Come fate a sapere se il vostro sito web è sicuro? Volete eseguire un audit di sicurezza approfondito per scoprirlo?
WordPress è molto sicuro fin dall’inizio. Tuttavia, se sospettate che qualcosa non vada bene, una verifica della sicurezza può aiutarvi a identificare i problemi da affrontare.
In questo articolo vi mostreremo come eseguire facilmente una verifica della sicurezza di WordPress senza disattivare il vostro sito.
Che cos’è un audit di sicurezza di WordPress?
Eseguire un controllo di sicurezza sul vostro sito web WordPress significa verificare che il sito non presenti segni di violazione della sicurezza. È possibile eseguire un controllo di WordPress per cercare attività sospette, codice maligno o un insolito calo delle prestazioni.
Vi mostreremo come eseguire un controllo di sicurezza di base seguendo semplici passaggi che potete eseguire manualmente. Vi mostreremo anche come utilizzare gli strumenti e i servizi di controllo della sicurezza di WordPress per eseguire automaticamente i controlli di sicurezza.
Se si trova qualcosa di sospetto, è possibile isolarlo, rimuoverlo e risolverlo.
Quando eseguire un controllo di sicurezza di WordPress
Dovreste eseguire una verifica della sicurezza di WordPress almeno una volta al trimestre. In questo modo è possibile tenere sotto controllo tutto e chiudere le falle di sicurezza prima ancora che causino problemi.
Tuttavia, è necessario eseguire immediatamente un controllo di sicurezza se si nota qualcosa di sospetto, come ad esempio:
- Il vostro sito web è diventato improvvisamente lento e poco efficiente.
- Si assiste a un calo del traffico sul sito web.
- Ci sono nuovi account sospetti, richieste di password dimenticate o tentativi di accesso sul vostro sito web.
- Vedete apparire sul vostro sito web dei link sospetti.
Detto questo, vediamo come eseguire facilmente un controllo di sicurezza di WordPress.
Esecuzione di una verifica manuale di base della sicurezza di WordPress
Ecco una lista di controllo di alcuni passaggi che potete seguire per eseguire un controllo manuale di base della sicurezza di WordPress sul vostro sito web.
1. Aggiornare il nucleo, i plugin e i temi di WordPress
Gli aggiornamenti di WordPress sono molto importanti per la sicurezza e la stabilità del vostro sito web. Essi correggono le vulnerabilità della sicurezza, introducono nuove funzionalità e migliorano le prestazioni.
Assicuratevi che il software di base di WordPress, tutti i plugin e i temi siano aggiornati. Potete farlo facilmente visitando la pagina Dashboard ” Aggiornamenti all’interno dell’area di amministrazione di WordPress.
WordPress cercherà se sono disponibili aggiornamenti e li elencherà per consentirne l’installazione. Se avete bisogno di ulteriore aiuto, consultate le nostre guide su come aggiornare correttamente WordPress e come aggiornare correttamente i plugin di WordPress.
2. Controllare gli account utente e le password
Successivamente, è necessario esaminare gli account utente di WordPress visitando la pagina Utenti ” Tutti gli utenti. Cercate gli account utente sospetti che non dovrebbero essere presenti.
Se gestite un negozio online, un sito associativo o vendete corsi online, potreste avere degli account utente a cui i vostri clienti possono accedere.
Tuttavia, se gestite un blog o un sito web aziendale, dovreste vedere solo gli account utente per voi stessi o per qualsiasi altro utente aggiunto manualmente.
Se si notano account utente sospetti, è necessario eliminarli.
Se il vostro sito web non richiede agli utenti di creare un account, dovete visitare la pagina Impostazioni ” Generale e assicurarvi che la casella accanto all’opzione “Chiunque può registrarsi” sia deselezionata.
Come ulteriore precauzione, è necessario modificare la password di amministrazione di WordPress. Consigliamo vivamente di aggiungere l’autenticazione a due fattori per rafforzare la sicurezza delle password sul vostro sito.
3. Eseguire una scansione di sicurezza di WordPress
Il passo successivo consiste nel verificare che il vostro sito web non presenti vulnerabilità di sicurezza. Fortunatamente, esistono diversi scanner di sicurezza online che possono essere utilizzati per verificare la presenza di malware.
Si consiglia di utilizzare IsItWP Security Scanner, che controlla il vostro sito web alla ricerca di malware e altre vulnerabilità di sicurezza.
Questi strumenti sono validi, ma possono analizzare solo le pagine pubbliche del vostro sito web. Vi mostreremo come eseguire controlli più approfonditi più avanti in questo articolo.
4. Controllare i dati analitici del sito web
Le analisi del sito web aiutano a tenere traccia del traffico del sito. Sono anche un ottimo indicatore dello stato di salute del sito.
Se il vostro sito web è stato inserito nella lista nera dei motori di ricerca, vedrete un improvviso calo del traffico. Se il vostro sito web è lento o poco reattivo, le visualizzazioni complessive delle pagine diminuiranno.
Vi consigliamo di utilizzare MonsterInsights per monitorare il traffico del vostro sito web. Non solo mostra le visualizzazioni complessive delle pagine, ma può essere utilizzato anche per monitorare gli utenti registrati, i clienti WooCommerce, le conversioni dei moduli e altro ancora.
5. Impostare e controllare i backup di WordPress
Se non l’avete ancora fatto, dovete impostare immediatamente un plugin di backup per WordPress. In questo modo avrete sempre un backup del vostro sito nel caso in cui qualcosa vada storto.
Molti principianti si dimenticano del plugin di backup di WordPress dopo averlo impostato. A volte, i plugin di backup possono smettere di funzionare senza alcun preavviso. È una buona idea assicurarsi che il plugin di backup sia ancora funzionante e salvi i backup.
Esecuzione di un controllo automatico della sicurezza di WordPress
La lista di controllo di cui sopra consente di esaminare gli aspetti più importanti di un audit di sicurezza. Tuttavia, non si tratta di un processo molto approfondito, il che significa che il vostro sito web potrebbe essere ancora vulnerabile.
Ad esempio, è difficile tenere un registro manuale di tutte le attività degli utenti, delle differenze tra i file, dei codici sospetti e altro ancora. È qui che serve un plugin per automatizzare il controllo della sicurezza e tenere un registro di tutto.
È possibile automatizzare questo processo con l’aiuto di alcuni plugin di sicurezza per WordPress.
1. Esecuzione automatica di un controllo di sicurezza con il registro attività di WP
WP Activity Log è il miglior plugin per il monitoraggio delle attività di WordPress sul mercato.
Consente di tenere traccia di tutte le attività degli utenti sul vostro sito web. È possibile visualizzare tutti gli accessi degli utenti, gli indirizzi IP e ciò che hanno fatto sul vostro sito web.
È possibile monitorare gli utenti di WooCommerce, gli editori, gli autori e gli altri membri che hanno un account sul vostro sito web.
È inoltre possibile attivare gli eventi che si desidera monitorare e disattivare quelli che non si desidera monitorare.
Il plugin mostra anche una vista in tempo reale di tutti gli utenti connessi al vostro sito web. Se notate un account sospetto, potete interrompere subito la sua sessione e bloccarlo.
Per saperne di più, consultate la nostra guida su come monitorare l’attività degli utenti in WordPress utilizzando WP Activity Log.
2. Esecuzione automatica di un controllo di sicurezza con Sucuri
Sucuri è il miglior plugin firewall per WordPress sul mercato ed è anche la migliore soluzione di sicurezza WordPress all-in-one che possiate avere per il vostro sito web.
Fornisce una protezione in tempo reale contro gli attacchi DDoS, bloccando le attività sospette prima ancora che raggiungano il vostro sito web. Questo elimina il carico dal vostro server e migliora la velocità e le prestazioni del vostro sito web.
È dotato di un plugin di sicurezza integrato che controlla i file di WordPress alla ricerca di codice sospetto. Inoltre, consente di ottenere un’analisi dettagliata dell’attività degli utenti sul vostro sito web.
Soprattutto, Sucuri offre la rimozione gratuita del malware con tutti i suoi piani a pagamento. Ciò significa che anche se il vostro sito web è già stato colpito, i loro esperti di sicurezza lo puliranno per voi.
Guide di esperti sulla sicurezza di WordPress
Ora che sapete come eseguire una verifica della sicurezza di WordPress, potreste voler consultare altre guide relative alla sicurezza di WordPress:
- Come forzare le password forti agli utenti in WordPress
- Come proteggere il vostro sito WordPress dagli attacchi Brute Force
- I motivi principali per cui i siti WordPress vengono hackerati (e come prevenirli)
- Segni che il vostro sito WordPress è stato violato (Suggerimenti degli esperti)
- Come scansionare il vostro sito WordPress alla ricerca di codice potenzialmente dannoso
- Come trovare una backdoor in un sito WordPress violato e ripararlo
Speriamo che questo articolo vi abbia aiutato a capire come eseguire un audit di sicurezza di WordPress sul vostro sito web. Potreste anche voler consultare la nostra guida su come migliorare la SEO di WordPress o le nostre scelte degli esperti sui migliori plugin per landing page di WordPress.
Se questo articolo vi è piaciuto, iscrivetevi al nostro canale YouTube per le esercitazioni video su WordPress. Potete trovarci anche su Twitter e Facebook.
Syed Balkhi says
Hey WPBeginner readers,
Did you know you can win exciting prizes by commenting on WPBeginner?
Every month, our top blog commenters will win HUGE rewards, including premium WordPress plugin licenses and cash prizes.
You can get more details about the contest from here.
Start sharing your thoughts below to stand a chance to win!
Eva says
1st step to fight daily brute force attacks attempts is to change the default login url.
WPBeginner Support says
Instead of changing the login url we would normally recommend using a plugin like limit login attempts as changing the login URL has a higher chance of causing problems for beginners.
Admin
Eva says
Well, I do both! And many more. Security is my number one priority. I see what you mean, but most words are as easy to memorize as /wp-admin or /wp-login especially for beginners in my opinion.
WPBeginner Support says
It is less about remembering the login URL and more about if there are any errors when trying to change the URL, most beginners don’t have the tools to fix the login address.
Eva says
I see, good point! In many cases, just renaming the plugin directory by FTP is enough to disable it and access again through /wp-login. But I get it, it is not beginner-friendly!
DW says
Yeah, doing the login URI really doesn’t do much. It’s a technique known as “security by obscurity” – basically security by “hiding”.
If someone is determined to get into your website, using these “Security by obscurity” techniques would at best slow them down by a few minutes. It’s not really a substitute for properly securing your website.
You’re far better off securing your website properly. Techniques like plugins to prevent brute force attacks, enforcing strong passwords, enforcing multi-factor authentication for at the very least admin accounts, and if you have the luxury of having a Static IP address creating an .htaccess file that only allows access to the admin page from your IP address are all far better solutions.