SlideShare a Scribd company logo

Sicurezza WordPress: rendere il tuo sito sicuro in 10 passi

Laura Lonighi
Laura Lonighi

10 consigli per rendere il tuo sito web in WordPress più sicuro, dal più semplice da mettere in pratica, al più complesso. Video della diretta: https://www.youtube.com/watch?v=_iYbDybe_Fg

Small Business & Entrepreneurship
1 of 42
Episodio 6 SICUREZZA WORDPRESS: COME RENDERE IL TUO SITO SICURO IN 10 PASSI
YunikonID — 24.set.21 LAURA LONIGHI Brand & Web Designer freelance Nel mio lavoro studio i colori e i caratteri tipografici, disegno la personalità visiva di un marchio e progetto siti web attorno agli obiettivi di business dei miei clienti. YUNIKON DESIGN CONTATTI hello@yunikondesign.com www.yunikondesign.com
Sicurezza WordPress Sommario Chi dobbiamo... temere? 10 consigli per rendere il tuo sito WordPress più sicuro Cosa puoi fare per rendere il tuo sito ancora più sicuro Fonti e approfondimenti Ti consiglio un libro YunikonID — 24.set.21
Cosa dobbiamo... temere? "Passaggi nascosti" che permettono di bypassare la crittografia di sicurezza VIRUS INFORMATICI Programmi che inseriscono pubblicità non richieste ADWARE
Cosa dobbiamo... temere? Software che raccolgono informazioni sugli utenti senza autorizzazione SPYWARE Impediscono l’accesso alle pagine web e chiedono il pagamento di un riscatto per consentire la navigazione. RANSOMWARE
1. Scegli un hosting WordPress professionale YunikonID — 24.set.21
DOMINIO È l’indirizzo del sito web: l’URL che si digita nel browser per raggiungere un sito. HOSTING È lo spazio su un server, dedicato ad ospitare un sito web.
DOMINIO La via, con il numero civico, in cui vivi. HOSTING È la casa in cui abiti.
WWW.SITEGROUND.COM WWW.THIRDEYE.IT 72€ + IVA all'anno 50€ + IVA all'anno
I server che ospitano WordPress dovrebbero essere aggiornati con il sistema operativo e il software (di sicurezza) più recenti, ed essere accuratamente testati e scansionati alla ricerca di vulnerabilità e malware. L'importanza di essere essere su un server "giusto"
Ok, ma come scelgo un provider serio? Leggi le recensioni, informati da chi ci è già passato: se puoi, non risparmiare sull'acquisto dell'hosting. YunikonID — 24.set.21
2. Aggiorna puntualmente WordPress e i plugin YunikonID — 24.set.21
WordPress è sempre più scelto dagli utenti: questo purtroppo significa anche diventare sempre più l'obiettivo di hacker. Il CMS è presente su 1/4 dei siti web online: questo senza dubbio attira tutta l’attenzione di tutti quelli che vogliano inserire codice dannoso o rubare i dati. Ma la dimensione stessa di WordPress, e della sua community, è anche un vantaggio. Le vulnerabilità legate alla sicurezza vengono individuate e affrontate rapidamente. Ciò vale sia per il core di WordPress, sia per i plugin premium.
Puoi aggiornare WP, i plugin e i temi dal backoffice del tuo sito, da Bacheca > Aggiornamenti, oppure puoi farlo manualmente tramite FTP.
3. Usa l'https e il certificato SSL YunikonID — 24.set.21
Occhio al lucchetto! Il certificato SSL protegge le informazioni della carta di credito e altre informazioni che non vengono intercettate da soggetti non autorizzati. L'HTTPS consente al browser o all’applicazione web di collegarsi in modo sicuro a un sito web. YunikonID — 24.set.21
È una combinazione del protocollo HTTP con SSL/TLS. Viene usato per l'identificazione sicura di un server, in modo che nessun intermediario possa intercettare facilmente i dati. H T T P S Garantisce che tutti i dati passati tra il server e il client rimangano privati e protetti. S S L
4. Fai i backup! YunikonID — 24.set.21
Che cos'è? Il backup è una copia o meglio, più copie di dati, che ti possono letteralmente salvare la vita (o quantomeno il lavoro!) se dovessi ripristinare il sito in caso di necessità.
Come? Alcuni provider offrono gratuitamente questo servizio, altri lo fanno a pagamento Puoi programmarlo in autonomia dal tuo cpanel Puoi farlo manualmente Puoi usare un plugin (UnDraft)
Ogni quanto? Giornalmente o settimanalmente Ogni volta che prevedi modifiche importanti al sito In ogni caso in maniera programmata
5. Usa la versione più recente di PHP YunikonID — 24.set.21
PHP è la spina dorsale di una sito WordPress e quindi utilizzare l’ultima versione di PHP sul server è molto importante. Ogni release di PHP è in genere supportata per 2 anni dal momento del suo rilascio. Durante questo periodo, i bug e i problemi di sicurezza sono corretti e aggiornati regolarmente. A partire da ora, chiunque abbia una versione di PHP 7.0 o inferiore non ha più supporto per la sicurezza ed è esposto a vulnerabilità prive di patch. Cosa vuol dire?
6. Usa password sicure YunikonID — 24.set.21
Sembra banale ma uno dei modi migliori per aumentare la sicurezza di WordPress è semplicemente quello di utilizzare nomi utente e password intelligenti. Eppure, secondo uno studio effettuato da NordPass, la password più utilizzata è: 123456 Uno strumento che ti consiglio è:LastPass
7. Nascondi la pagina wp- admin.php YunikonID — 24.set.21
Di default, l’URL di accesso del sito WordPress è domain.com/wp-admin. Uno dei problemi che questo può comportare è che tutti i bot, gli hacker e gli script in circolazione lo sanno. Modificando l’URL renderai il sito meno visibile agli attacchi brute force. Questa non è una soluzione per tutti i problemi, è semplicemente un trucchetto che può essere utile nel proteggere il tuo sito. Per cambiare l'URL di accesso a WordPress, prova il plugin gratuito WPS Hide login
8. Nascondi la versione di WordPress YunikonID — 24.set.21
function remove_wp_version() { return ''; } add_filter('the_generator', 'remove_wp_version'); Meno persone conoscono la tua configurazione di WordPress, meglio è. Un’installazione non aggiornata di WordPress potrebbe essere un benvenuto per gli intrusi. Di default, la versione di WordPress viene visualizzata nell’intestazione del codice sorgente del sito (<meta name="generator" content="WordPress 5.8.1" />). Assicurati, di nuovo, che l’installazione di WordPress sia sempre aggiornata. Facendo così, non dovresti preoccuparti di nascondere la versione. AGGIUNGI AL FILE FUNCTIONS.PHP DEL TUO TEMA:
9. Usa l'autenticazione a due fattori YunikonID — 24.set.21
Google Authenticator App: cos'è Google Authenticator è un generatore di codici da impiegare per completare il processo di autenticazione a due fattori, o verifica in due passaggi, supportata da un sempre crescente numero di siti e servizi Web. Puoi impostare un secondo codice per molte cose: l'accesso al tuo account Google, a Facebook, o ancora, nel nostro caso, per il tuo sito web.
Come si fa La prima cosa da fare è configurare l'Authenticator dal tuo account Google. Ti lascio una guida completa ed esaustiva: Come funziona Google Authenticator. Una volta che lo avrai fatto potrai aggiungere la verifica a due fattori per ogni account che desideri associare. YunikonID — 24.set.21
Dopo aver aggiunto tra gli account anche il tuo sito web, dovrai usare un plugin per rendere effettiva l'autenticazione a due fattori. In circolazione ne esistono molti, io ti consiglio miniOrange's Google Authenticator (gratuito). Una volta completata la configurazione, ogni volta che accederai al sito, oltre alla password, dovrai inserire un codice a tempo fornito dall'app GA. miniOrange's Google Authenticator
10. Usa Wordfence YunikonID — 24.set.21
Che cos'è Wordfence: firewall È un plugin disponibile per WordPress, gratuito o a pagamento. Cisco lo definisce “un dispositivo per la sicurezza della rete che permette di monitorare il traffico in entrata e in uscita utilizzando una serie predefinita di regole di sicurezza per consentire o bloccare gli eventi”. Detto in parole semplici, è un "filtro" che controlla che in entrata e in uscita circolino informazioni in maniera sicura. Immaginatelo come un bodyguard all'entrata del tuo sito, che sceglie chi far entrare e chi no. YunikonID — 24.set.21
Che cos'è Wordfence: scan Un'altra funzione che rende Wordfence un alleato alla sicurezza del tuo sito è la funzione scan. Una volta avviata il plugin scannerizza tutti i file presenti nella root del sito, analizzando e monitorando se ci troviamo in presenza di un sito infetto. Al termine del proccesso Wordfence offrirà un'analisi completa dello stato di salute del sito, in modo tale da intervenire tempestivamente.
Perchè Wordfence non è la soluzione ai tuoi problemi Se sul tuo sito è già in corso un attacco hacker o malware, Wordfence ti informerà del problema ma sarai tu comunque a doverlo risolvere. Wordfence è un ottimo strumento di monitoraggio ma questo non preclude la necessità di mettere, e soprattutto mantenere, il tuo sito in sicurezza, per prevenire eventuali attacchi. Quando si dice è meglio prevenire che curare.
Cosa puoi fare ancora per rendere più sicuro il tuo sito? 755 per le cartelle e 644 per i file 1. PERMESSI A CARTELLE E FILE Di default il prefisso delle tabelle di WordPress nel database è “wp_”. Cambialo in qualcosa di meno intuibile. 2. CAMBIARE IL PREFISSO DELLE TABELLE
Cosa puoi fare ancora per rendere più sicuro il tuo sito? Nell'htaccess del tuo sito aggiungi: 3. IMPEDIRE L’ACCESSO AL WP- CONFIG.PHP Aggiungi al file wp-config.php del tuo sito: 4. DISABILITARE L’EDIT DA BACKEND <files wp-config.php> order allow,deny deny from all </files> define('DISALLOW_FILE_EDIT', true);
Fonti e approfondimenti WordPress e Sicurezza – 19 Passi per Proteggere il Vostro Sito di Kinsta 9 cose da fare per aumentare la sicurezza di WordPress di LiquidFactory
WordPress 3 Ultimate Security Una guida essenziale alla sicurezza di WordPress scritta per essere compresa sia dai principianti della sicurezza che dai professionisti del web. Anche se sei un principiante assoluto della sicurezza, puoi trasformare un sito insicuro in una fortezza di ferro, salvaguardando gli utenti del tuo sito, i tuoi contenuti e, prima o poi, il tuo livello di stress.
Facciamo due bagole! Hai un sito e vuoi metterlo in sicurezza? Scrivimi! Decidiamo insieme un giorno per farci una chiacchierata su Skype, in cui mi racconti il tuo ecommerce, cosa funziona e cosa no. Posso aiutarti con una consulenza ad hoc che analizzi cosa migliorare del tuo ecommerce e iniziare a vendere... per davvero! CONSULENZA ONE TO ONE Maggior info e costi: https://www.yunikondesign.com/contatti/

Recommended

Il tuo primo sito web (senza ansie) con WordPress
Il tuo primo sito web (senza ansie) con WordPressIl tuo primo sito web (senza ansie) con WordPress
Il tuo primo sito web (senza ansie) con WordPress
Laura Lonighi
 
Realizzare un sito con Wordpress come installazione pulità
Realizzare un sito con Wordpress come installazione pulitàRealizzare un sito con Wordpress come installazione pulità
Realizzare un sito con Wordpress come installazione pulità
Marco Consiglio
 
WordPress Facilissimo: guida base
WordPress Facilissimo: guida base WordPress Facilissimo: guida base
WordPress Facilissimo: guida base
Flavius-Florin Harabor
 
Corso Pratico di WordPress
Corso Pratico di WordPressCorso Pratico di WordPress
Corso Pratico di WordPress
Nicola Strumia
 
Elementor: esploriamo le possibilità del page builder più scaricato al mondo
Elementor: esploriamo le possibilità del page builder più scaricato al mondoElementor: esploriamo le possibilità del page builder più scaricato al mondo
Elementor: esploriamo le possibilità del page builder più scaricato al mondo
SiteGround.com
 
WordPress 4.6 Corso Bacic
WordPress 4.6 Corso BacicWordPress 4.6 Corso Bacic
WordPress 4.6 Corso Bacic
Renato Gelforte
 
Wordpress corso base 2013
Wordpress corso base 2013Wordpress corso base 2013
Wordpress corso base 2013
Valentina Cinelli
 
Creare un sito con WordPress
Creare un sito con WordPressCreare un sito con WordPress
Creare un sito con WordPress
Eugenio Molinario
 

Recommended

Il tuo primo sito web (senza ansie) con WordPress
Il tuo primo sito web (senza ansie) con WordPressIl tuo primo sito web (senza ansie) con WordPress
Il tuo primo sito web (senza ansie) con WordPress
Laura Lonighi
 
Realizzare un sito con Wordpress come installazione pulità
Realizzare un sito con Wordpress come installazione pulitàRealizzare un sito con Wordpress come installazione pulità
Realizzare un sito con Wordpress come installazione pulità
Marco Consiglio
 
WordPress Facilissimo: guida base
WordPress Facilissimo: guida base WordPress Facilissimo: guida base
WordPress Facilissimo: guida base
Flavius-Florin Harabor
 
Corso Pratico di WordPress
Corso Pratico di WordPressCorso Pratico di WordPress
Corso Pratico di WordPress
Nicola Strumia
 
Elementor: esploriamo le possibilità del page builder più scaricato al mondo
Elementor: esploriamo le possibilità del page builder più scaricato al mondoElementor: esploriamo le possibilità del page builder più scaricato al mondo
Elementor: esploriamo le possibilità del page builder più scaricato al mondo
SiteGround.com
 
WordPress 4.6 Corso Bacic
WordPress 4.6 Corso BacicWordPress 4.6 Corso Bacic
WordPress 4.6 Corso Bacic
Renato Gelforte
 
Wordpress corso base 2013
Wordpress corso base 2013Wordpress corso base 2013
Wordpress corso base 2013
Valentina Cinelli
 
Creare un sito con WordPress
Creare un sito con WordPressCreare un sito con WordPress
Creare un sito con WordPress
Eugenio Molinario
 
Guide per WordPress: come scrivere, editare e pubblicare articoli
Guide per WordPress: come scrivere, editare e pubblicare articoliGuide per WordPress: come scrivere, editare e pubblicare articoli
Guide per WordPress: come scrivere, editare e pubblicare articoli
Salvatore Capolupo
 
Corso base wordpress
Corso base wordpressCorso base wordpress
Corso base wordpress
Rosetta Facciolini
 
Wordpress la guida
Wordpress la guidaWordpress la guida
Wordpress la guida
lajonard
 
WordPress 101 – Freelance Day - 24 ottobre 2015
WordPress 101 – Freelance Day - 24 ottobre 2015WordPress 101 – Freelance Day - 24 ottobre 2015
WordPress 101 – Freelance Day - 24 ottobre 2015
Toolbox Coworking
 
Wordpress: Guida all'uso (avanzato)
Wordpress: Guida all'uso (avanzato)Wordpress: Guida all'uso (avanzato)
Wordpress: Guida all'uso (avanzato)
Artlandis' Webinar & Workshop
 
I Love WordPress
I Love WordPressI Love WordPress
I Love WordPress
Adriano Gasparri
 
Lezione WordPress Università degli Studi di Milano: Installazione e Gestione
Lezione WordPress Università degli Studi di Milano: Installazione e GestioneLezione WordPress Università degli Studi di Milano: Installazione e Gestione
Lezione WordPress Università degli Studi di Milano: Installazione e Gestione
alessandro gasparotto
 
Bene, usiamo WordPress.
Bene, usiamo WordPress.Bene, usiamo WordPress.
Bene, usiamo WordPress.
Paolo Valenti
 
Wordpress, Blog, SEO e Conversazione
Wordpress, Blog, SEO e ConversazioneWordpress, Blog, SEO e Conversazione
Wordpress, Blog, SEO e Conversazione
Giorgio Taverniti
 
I 1000 utilizzi di WordPress
I 1000 utilizzi di WordPressI 1000 utilizzi di WordPress
I 1000 utilizzi di WordPress
Marco De Sangro
 
WordPress - corso base
WordPress - corso baseWordPress - corso base
WordPress - corso base
Teo Jurina
 
WordPress: creare e gestire un sito gratuitamente e senza essere un esperto
WordPress: creare e gestire un sito gratuitamente e senza essere un espertoWordPress: creare e gestire un sito gratuitamente e senza essere un esperto
WordPress: creare e gestire un sito gratuitamente e senza essere un esperto
Boris Amico
 
Wordpress per principianti: guida in 5 step e in 5 aree
Wordpress per principianti: guida in 5 step e in 5 areeWordpress per principianti: guida in 5 step e in 5 aree
Wordpress per principianti: guida in 5 step e in 5 aree
Leonardo Serboni
 
Introduzione a WordPress
Introduzione a WordPressIntroduzione a WordPress
Introduzione a WordPress
Vincenzo Bianculli
 
Usiamo bene WordPress
Usiamo bene WordPressUsiamo bene WordPress
Usiamo bene WordPress
Paolo Valenti
 
Creare un sito web con Wordpress
Creare un sito web con WordpressCreare un sito web con Wordpress
Creare un sito web con Wordpress
Andrea Giavara
 
Introduzione a Wordpress
Introduzione a WordpressIntroduzione a Wordpress
Introduzione a Wordpress
SQcuola di Blog
 
Differenza tra WordPress.org e WordPress.com
Differenza tra WordPress.org e WordPress.comDifferenza tra WordPress.org e WordPress.com
Differenza tra WordPress.org e WordPress.com
Olegs Belousovs
 
WordPress, un CMS per la scuola: novità e sviluppi - Porte Aperte sul Web a S...
WordPress, un CMS per la scuola: novità e sviluppi - Porte Aperte sul Web a S...WordPress, un CMS per la scuola: novità e sviluppi - Porte Aperte sul Web a S...
WordPress, un CMS per la scuola: novità e sviluppi - Porte Aperte sul Web a S...
Marco Milesi
 
WordPress per siti scolastici a norma: dominio, hosting e strumenti
WordPress per siti scolastici a norma: dominio, hosting e strumentiWordPress per siti scolastici a norma: dominio, hosting e strumenti
WordPress per siti scolastici a norma: dominio, hosting e strumenti
Marco Milesi
 
WordPress Facilissimo: guida alla sicurezza
WordPress Facilissimo: guida alla sicurezzaWordPress Facilissimo: guida alla sicurezza
WordPress Facilissimo: guida alla sicurezza
Flavius-Florin Harabor
 
Webreevolution 2013 - Gualtiero Santucci - Sicurezza Wordpress
Webreevolution 2013 - Gualtiero Santucci - Sicurezza WordpressWebreevolution 2013 - Gualtiero Santucci - Sicurezza Wordpress
Webreevolution 2013 - Gualtiero Santucci - Sicurezza Wordpress
guaio2013
 

More Related Content

What's hot

Wordpress la guida
Wordpress la guidaWordpress la guida
Wordpress la guida
lajonard
 

What's hot (20)

Guide per WordPress: come scrivere, editare e pubblicare articoli
Guide per WordPress: come scrivere, editare e pubblicare articoliGuide per WordPress: come scrivere, editare e pubblicare articoli
Guide per WordPress: come scrivere, editare e pubblicare articoli
 
Corso base wordpress
Corso base wordpressCorso base wordpress
Corso base wordpress
 
Wordpress la guida
Wordpress la guidaWordpress la guida
Wordpress la guida
 
WordPress 101 – Freelance Day - 24 ottobre 2015
WordPress 101 – Freelance Day - 24 ottobre 2015WordPress 101 – Freelance Day - 24 ottobre 2015
WordPress 101 – Freelance Day - 24 ottobre 2015
 
Wordpress: Guida all'uso (avanzato)
Wordpress: Guida all'uso (avanzato)Wordpress: Guida all'uso (avanzato)
Wordpress: Guida all'uso (avanzato)
 
I Love WordPress
I Love WordPressI Love WordPress
I Love WordPress
 
Lezione WordPress Università degli Studi di Milano: Installazione e Gestione
Lezione WordPress Università degli Studi di Milano: Installazione e GestioneLezione WordPress Università degli Studi di Milano: Installazione e Gestione
Lezione WordPress Università degli Studi di Milano: Installazione e Gestione
 
Bene, usiamo WordPress.
Bene, usiamo WordPress.Bene, usiamo WordPress.
Bene, usiamo WordPress.
 
Wordpress, Blog, SEO e Conversazione
Wordpress, Blog, SEO e ConversazioneWordpress, Blog, SEO e Conversazione
Wordpress, Blog, SEO e Conversazione
 
I 1000 utilizzi di WordPress
I 1000 utilizzi di WordPressI 1000 utilizzi di WordPress
I 1000 utilizzi di WordPress
 
WordPress - corso base
WordPress - corso baseWordPress - corso base
WordPress - corso base
 
WordPress: creare e gestire un sito gratuitamente e senza essere un esperto
WordPress: creare e gestire un sito gratuitamente e senza essere un espertoWordPress: creare e gestire un sito gratuitamente e senza essere un esperto
WordPress: creare e gestire un sito gratuitamente e senza essere un esperto
 
Wordpress per principianti: guida in 5 step e in 5 aree
Wordpress per principianti: guida in 5 step e in 5 areeWordpress per principianti: guida in 5 step e in 5 aree
Wordpress per principianti: guida in 5 step e in 5 aree
 
Introduzione a WordPress
Introduzione a WordPressIntroduzione a WordPress
Introduzione a WordPress
 
Usiamo bene WordPress
Usiamo bene WordPressUsiamo bene WordPress
Usiamo bene WordPress
 
Creare un sito web con Wordpress
Creare un sito web con WordpressCreare un sito web con Wordpress
Creare un sito web con Wordpress
 
Introduzione a Wordpress
Introduzione a WordpressIntroduzione a Wordpress
Introduzione a Wordpress
 
Differenza tra WordPress.org e WordPress.com
Differenza tra WordPress.org e WordPress.comDifferenza tra WordPress.org e WordPress.com
Differenza tra WordPress.org e WordPress.com
 
WordPress, un CMS per la scuola: novità e sviluppi - Porte Aperte sul Web a S...
WordPress, un CMS per la scuola: novità e sviluppi - Porte Aperte sul Web a S...WordPress, un CMS per la scuola: novità e sviluppi - Porte Aperte sul Web a S...
WordPress, un CMS per la scuola: novità e sviluppi - Porte Aperte sul Web a S...
 
WordPress per siti scolastici a norma: dominio, hosting e strumenti
WordPress per siti scolastici a norma: dominio, hosting e strumentiWordPress per siti scolastici a norma: dominio, hosting e strumenti
WordPress per siti scolastici a norma: dominio, hosting e strumenti
 

Similar to Sicurezza WordPress: rendere il tuo sito sicuro in 10 passi

Introduzione a WordPress: dall'installazione all'utilizzo del backend
Introduzione a WordPress: dall'installazione all'utilizzo del backendIntroduzione a WordPress: dall'installazione all'utilizzo del backend
Introduzione a WordPress: dall'installazione all'utilizzo del backend
Silvia Cariello
 
Malware Analysis. A Case Study
Malware Analysis. A Case StudyMalware Analysis. A Case Study
Malware Analysis. A Case Study
Gianni Amato
 

Similar to Sicurezza WordPress: rendere il tuo sito sicuro in 10 passi (20)

WordPress Facilissimo: guida alla sicurezza
WordPress Facilissimo: guida alla sicurezzaWordPress Facilissimo: guida alla sicurezza
WordPress Facilissimo: guida alla sicurezza
 
Webreevolution 2013 - Gualtiero Santucci - Sicurezza Wordpress
Webreevolution 2013 - Gualtiero Santucci - Sicurezza WordpressWebreevolution 2013 - Gualtiero Santucci - Sicurezza Wordpress
Webreevolution 2013 - Gualtiero Santucci - Sicurezza Wordpress
 
Rendere sicuro WordPress, la grande bufala
Rendere sicuro WordPress, la grande bufalaRendere sicuro WordPress, la grande bufala
Rendere sicuro WordPress, la grande bufala
 
Wp security & SSL v2
Wp security & SSL v2Wp security & SSL v2
Wp security & SSL v2
 
Hosting: 10 consigli per mettere al sicuro un sito - parte 1 #TipOfTheDay
Hosting: 10 consigli per mettere al sicuro un sito - parte 1 #TipOfTheDayHosting: 10 consigli per mettere al sicuro un sito - parte 1 #TipOfTheDay
Hosting: 10 consigli per mettere al sicuro un sito - parte 1 #TipOfTheDay
 
Presenti in rete workshop wordpress novembre 2019 v1.0
Presenti in rete workshop wordpress novembre 2019 v1.0Presenti in rete workshop wordpress novembre 2019 v1.0
Presenti in rete workshop wordpress novembre 2019 v1.0
 
Hosting: 12 consigli per difendersi dagli hacker #TipOfTheDay
Hosting: 12 consigli per difendersi dagli hacker #TipOfTheDayHosting: 12 consigli per difendersi dagli hacker #TipOfTheDay
Hosting: 12 consigli per difendersi dagli hacker #TipOfTheDay
 
Le risposte alle vostre domande. Corso sulla sicurezza del sito
Le risposte alle vostre domande. Corso sulla sicurezza del sitoLe risposte alle vostre domande. Corso sulla sicurezza del sito
Le risposte alle vostre domande. Corso sulla sicurezza del sito
 
I sistemi di Web Content Filtering
I sistemi di Web Content FilteringI sistemi di Web Content Filtering
I sistemi di Web Content Filtering
 
Sicurezza in LogicalDOC
Sicurezza in LogicalDOCSicurezza in LogicalDOC
Sicurezza in LogicalDOC
 
Security wp 101
Security wp 101Security wp 101
Security wp 101
 
Cryptolocker come limitare il rischio
Cryptolocker come limitare il rischioCryptolocker come limitare il rischio
Cryptolocker come limitare il rischio
 
Le Best Practices per proteggere Informazioni, Sistemi e Reti
Le Best Practices per proteggere Informazioni, Sistemi e RetiLe Best Practices per proteggere Informazioni, Sistemi e Reti
Le Best Practices per proteggere Informazioni, Sistemi e Reti
 
Introduzione a WordPress: dall'installazione all'utilizzo del backend
Introduzione a WordPress: dall'installazione all'utilizzo del backendIntroduzione a WordPress: dall'installazione all'utilizzo del backend
Introduzione a WordPress: dall'installazione all'utilizzo del backend
 
Webdays 2004 Blogfordummies2 Ok
Webdays 2004 Blogfordummies2 OkWebdays 2004 Blogfordummies2 Ok
Webdays 2004 Blogfordummies2 Ok
 
WordPress è insicuro, non scala e serve solo per fare blog - Sì.Certo.Come.No...
WordPress è insicuro, non scala e serve solo per fare blog - Sì.Certo.Come.No...WordPress è insicuro, non scala e serve solo per fare blog - Sì.Certo.Come.No...
WordPress è insicuro, non scala e serve solo per fare blog - Sì.Certo.Come.No...
 
Malware Analysis. A Case Study
Malware Analysis. A Case StudyMalware Analysis. A Case Study
Malware Analysis. A Case Study
 
Difendersi dai cryptolocker con open source
Difendersi dai cryptolocker con open sourceDifendersi dai cryptolocker con open source
Difendersi dai cryptolocker con open source
 
Ppt rawstream cips_webinar
Ppt rawstream cips_webinarPpt rawstream cips_webinar
Ppt rawstream cips_webinar
 
Virtually Pwned: Hacking VMware [ITA - SMAU10]
Virtually Pwned: Hacking VMware [ITA - SMAU10]Virtually Pwned: Hacking VMware [ITA - SMAU10]
Virtually Pwned: Hacking VMware [ITA - SMAU10]
 

More from Laura Lonighi

Web design le principali tendenze per il 2022
Web design le principali tendenze per il 2022Web design le principali tendenze per il 2022
Web design le principali tendenze per il 2022
Laura Lonighi
 

More from Laura Lonighi (9)

WordPress è arrivato alla frutta?
WordPress è arrivato alla frutta?WordPress è arrivato alla frutta?
WordPress è arrivato alla frutta?
 
Coltivare la creatività
Coltivare la creativitàColtivare la creatività
Coltivare la creatività
 
Quale piattaforma scegliere per il tuo primo corso online
Quale piattaforma scegliere per il tuo primo corso onlineQuale piattaforma scegliere per il tuo primo corso online
Quale piattaforma scegliere per il tuo primo corso online
 
Web design le principali tendenze per il 2022
Web design le principali tendenze per il 2022Web design le principali tendenze per il 2022
Web design le principali tendenze per il 2022
 
Color palette scegliere i giusti colori per il tuo brand
Color palette scegliere i giusti colori per il tuo brandColor palette scegliere i giusti colori per il tuo brand
Color palette scegliere i giusti colori per il tuo brand
 
Scegliere i social media giusti per il tuo brand
Scegliere i social media giusti per il tuo brandScegliere i social media giusti per il tuo brand
Scegliere i social media giusti per il tuo brand
 
Ecommerce come iniziare, cosa ti serve, quanto costa
Ecommerce come iniziare, cosa ti serve, quanto costaEcommerce come iniziare, cosa ti serve, quanto costa
Ecommerce come iniziare, cosa ti serve, quanto costa
 
Come strutturare i contenuti del tuo sito web
Come strutturare i contenuti del tuo sito webCome strutturare i contenuti del tuo sito web
Come strutturare i contenuti del tuo sito web
 
K-Beauty routine per il tuo blog
K-Beauty routine per il tuo blogK-Beauty routine per il tuo blog
K-Beauty routine per il tuo blog
 

Sicurezza WordPress: rendere il tuo sito sicuro in 10 passi

  • 1. Episodio 6 SICUREZZA WORDPRESS: COME RENDERE IL TUO SITO SICURO IN 10 PASSI
  • 2. YunikonID — 24.set.21 LAURA LONIGHI Brand & Web Designer freelance Nel mio lavoro studio i colori e i caratteri tipografici, disegno la personalità visiva di un marchio e progetto siti web attorno agli obiettivi di business dei miei clienti. YUNIKON DESIGN CONTATTI hello@yunikondesign.com www.yunikondesign.com
  • 3. Sicurezza WordPress Sommario Chi dobbiamo... temere? 10 consigli per rendere il tuo sito WordPress più sicuro Cosa puoi fare per rendere il tuo sito ancora più sicuro Fonti e approfondimenti Ti consiglio un libro YunikonID — 24.set.21
  • 4. Cosa dobbiamo... temere? "Passaggi nascosti" che permettono di bypassare la crittografia di sicurezza VIRUS INFORMATICI Programmi che inseriscono pubblicità non richieste ADWARE
  • 5. Cosa dobbiamo... temere? Software che raccolgono informazioni sugli utenti senza autorizzazione SPYWARE Impediscono l’accesso alle pagine web e chiedono il pagamento di un riscatto per consentire la navigazione. RANSOMWARE
  • 6. 1. Scegli un hosting WordPress professionale YunikonID — 24.set.21
  • 7. DOMINIO È l’indirizzo del sito web: l’URL che si digita nel browser per raggiungere un sito. HOSTING È lo spazio su un server, dedicato ad ospitare un sito web.
  • 8. DOMINIO La via, con il numero civico, in cui vivi. HOSTING È la casa in cui abiti.
  • 9. WWW.SITEGROUND.COM WWW.THIRDEYE.IT 72€ + IVA all'anno 50€ + IVA all'anno
  • 10. I server che ospitano WordPress dovrebbero essere aggiornati con il sistema operativo e il software (di sicurezza) più recenti, ed essere accuratamente testati e scansionati alla ricerca di vulnerabilità e malware. L'importanza di essere essere su un server "giusto"
  • 11. Ok, ma come scelgo un provider serio? Leggi le recensioni, informati da chi ci è già passato: se puoi, non risparmiare sull'acquisto dell'hosting. YunikonID — 24.set.21
  • 12. 2. Aggiorna puntualmente WordPress e i plugin YunikonID — 24.set.21
  • 13. WordPress è sempre più scelto dagli utenti: questo purtroppo significa anche diventare sempre più l'obiettivo di hacker. Il CMS è presente su 1/4 dei siti web online: questo senza dubbio attira tutta l’attenzione di tutti quelli che vogliano inserire codice dannoso o rubare i dati. Ma la dimensione stessa di WordPress, e della sua community, è anche un vantaggio. Le vulnerabilità legate alla sicurezza vengono individuate e affrontate rapidamente. Ciò vale sia per il core di WordPress, sia per i plugin premium.
  • 14. Puoi aggiornare WP, i plugin e i temi dal backoffice del tuo sito, da Bacheca > Aggiornamenti, oppure puoi farlo manualmente tramite FTP.
  • 15. 3. Usa l'https e il certificato SSL YunikonID — 24.set.21
  • 16. Occhio al lucchetto! Il certificato SSL protegge le informazioni della carta di credito e altre informazioni che non vengono intercettate da soggetti non autorizzati. L'HTTPS consente al browser o all’applicazione web di collegarsi in modo sicuro a un sito web. YunikonID — 24.set.21
  • 17. È una combinazione del protocollo HTTP con SSL/TLS. Viene usato per l'identificazione sicura di un server, in modo che nessun intermediario possa intercettare facilmente i dati. H T T P S Garantisce che tutti i dati passati tra il server e il client rimangano privati e protetti. S S L
  • 18. 4. Fai i backup! YunikonID — 24.set.21
  • 19. Che cos'è? Il backup è una copia o meglio, più copie di dati, che ti possono letteralmente salvare la vita (o quantomeno il lavoro!) se dovessi ripristinare il sito in caso di necessità.
  • 20. Come? Alcuni provider offrono gratuitamente questo servizio, altri lo fanno a pagamento Puoi programmarlo in autonomia dal tuo cpanel Puoi farlo manualmente Puoi usare un plugin (UnDraft)
  • 21. Ogni quanto? Giornalmente o settimanalmente Ogni volta che prevedi modifiche importanti al sito In ogni caso in maniera programmata
  • 22. 5. Usa la versione più recente di PHP YunikonID — 24.set.21
  • 23. PHP è la spina dorsale di una sito WordPress e quindi utilizzare l’ultima versione di PHP sul server è molto importante. Ogni release di PHP è in genere supportata per 2 anni dal momento del suo rilascio. Durante questo periodo, i bug e i problemi di sicurezza sono corretti e aggiornati regolarmente. A partire da ora, chiunque abbia una versione di PHP 7.0 o inferiore non ha più supporto per la sicurezza ed è esposto a vulnerabilità prive di patch. Cosa vuol dire?
  • 24. 6. Usa password sicure YunikonID — 24.set.21
  • 25. Sembra banale ma uno dei modi migliori per aumentare la sicurezza di WordPress è semplicemente quello di utilizzare nomi utente e password intelligenti. Eppure, secondo uno studio effettuato da NordPass, la password più utilizzata è: 123456 Uno strumento che ti consiglio è:LastPass
  • 26. 7. Nascondi la pagina wp- admin.php YunikonID — 24.set.21
  • 27. Di default, l’URL di accesso del sito WordPress è domain.com/wp-admin. Uno dei problemi che questo può comportare è che tutti i bot, gli hacker e gli script in circolazione lo sanno. Modificando l’URL renderai il sito meno visibile agli attacchi brute force. Questa non è una soluzione per tutti i problemi, è semplicemente un trucchetto che può essere utile nel proteggere il tuo sito. Per cambiare l'URL di accesso a WordPress, prova il plugin gratuito WPS Hide login
  • 28. 8. Nascondi la versione di WordPress YunikonID — 24.set.21
  • 29. function remove_wp_version() { return ''; } add_filter('the_generator', 'remove_wp_version'); Meno persone conoscono la tua configurazione di WordPress, meglio è. Un’installazione non aggiornata di WordPress potrebbe essere un benvenuto per gli intrusi. Di default, la versione di WordPress viene visualizzata nell’intestazione del codice sorgente del sito (<meta name="generator" content="WordPress 5.8.1" />). Assicurati, di nuovo, che l’installazione di WordPress sia sempre aggiornata. Facendo così, non dovresti preoccuparti di nascondere la versione. AGGIUNGI AL FILE FUNCTIONS.PHP DEL TUO TEMA:
  • 30. 9. Usa l'autenticazione a due fattori YunikonID — 24.set.21
  • 31. Google Authenticator App: cos'è Google Authenticator è un generatore di codici da impiegare per completare il processo di autenticazione a due fattori, o verifica in due passaggi, supportata da un sempre crescente numero di siti e servizi Web. Puoi impostare un secondo codice per molte cose: l'accesso al tuo account Google, a Facebook, o ancora, nel nostro caso, per il tuo sito web.
  • 32. Come si fa La prima cosa da fare è configurare l'Authenticator dal tuo account Google. Ti lascio una guida completa ed esaustiva: Come funziona Google Authenticator. Una volta che lo avrai fatto potrai aggiungere la verifica a due fattori per ogni account che desideri associare. YunikonID — 24.set.21
  • 33. Dopo aver aggiunto tra gli account anche il tuo sito web, dovrai usare un plugin per rendere effettiva l'autenticazione a due fattori. In circolazione ne esistono molti, io ti consiglio miniOrange's Google Authenticator (gratuito). Una volta completata la configurazione, ogni volta che accederai al sito, oltre alla password, dovrai inserire un codice a tempo fornito dall'app GA. miniOrange's Google Authenticator
  • 35. Che cos'è Wordfence: firewall È un plugin disponibile per WordPress, gratuito o a pagamento. Cisco lo definisce “un dispositivo per la sicurezza della rete che permette di monitorare il traffico in entrata e in uscita utilizzando una serie predefinita di regole di sicurezza per consentire o bloccare gli eventi”. Detto in parole semplici, è un "filtro" che controlla che in entrata e in uscita circolino informazioni in maniera sicura. Immaginatelo come un bodyguard all'entrata del tuo sito, che sceglie chi far entrare e chi no. YunikonID — 24.set.21
  • 36. Che cos'è Wordfence: scan Un'altra funzione che rende Wordfence un alleato alla sicurezza del tuo sito è la funzione scan. Una volta avviata il plugin scannerizza tutti i file presenti nella root del sito, analizzando e monitorando se ci troviamo in presenza di un sito infetto. Al termine del proccesso Wordfence offrirà un'analisi completa dello stato di salute del sito, in modo tale da intervenire tempestivamente.
  • 37. Perchè Wordfence non è la soluzione ai tuoi problemi Se sul tuo sito è già in corso un attacco hacker o malware, Wordfence ti informerà del problema ma sarai tu comunque a doverlo risolvere. Wordfence è un ottimo strumento di monitoraggio ma questo non preclude la necessità di mettere, e soprattutto mantenere, il tuo sito in sicurezza, per prevenire eventuali attacchi. Quando si dice è meglio prevenire che curare.
  • 38. Cosa puoi fare ancora per rendere più sicuro il tuo sito? 755 per le cartelle e 644 per i file 1. PERMESSI A CARTELLE E FILE Di default il prefisso delle tabelle di WordPress nel database è “wp_”. Cambialo in qualcosa di meno intuibile. 2. CAMBIARE IL PREFISSO DELLE TABELLE
  • 39. Cosa puoi fare ancora per rendere più sicuro il tuo sito? Nell'htaccess del tuo sito aggiungi: 3. IMPEDIRE L’ACCESSO AL WP- CONFIG.PHP Aggiungi al file wp-config.php del tuo sito: 4. DISABILITARE L’EDIT DA BACKEND <files wp-config.php> order allow,deny deny from all </files> define('DISALLOW_FILE_EDIT', true);
  • 40. Fonti e approfondimenti WordPress e Sicurezza – 19 Passi per Proteggere il Vostro Sito di Kinsta 9 cose da fare per aumentare la sicurezza di WordPress di LiquidFactory
  • 41. WordPress 3 Ultimate Security Una guida essenziale alla sicurezza di WordPress scritta per essere compresa sia dai principianti della sicurezza che dai professionisti del web. Anche se sei un principiante assoluto della sicurezza, puoi trasformare un sito insicuro in una fortezza di ferro, salvaguardando gli utenti del tuo sito, i tuoi contenuti e, prima o poi, il tuo livello di stress.
  • 42. Facciamo due bagole! Hai un sito e vuoi metterlo in sicurezza? Scrivimi! Decidiamo insieme un giorno per farci una chiacchierata su Skype, in cui mi racconti il tuo ecommerce, cosa funziona e cosa no. Posso aiutarti con una consulenza ad hoc che analizzi cosa migliorare del tuo ecommerce e iniziare a vendere... per davvero! CONSULENZA ONE TO ONE Maggior info e costi: https://www.yunikondesign.com/contatti/