di più, consultate il nostro elenco dei migliori plugin firewall per WordPress.
Abbiamo utilizzato Sucuri su WPBeginner per molti anni e lo raccomandiamo ancora come uno dei migliori firewall per applicazioni web per WordPress. Di recente siamo passati da Sucuri a Cloudflare perché avevamo bisogno di una rete CDN più grande con caratteristiche più orientate ai clienti aziendali.
Potete leggere come Sucuri ci ha aiutato a bloccare 450.000 attacchi WordPress in un mese.
La parte migliore del firewall di Sucuri è che viene fornito anche con una garanzia di pulizia del malware e di rimozione dalla blacklist. Ciò significa che se doveste subire un attacco di hacking sotto la loro sorveglianza, vi garantiscono di sistemare il vostro sito web, indipendentemente dal numero di pagine che avete.
Si tratta di una garanzia piuttosto forte, perché riparare i siti web violati è costoso. Gli esperti di sicurezza normalmente chiedono più di 250 dollari all’ora, mentre è possibile ottenere l’intero pacchetto di sicurezza Sucuri a 199 dollari per un anno intero.
Detto questo, Sucuri non è l’unico fornitore di firewall a livello di DNS in circolazione. L’altro popolare concorrente è Cloudflare. Consultate il nostro confronto tra Sucuri e Cloudflare (pro e contro).
Passare il sito WordPress a SSL/HTTPS
SSL (Secure Sockets Layer) è un protocollo che cripta il trasferimento di dati tra il vostro sito web e il browser dell’utente. Questa crittografia rende più difficile per qualcuno sniffare e rubare informazioni.
Una volta attivato l’SSL, l’indirizzo del vostro sito web utilizzerà HTTPS anziché HTTP. Nel browser si vedrà anche un lucchetto o un’icona simile accanto all’indirizzo del sito web.
I certificati SSL sono tipicamente emessi dalle autorità di certificazione e il loro prezzo varia da 80 a centinaia di dollari all’anno. A causa dei costi aggiuntivi, in passato la maggior parte dei proprietari di siti web ha scelto di continuare a utilizzare il protocollo insicuro.
Per risolvere questo problema, un’organizzazione no-profit chiamata Let’s Encrypt ha deciso di offrire certificati SSL gratuiti ai proprietari di siti web. Il loro progetto è sostenuto da Google Chrome, Facebook, Mozilla e molte altre aziende.
È più facile che mai iniziare a usare l’SSL per tutti i vostri siti web WordPress. Molte società di hosting offrono ora un certificato SSL gratuito per il vostro sito WordPress.
Se la vostra società di hosting non ne offre uno, potete acquistare un certificato SSL da Domain.com. Si tratta delle offerte SSL migliori e più affidabili del mercato. Il certificato viene fornito con una garanzia di sicurezza di 10.000 dollari e un sigillo di sicurezza TrustLogo.
Sicurezza di WordPress per gli utenti fai-da-te
Se fate tutto ciò che abbiamo menzionato finora, allora siete a buon punto.
Ma come sempre, è possibile fare di più per rafforzare la sicurezza di WordPress.
Tenete presente che alcuni di questi passaggi possono richiedere conoscenze di codifica.
Cambiare il nome utente amministratore predefinito
In passato, il nome utente predefinito dell’amministratore di WordPress era “admin”. Poiché i nomi utente costituiscono la metà delle credenziali di accesso, questo rendeva più facile per gli hacker effettuare attacchi a forza bruta.
Fortunatamente, WordPress ha cambiato questo aspetto e ora richiede di selezionare un nome utente personalizzato al momento dell’installazione di WordPress.
Tuttavia, alcuni installatori di WordPress con un solo clic impostano ancora il nome utente amministratore predefinito su “admin”. Se notate che questo è il caso, probabilmente è una buona idea cambiare il vostro hosting web.
Poiché WordPress non consente di modificare i nomi utente per impostazione predefinita, ci sono tre metodi che si possono utilizzare per cambiare il nome utente.
- Creare un nuovo nome utente amministratore ed eliminare quello vecchio.
- Utilizzare il plugin Cambio nome utente
- Aggiornare il nome utente da phpMyAdmin
Abbiamo trattato tutti e tre questi aspetti nella nostra guida dettagliata su come cambiare correttamente il nome utente di WordPress.
Nota: per essere chiari, stiamo parlando di cambiare il nome utente chiamato “admin”, non il ruolo di amministratore, che a volte è chiamato anche “admin”.
Disattivare la modifica dei file
WordPress è dotato di un editor di codice integrato che consente di modificare i file di temi e plugin direttamente dall’area di amministrazione di WordPress.
Nelle mani sbagliate, questa funzione può rappresentare un rischio per la sicurezza, per cui si consiglia di disattivarla.
È possibile farlo facilmente aggiungendo il seguente codice al file wp-config.php o con un plugin di snippet di codice come WPCode (consigliato):
// Disallow file edit
define( 'DISALLOW_FILE_EDIT', true );
Vi mostriamo come farlo passo dopo passo nella nostra guida su come disabilitare gli editor di temi e plugin dal pannello di amministrazione di WordPress.
In alternativa, è possibile eseguire questa operazione con un solo clic utilizzando la funzione Hardening del plugin gratuito Sucuri menzionato in precedenza.
Disabilitare l’esecuzione di file PHP in determinate directory di WordPress
Un altro modo per rafforzare la sicurezza di WordPress è quello di disabilitare l’esecuzione di file PHP nelle directory in cui non è necessario, come /wp-content/uploads/
.
È possibile farlo aprendo un editor di testo come Notepad e incollando questo codice:
<Files *.php>
deny from all
</Files>
Successivamente, è necessario salvare questo file come .htaccess e caricarlo nella cartella /wp-content/uploads/
del vostro sito web utilizzando un client FTP.
Per una spiegazione più dettagliata, consultate la nostra guida su come disabilitare l’esecuzione di PHP in alcune directory di WordPress.
In alternativa, è possibile eseguire questa operazione con un solo clic utilizzando la funzione Hardening del plugin gratuito Sucuri di cui abbiamo parlato sopra.
Limitare i tentativi di accesso
Per impostazione predefinita, WordPress consente agli utenti di provare ad accedere quante volte vogliono. Questo rende il vostro sito WordPress vulnerabile agli attacchi di forza bruta. In questo caso, gli hacker cercano di decifrare le password provando ad accedere con diverse combinazioni.
Questo problema può essere facilmente risolto limitando i tentativi di accesso falliti che un utente può effettuare. Se si utilizza il firewall per applicazioni web menzionato in precedenza, questo problema viene risolto automaticamente.
Tuttavia, se non avete impostato il firewall, potete procedere come segue.
Innanzitutto, è necessario installare e attivare il plugin gratuito Limit Login Attempts Reloaded. Per maggiori dettagli, consultate la nostra guida passo-passo su come installare un plugin di WordPress.
Dopo l’attivazione, il plugin inizierà a limitare il numero di tentativi di accesso degli utenti.
Le impostazioni predefinite funzionano per la maggior parte dei siti web, tuttavia è possibile personalizzarle visitando la pagina Impostazioni ” Limita tentativi di accesso e facendo clic sulla scheda “Impostazioni” in alto. Ad esempio, per rispettare le leggi GDPR, è possibile fare clic sulla casella di controllo “Conformità GDPR”.
Per istruzioni dettagliate, date un’occhiata alla nostra guida su come e perché limitare i tentativi di accesso in WordPress.
Aggiungere l’autenticazione a due fattori (2FA)
Il metodo di autenticazione a due fattori richiede due diversi passaggi per l’accesso degli utenti:
- Il primo passo è rappresentato dal nome utente e dalla password.
- Il secondo passo richiede l’utilizzo di un codice da un dispositivo o da un’applicazione in vostro possesso a cui gli hacker non possono accedere, come ad esempio il vostro smartphone.
La maggior parte dei principali siti online, come Google, Facebook e Twitter, consentono di abilitarla per i propri account. È possibile aggiungere la stessa funzionalità al proprio sito WordPress.
Innanzitutto, è necessario installare e attivare il plugin WP 2FA – Autenticazione a due fattori. Per maggiori dettagli, consultate la nostra guida passo passo su come installare un plugin di WordPress.
Una procedura guidata di facile utilizzo vi aiuterà a configurare il plugin e poi vi verrà fornito un codice QR.
È necessario scansionare il codice QR utilizzando un’applicazione di autenticazione sul telefono, come Google Authenticator, Authy e LastPass Authenticator.
Si consiglia di utilizzare LastPass Authenticator o Authy perché consentono di eseguire il backup degli account nel cloud. Questo è molto utile nel caso in cui il vostro telefono venga perso, resettato o ne acquistiate uno nuovo. Tutti i login dei vostri account saranno facilmente ripristinati.
La maggior parte di queste app funziona in modo simile e, se si utilizza Authy, è sufficiente fare clic sul pulsante “+” o “Aggiungi account” nell’app Autenticatore.
In questo modo è possibile scansionare il codice QR sul computer utilizzando la fotocamera del telefono. Potrebbe essere necessario dare all’applicazione il permesso di accedere alla fotocamera.
Dopo aver dato un nome all’account, è possibile salvarlo.
La prossima volta che accederete al vostro sito web, vi verrà chiesto il codice di autenticazione a due fattori dopo aver inserito la password.
È sufficiente aprire l’app Authenticator sul telefono per visualizzare un codice unico.
È quindi possibile inserire il codice sul proprio sito web per completare l’accesso.
Cambiare il prefisso del database di WordPress
Per impostazione predefinita, WordPress utilizza wp_
come prefisso per tutte le tabelle del database di WordPress.
Se il vostro sito WordPress utilizza il prefisso predefinito del database, è più facile per gli hacker indovinare il nome della tabella. Per questo motivo vi consigliamo di cambiarlo.
Potete cambiare il prefisso del database seguendo il nostro tutorial passo passo su come cambiare il prefisso del database di WordPress per migliorare la sicurezza.
Nota: la modifica del prefisso del database può danneggiare il sito se non viene eseguita correttamente. Eseguite questa operazione solo se vi sentite a vostro agio con le vostre capacità di codifica.
Proteggere con password la pagina di amministrazione e di accesso di WordPress
Normalmente, gli hacker possono richiedere la cartella wp-admin e la pagina di accesso senza alcuna restrizione. Questo permette loro di provare i loro trucchi di hacking o di eseguire attacchi DDoS.
È possibile aggiungere una protezione aggiuntiva con password a livello di server, che bloccherà efficacemente tali richieste.
Seguite le nostre istruzioni passo passo su come proteggere con password la directory di amministrazione di WordPress (wp-admin).
Disattivare l’indicizzazione e la navigazione delle directory
Quando si digita l’indirizzo di una delle cartelle del sito web in un browser, viene visualizzata la pagina web index.html
, se esiste. Se non esiste, viene visualizzato un elenco di file nella cartella. Questa operazione è nota come navigazione nelle directory.
L’esplorazione delle directory può essere utilizzata dagli hacker per scoprire se sono presenti file con vulnerabilità note, in modo da poterli sfruttare per ottenere l’accesso.
L’esplorazione delle directory può essere utilizzata anche da altre persone per esaminare i file, copiare immagini, scoprire la struttura delle directory e altre informazioni. Per questo motivo si consiglia vivamente di disattivare l’indicizzazione e l’esplorazione delle directory.
È necessario collegarsi al proprio sito web utilizzando l’FTP o il file manager del proprio provider di hosting. Quindi, individuate il file .htaccess
nella directory principale del vostro sito web. Se non riuscite a vederlo, consultate la nostra guida sul perché non riuscite a vedere il file .htaccess in WordPress.
Successivamente, è necessario aggiungere la seguente riga alla fine del file .htaccess:
Opzioni -Indici
Non dimenticate di salvare e caricare il file .htaccess sul vostro sito.
Per saperne di più su questo argomento, consultate il nostro articolo su come disabilitare la navigazione nelle directory in WordPress.
Disabilitare XML-RPC in WordPress
XML-RPC è un’API di base di WordPress che aiuta a collegare il vostro sito WordPress con le applicazioni web e mobili. È stata attivata per impostazione predefinita da WordPress 3.5.
Tuttavia, a causa della sua natura potente, XML-RPC può amplificare in modo significativo gli attacchi brute-force.
Ad esempio, se un hacker volesse provare 500 password diverse sul vostro sito web, dovrebbe effettuare 500 tentativi di accesso separati. Questo può essere individuato e bloccato dal plugin Limit Login Attempts Reloaded.
Ma con XML-RPC, un hacker può utilizzare la funzione system.multicall
per provare migliaia di password con 20 o 50 richieste.
Per questo motivo, se non si utilizza XML-RPC, si consiglia di disabilitarlo.
Ci sono 3 modi per disabilitare XML-RPC in WordPress e li abbiamo trattati tutti nel nostro tutorial passo-passo su come disabilitare XML-RPC in WordPress.
Suggerimento: il metodo .htaccess è il migliore perché è quello che richiede meno risorse. Gli altri metodi sono più semplici per i principianti.
In alternativa, questo aspetto viene gestito automaticamente se si utilizza un firewall per applicazioni web (WAF), come abbiamo detto in precedenza.
Disconnettere automaticamente gli utenti inattivi in WordPress
Gli utenti connessi possono talvolta allontanarsi dallo schermo e questo rappresenta un rischio per la sicurezza. Qualcuno può dirottare la loro sessione, cambiare le password o apportare modifiche al loro account.
Ecco perché molti siti bancari e finanziari disconnettono automaticamente un utente inattivo. Potete impostare una funzionalità simile anche sul vostro sito WordPress.
È necessario installare e attivare il plugin Inactive Logout. Dopo l’attivazione, visitare la pagina Impostazioni ” Logout inattivo per personalizzare le impostazioni di logout.
È sufficiente impostare la durata e aggiungere un messaggio di logout. Quindi, non dimenticate di fare clic sul pulsante “Salva modifiche” in fondo alla pagina per memorizzare le impostazioni.
Per istruzioni passo passo, consultare la nostra guida su come disconnettere automaticamente gli utenti inattivi in WordPress.
Aggiungere domande di sicurezza alla schermata di accesso di WordPress
L’aggiunta di una domanda di sicurezza alla schermata di login di WordPress rende ancora più difficile l’accesso non autorizzato.
È possibile aggiungere domande di sicurezza installando il plugin Autenticazione a due fattori. Dopo l’attivazione, è necessario visitare la pagina Autenticazione a più fattori ” Due fattori per configurare le impostazioni del plugin.
Questo vi permetterà di aggiungere vari tipi di autenticazione a due fattori al vostro sito, comprese le domande di sicurezza.
Per istruzioni più dettagliate, consultate il nostro tutorial su come aggiungere domande di sicurezza alla schermata di login di WordPress.
Scansione di WordPress alla ricerca di malware e vulnerabilità
Se avete installato un plugin di sicurezza per WordPress, questo controllerà regolarmente la presenza di malware e di segni di violazione della sicurezza.
Tuttavia, se notate un improvviso calo del traffico del sito web o delle classifiche di ricerca, potreste voler effettuare una scansione manuale alla ricerca di malware. Potete farlo utilizzando il plugin di sicurezza di WordPress o uno dei migliori scanner di malware e sicurezza.
L’esecuzione di queste scansioni online è piuttosto semplice. Basta inserire l’URL del vostro sito web e i loro crawler lo esamineranno alla ricerca di malware e codice dannoso.
Ora, tenete presente che la maggior parte degli scanner di sicurezza di WordPress può solo avvisarvi se il vostro sito contiene malware. Non possono rimuovere il malware o pulire un sito WordPress violato.
Questo ci porta alla sezione successiva, la pulizia di malware e siti WordPress violati.
Riparare un sito WordPress violato
Molti utenti di WordPress non si rendono conto dell’importanza dei backup e della sicurezza del sito web fino a quando il loro sito non viene violato.
Gli hacker installano backdoor sui siti colpiti e se queste backdoor non vengono corrette correttamente, è probabile che il vostro sito web venga nuovamente violato.
Per gli utenti più avventurosi e fai-da-te, abbiamo compilato una guida passo-passo su come riparare un sito WordPress violato.
Tuttavia, la pulizia di un sito WordPress può essere molto difficile e richiedere molto tempo. Il nostro consiglio è di lasciare che se ne occupi un professionista.
Se si paga per utilizzare il plugin di sicurezza Sucuri di cui abbiamo parlato sopra, la riparazione del sito violato è inclusa nel prezzo.
È anche possibile utilizzare il servizio di riparazione dei siti violati di WPBeginner Pro Services. Questo servizio richiede un pagamento una tantum di 249 dollari e comprende la determinazione dei file premium, la rimozione del codice maligno, gli aggiornamenti del software e della sicurezza e il backup del sito pulito.
Garantiamo di riparare il vostro sito o di restituirvi i soldi. Inoltre, copriamo il vostro sito web per 30 giorni dopo la riparazione, quindi se venite violati di nuovo durante questo periodo, saremo lì per ripararlo.
Puliamo e mettiamo in sicurezza i siti web WordPress da oltre 10 anni, quindi potrete stare tranquilli quando utilizzerete il nostro servizio di riparazione dei siti violati.
Suggerimento bonus: assumete un servizio di manutenzione di WordPress
In quanto proprietari di una piccola impresa molto impegnata, potreste non avere il tempo di monitorare la sicurezza del vostro sito web e di proteggerlo dalle vulnerabilità. Quindi, per alleggerire la vostra mente e il vostro carico di lavoro, potete assumere un servizio di manutenzione di WordPress per il monitoraggio della sicurezza 24 ore su 24, 7 giorni su 7.
WPBeginner Pro Services offre una manutenzione completa del sito web WordPress a un prezzo accessibile. Include il monitoraggio della sicurezza, i backup cloud di routine, gli aggiornamenti di WordPress, il monitoraggio dei tempi di attività e molto altro ancora.
Basta scegliere il pacchetto di servizi di manutenzione mensile più adatto alle vostre esigenze e otterrete un sito WordPress più sicuro e del tempo libero in più per lavorare su altri aspetti della vostra attività.
Se desiderate altre raccomandazioni, potete consultare la nostra selezione dei migliori servizi di manutenzione di siti web per WordPress.
Speriamo che questo articolo vi abbia aiutato a conoscere le migliori pratiche per la sicurezza di WordPress e a scoprire i migliori plugin di sicurezza per il vostro sito web. Potreste anche voler consultare la nostra guida definitiva alla SEO di WordPress per migliorare le vostre classifiche SEO e i nostri consigli da esperti su come velocizzare WordPress.
Se questo articolo vi è piaciuto, iscrivetevi al nostro canale YouTube per le esercitazioni video su WordPress. Potete trovarci anche su Twitter e Facebook.
Syed Balkhi
Hey WPBeginner readers,
Did you know you can win exciting prizes by commenting on WPBeginner?
Every month, our top blog commenters will win HUGE rewards, including premium WordPress plugin licenses and cash prizes.
You can get more details about the contest from here.
Start sharing your thoughts below to stand a chance to win!
Leanne
This is one of the best tutorial sites (on any subject matter) I have found. Thank you I will refer wpbeginner to others – awesome site!
WPBeginner Support
You’re welcome and glad you’ve found our content helpful
Admin
Daniel
You know there are guys charging more than $50 or $100 dollars to teach you how to do all of this, and you gave it for free! Thanks heaps guys!
WPBeginner Support
You’re welcome
Admin
Power
Thanks for the article, its really useful
WPBeginner Support
You’re welcome
Admin
Mydas
This was super-useful. I have the coding skills to implement all of it, and now I can take much better care of my and my clients’ WordPress installations. Thank you for the info, it’s so complete that I can’t believe it’s free xD
WPBeginner Support
You’re welcome, glad our guide was helpful
Admin
Splendor Edesiri
Please do I need a VPN to access my WordPress site from the backend as part of my WordPress site security.
WPBeginner Support
No, that is not required
Admin
Kam
Thank you for this article. It is essential reading!
If you have a host like Bluehost, is it essential to have backup with a plugin such as Updraft plus + remote storage? After all, hosting providers should be providing backup?
WPBeginner Support
While some hosts offer backups, we still recommend creating your own backups for safety
Admin
Kyle B.
Changing the database prefix won’t make any difference. Other than that, not a bad article.
WPBeginner Support
Thanks for sharing your opinion and glad you liked our article
Admin
kalmoa
just an FYI, with Nginx there is no directory-level configuration file like Apache’s .htaccess. All configuration has to be done at the server level by an administrator, and WordPress cannot modify the configuration, like it can with Apache. So the part about ‘Disable PHP File Execution’, cannot be completed by wordpress installs running on Nginx. That includes myself, who is running my wordpress install on Vultr. Their one-click wordpress install gets deployed on Nginx (ubuntu 18.04)
WPBeginner Support
Thank you for sharing this for the users who specifically are using Nginx for their site.
Admin
Tom
What is the best method to update plugins if I have several that need updating? Update one at a time and see if the updated plugin breaks any of the functionality on the website?
WPBeginner Support
If you are concerned an update would break your site, we would recommend testing the update by following our guide on how to create a staging environment below:
https://www.wpbeginner.com/wp-tutorials/how-to-create-staging-environment-for-a-wordpress-site/
Admin
Kartik Satija
Amazing article, very well articulated and documented.
Thank you all so much for this.
More power to you guys, keep up the good work.
Cheers,
Kartik.
WPBeginner Support
Glad you found our guide helpful
Admin
MIMIFTAH
Very Informative content. Thanks
WPBeginner Support
You’re welcome
Admin
Liz
Great article. I have a question about the hardening options. I read that enabling hardening on all options can cause some plugins or the theme to break/not work properly. If this happens, how difficult is it to fix? It seems like there’s more to it than just reverting the hardening option. Any insight you could offer would be greatly appreciated. Thanks!
WPBeginner Support
It would depend on the specific hardening recommendation, plugin, and error message for the difficulty should an error appear. Otherwise, most plugins shouldn’t have an issue
Admin
Gary Starling
Very helpful suggestions and well explained from the basic to the complex
Thank you four your explanations
WPBeginner Support
You’re welcome, glad our article could be helpful
Admin
Andrei
Hi guys,
After the first user enumeration, brute force a security plugin will block that IP address.
If you password protect the wp-admin directory the plugin can no longer block that IP.
Is that a correct assessment?
WPBeginner Support
Correct, there would be a similar load to a blocked IP but if you need many new users to access your site then limiting login attempts would be better than password protecting your wp-admin
Admin
Andrei
Ok, I finally understood how this works and sharing here for everyone. Password protecting wp-admin is done at the server (Apache/Nginx) level. If a user enumeration, brute force is unable to bypass the server level, it would not be able to touch PHP/MySQL. Thus, password protecting wp-admin does not put additional load on the database.
Peter
Very informative and helpful, I have configured all the hardening procedure you mentioned, Thanks a lot.
WPBeginner Support
You’re welcome, glad our guide was helpful
Admin
Aqib khan
i will always follow you.i will always love you and always share such a fresh and cool content to make us smile.Thank You.
WPBeginner Support
Thank you, glad you’ve enjoyed our content
Admin
mahmoud
I love this site. you’re offering precious information.
I’m a beginner and this is helpful.
but can I only have a strong password and disable indexing to do the matter?
what about all these plugins I think they will affect the site speed or this not installed on the site?
WPBeginner Support
For your concern with plugins slowing down your site, you shouldn’t need to worry, we explain our reasoning behind this here: https://www.wpbeginner.com/opinion/how-many-wordpress-plugins-should-you-install-on-your-site/
Admin
Krishna
Hi WP Beginner Team,
Thanks for such a brief explanation of WordPress security. This article was very useful and let know the value of wp security for the users and website owner.
THANKS AGAIN…
WPBeginner Support
You’re welcome, glad our article was helpful
Admin
Kushal
I used all plugin that you mentioned sucuri, itheams, wp serber and jetpack. How many plugin can I use on my website.
WPBeginner Support
We would recommend sticking with only one plugin for a specific feature but for in general how many plugins to use you would want to take a look at our article here: https://www.wpbeginner.com/opinion/how-many-wordpress-plugins-should-you-install-on-your-site/
Admin
Leighann
This was SO helpful. Thanks for the information and saving me so much time!
WPBeginner Support
You’re welcome, glad our guide could be helpful
Admin
Dietrich
Hi
Is it okay to use Sucuri and Wordfence at the same time? I installed Wordfence since Sucuri’s free version doesn’t have a firewall feature.
WPBeginner Support
We would not recommend using both, multiple security tools can conflict with each other and cause issues with your site.
Admin
Yiannis Christodoulou
Very helpful article.
Thank you for sharing.
WPBeginner Support
You’re welcome, glad our article could help
Admin
Steve Schultz
Your free Sucuri Security plugin link is broken … 404 error.
WPBeginner Support
Thanks for letting us know, the link should be fixed
Admin
Monty parihar
Now my website is secured, after read your post immidiatly we install security plugin. Thank u WP Beginner.
WPBeginner Support
You’re welcome
Admin
Melvin Adame
Amazing read! Security should always be the #1 priority for any website owner, for their sake and their visitors.
WPBeginner Support
Thank you, glad you like our content
Admin
Adil
Thanks for all this info!
WPBeginner Support
You’re welcome
Admin
Mark Bunner
Some good tips here. I have already used a lot of them; but it gives a few other areas to think about.
WPBeginner Support
Thank you, glad you like our recommendations
Admin
Chukwuemeka Ebuka
Am very grateful for this article, all thanks to wpbeginner.com.
WPBeginner Support
You’re welcome, glad our article could be helpful
Admin
Heidi
Great article, thanks! I think I’ve done most of these things now (except ones requiring coding). I did however have a problem setting a password for the admin folder. While I worked out how to do this in cPanel (under ‘directory privacy’), when I went back to my dashboard I found I was locked out. Then I spent over an hour on chat support with Bluehost only to discover what I suspected – that when you log in to WP from Bluehost it takes you straight to the admin area, so there is no opportunity to login to the admin folder, which means you just get locked out. Guess this is a problem with Bluehost and the only solution they gave me was install a plugin
WPBeginner Support
If you’re using their link from the hosting dashboard to log into your site that may be true but if you add /wp-admin to your domain then it should take you to the login page which will bring up the additional login requirement
Admin
Heidi
Ok great thanks, I’ll try that.
Julian Song
Awesome article on security. Setup WordPress is easy, but to managed it need lots of study & research. Your blog helps the community more than you can imagine. I even share your blog on the recent WordPress meet-up as one of the best guidelines.
WPBeginner Support
Thank you for your kind words and sharing our articles
Admin
Malith
Thank you very much!
WPBeginner Support
You’re welcome, glad our guide could be helpful
Admin
Shiva Prasad
Thanks for being a good mentor and for guiding me on the right path. I will always be thankful to you.
WPBeginner Support
Glad our guides could help you
Admin
Majid
Hi,
I am new to wordpress, I am using bluehost to host my website, when I cliked on the wordpress button, it automatically took me to cPanel, without asking any password, which passwords are we talking about?
P.S at the right top corner I could see Howdy, my name…does that mean is that my username?
I do’t remember installing wordpress on bluehost, neither did I enter any username or password separately for wordpress.
Please help.
WPBeginner Support
That is BlueHost’s tool to make setting up your WordPress site easier, our article is talking about the password for your WordPress site. You can change your password for your site under Users>Your Profile. The name next to Howdy should be your username.
Admin
Terence Vickers
You may have a typo in the XML-RPC section which is a bit confusing.
Presently reads: “This is why if you’re not using XML-RPC, then we recommend that you disable it.”
If I’m not using i There would likely be no way to disable it.
WPBeginner Support
Apologies for any confusion, with that statement we mean if you’re not using it for a specific plugin or other need then we would recommend disabling it rather than meaning if it is disabled to disable it. We’ll look into clarifying that
Admin
Syed Gallani
I understand keeping wordpress updated is essential for security, but is it really necessary ,from security point of view, to update all the plugins. How outdated plugins can make your website more prone to being hacked?
WPBeginner Support
It would depend on the plugin for how it could make your site vulnerable but some plugins may have code that could be out of date for a newly discovered issue with a piece of code.
Admin
David Anozie
A big thank you! Your the boss.
WPBeginner Support
Thank you for being one of our readers
Admin
Nick
Would blocking Search Engine Spiders (via robots.txt) from Indexing directories help with security?
WPBeginner Support
No, it would only mean those search crawlers would not look at your site.
Admin
寒星
It’s turely helpful to maintaining WP. I love it and thank you so much.
WPBeginner Support
You’re welcome, glad our article was helpful
Admin
peg
i’m learning the hard way! : ) i’m so glad to have found you. i have a hacked 5-year old site hosted on godaddy (can’t get into the admin at all) … they want $300 to fix it, so i’m rebuilding on bluehost and implementing your security suggestions. looking forward to learning much more! thank you so much for this resource.
WPBeginner Support
You’re welcome, glad our guide can help
Admin
Jeff Moyer
Great comprehensive list thank you! Limiting the amount of login attempts I find is a big one since it will discourage a lot of hackers right from the get go. It might be frustrating if you lost or forget your passwords but still well worth it.
WPBeginner Support
You’re welcome, glad you liked our article
Admin
Tanmay Kapse
An awesomely detailed post!! each and every thing is described perfectly. Keep up the good work
WPBeginner Support
Thank you, glad you liked our content
Admin
Sunny Chawla
Much obliged to you for supportive page improve my site
WPBeginner Support
Glad our guide could be helpful
Admin
Santhosh Naikar
What are things I need to worry when it is hosted on a internal network[Has access to only systems with in our office network]?
WPBeginner Support
Your main concern for an intranet would be to ensure each user has the correct privileges for their role, after that it would be protecting yourself from brute force attacks and similar.
Admin
steven suslick
I find this and many of the posts very helpful. I have a hack related question. Google analytics is reporting strange pages that do not actually existing in my posts. The all seem to have a /?s= for example /?s=dox. I can not seem to locate source any suggestions?
WPBeginner Support
Those pages are from users using the search on your site, for the second someone searched for the word dox
Admin
Emmanuel Ikechukwu
This is the best wordpress online tutor i have come across so far.
WPBeginner Support
Glad our articles are helpful
Admin
Bobbie Camp
Found this article to be very helpful. I am very new and not “techy” and need all the assistance I can get. Appreciate your easy to read instructions.
WPBeginner Support
Glad our articles could help
Admin
Jemes
It is very helpful. Thanks
WPBeginner Support
You’re welcome
Admin
NICHOLAS AMOL GOMES
Thank you for helpful page improve my site
WPBeginner Support
You’re welcome
Admin
Brad Vincent
Hey guys,
I must agree with your mentions of Sucuri – they have sorted out a couple of hacked sites of mine over the years. Worth every penny!
I am really loving these extended posts with all the info I need. I have been following your website speed post and that has made a big difference to my sites. After I have finished with that I will be following this one for sure.
Awesome work and much appreciated.
WPBeginner Support
Thank you, glad you find our articles helpful
Admin
Brian
What are your thoughts on Wordfence and Sucuri on the same WP installation? They seem to have some similar functionality so was wondering how much more I get with both versus just one security tool. Is Wordfence a reasonable alternative?
WPBeginner Support
We would recommend only one at a time to prevent conflicts between the plugins.
Admin
Mark
I use Wordfence and Sucuri for different functions. While they may at first appear to be competitors, they are actually complementary. I’ve had no issues running both … so far … but of course there are incompatibilities among plugins in general.