10 consigli per rendere il tuo sito web in WordPress più sicuro, dal più semplice da mettere in pratica, al più complesso.
Video della diretta: https://www.youtube.com/watch?v=_iYbDybe_Fg
2. YunikonID — 24.set.21
LAURA LONIGHI
Brand & Web Designer freelance
Nel mio lavoro studio i colori e i
caratteri tipografici, disegno la
personalità visiva di un marchio e
progetto siti web attorno agli
obiettivi di business dei miei clienti.
YUNIKON DESIGN
CONTATTI
hello@yunikondesign.com
www.yunikondesign.com
3. Sicurezza
WordPress
Sommario
Chi dobbiamo... temere?
10 consigli per rendere il tuo sito WordPress
più sicuro
Cosa puoi fare per rendere il tuo sito ancora
più sicuro
Fonti e approfondimenti
Ti consiglio un libro
YunikonID — 24.set.21
6. 1. Scegli un hosting
WordPress professionale
YunikonID — 24.set.21
7. DOMINIO
È l’indirizzo del sito web: l’URL
che si digita nel browser per
raggiungere un sito.
HOSTING
È lo spazio su un server,
dedicato ad ospitare un sito
web.
8. DOMINIO
La via, con il numero civico, in
cui vivi.
HOSTING
È la casa in cui abiti.
10. I server che ospitano WordPress dovrebbero
essere aggiornati con il sistema operativo e il
software (di sicurezza) più recenti, ed essere
accuratamente testati e scansionati alla ricerca
di vulnerabilità e malware.
L'importanza di
essere essere su un
server "giusto"
11. Ok, ma come
scelgo un
provider serio?
Leggi le recensioni, informati da chi ci è già
passato: se puoi, non risparmiare
sull'acquisto dell'hosting.
YunikonID — 24.set.21
13. WordPress è sempre più scelto dagli
utenti: questo purtroppo significa
anche diventare sempre più l'obiettivo
di hacker.
Il CMS è presente su 1/4 dei siti web
online: questo senza dubbio attira tutta
l’attenzione di tutti quelli che vogliano
inserire codice dannoso o rubare i dati.
Ma la dimensione stessa di WordPress,
e della sua community, è anche un
vantaggio. Le vulnerabilità legate alla
sicurezza vengono individuate e
affrontate rapidamente. Ciò vale sia
per il core di WordPress, sia per i
plugin premium.
14. Puoi aggiornare WP, i plugin e i
temi dal backoffice del tuo sito,
da Bacheca > Aggiornamenti,
oppure puoi farlo manualmente
tramite FTP.
15. 3. Usa l'https e il certificato
SSL
YunikonID — 24.set.21
16. Occhio al
lucchetto!
Il certificato SSL protegge le informazioni
della carta di credito e altre informazioni
che non vengono intercettate da soggetti
non autorizzati.
L'HTTPS consente al browser o
all’applicazione web di collegarsi in modo
sicuro a un sito web.
YunikonID — 24.set.21
17. È una combinazione del
protocollo HTTP con SSL/TLS.
Viene usato per
l'identificazione sicura di un
server, in modo che nessun
intermediario possa
intercettare facilmente i dati.
H T T P S
Garantisce che tutti i
dati passati tra il server
e il client rimangano
privati e protetti.
S S L
19. Che cos'è?
Il backup è una copia o meglio, più
copie di dati, che ti possono
letteralmente salvare la vita (o
quantomeno il lavoro!) se dovessi
ripristinare il sito in caso di
necessità.
20. Come?
Alcuni provider offrono gratuitamente
questo servizio, altri lo fanno a pagamento
Puoi programmarlo in autonomia dal tuo
cpanel
Puoi farlo manualmente
Puoi usare un plugin (UnDraft)
22. 5. Usa la versione più
recente di PHP
YunikonID — 24.set.21
23. PHP è la spina dorsale di una sito
WordPress e quindi utilizzare l’ultima
versione di PHP sul server è molto
importante. Ogni release di PHP è in
genere supportata per 2 anni dal momento
del suo rilascio. Durante questo periodo, i
bug e i problemi di sicurezza sono corretti e
aggiornati regolarmente.
A partire da ora, chiunque abbia una
versione di PHP 7.0 o inferiore non ha più
supporto per la sicurezza ed è esposto a
vulnerabilità prive di patch.
Cosa vuol dire?
25. Sembra banale ma uno dei modi migliori
per aumentare la sicurezza di WordPress
è semplicemente quello di utilizzare nomi
utente e password intelligenti.
Eppure, secondo uno studio effettuato da
NordPass, la password più utilizzata è:
123456
Uno strumento che ti consiglio è:LastPass
26. 7. Nascondi la pagina wp-
admin.php
YunikonID — 24.set.21
27. Di default, l’URL di accesso del sito WordPress è
domain.com/wp-admin. Uno dei problemi che questo può
comportare è che tutti i bot, gli hacker e gli script in
circolazione lo sanno.
Modificando l’URL renderai il sito meno visibile agli
attacchi brute force. Questa non è una soluzione per tutti i
problemi, è semplicemente un trucchetto che può essere
utile nel proteggere il tuo sito. Per cambiare l'URL di
accesso a WordPress, prova il plugin gratuito WPS Hide
login
28. 8. Nascondi la versione di
WordPress
YunikonID — 24.set.21
29. function remove_wp_version() {
return '';
}
add_filter('the_generator',
'remove_wp_version');
Meno persone conoscono la tua configurazione di
WordPress, meglio è. Un’installazione non aggiornata di
WordPress potrebbe essere un benvenuto per gli intrusi.
Di default, la versione di WordPress viene visualizzata
nell’intestazione del codice sorgente del sito (<meta
name="generator" content="WordPress 5.8.1" />).
Assicurati, di nuovo, che l’installazione di WordPress sia
sempre aggiornata. Facendo così, non dovresti
preoccuparti di nascondere la versione.
AGGIUNGI AL FILE FUNCTIONS.PHP DEL TUO TEMA:
31. Google Authenticator App:
cos'è
Google Authenticator è un generatore di
codici da impiegare per completare il
processo di autenticazione a due fattori, o
verifica in due passaggi, supportata da un
sempre crescente numero di siti e servizi
Web.
Puoi impostare un secondo codice per
molte cose: l'accesso al tuo account
Google, a Facebook, o ancora, nel nostro
caso, per il tuo sito web.
32. Come si fa
La prima cosa da fare è configurare
l'Authenticator dal tuo account Google. Ti
lascio una guida completa ed esaustiva:
Come funziona Google Authenticator.
Una volta che lo avrai fatto potrai
aggiungere la verifica a due fattori per ogni
account che desideri associare.
YunikonID — 24.set.21
33. Dopo aver aggiunto tra gli account anche il tuo sito web,
dovrai usare un plugin per rendere effettiva
l'autenticazione a due fattori. In circolazione ne esistono
molti, io ti consiglio miniOrange's Google Authenticator
(gratuito).
Una volta completata la configurazione, ogni volta che
accederai al sito, oltre alla password, dovrai inserire un
codice a tempo fornito dall'app GA.
miniOrange's Google Authenticator
35. Che cos'è Wordfence:
firewall
È un plugin disponibile per WordPress,
gratuito o a pagamento.
Cisco lo definisce “un dispositivo per la
sicurezza della rete che permette di
monitorare il traffico in entrata e in uscita
utilizzando una serie predefinita di regole di
sicurezza per consentire o bloccare gli
eventi”.
Detto in parole semplici, è un "filtro" che
controlla che in entrata e in uscita circolino
informazioni in maniera sicura.
Immaginatelo come un bodyguard
all'entrata del tuo sito, che sceglie chi far
entrare e chi no.
YunikonID — 24.set.21
36. Che cos'è Wordfence: scan
Un'altra funzione che rende Wordfence un alleato alla
sicurezza del tuo sito è la funzione scan. Una volta avviata
il plugin scannerizza tutti i file presenti nella root del sito,
analizzando e monitorando se ci troviamo in presenza di
un sito infetto. Al termine del proccesso Wordfence
offrirà un'analisi completa dello stato di salute del sito, in
modo tale da intervenire tempestivamente.
37. Perchè Wordfence
non è la soluzione ai
tuoi problemi
Se sul tuo sito è già in corso un attacco hacker o
malware, Wordfence ti informerà del problema ma
sarai tu comunque a doverlo risolvere. Wordfence è
un ottimo strumento di monitoraggio ma questo non
preclude la necessità di mettere, e soprattutto
mantenere, il tuo sito in sicurezza, per prevenire
eventuali attacchi. Quando si dice è meglio
prevenire che curare.
38. Cosa puoi
fare ancora
per rendere
più sicuro il
tuo sito?
755 per le cartelle e 644 per i file
1. PERMESSI A CARTELLE E FILE
Di default il prefisso delle tabelle di
WordPress nel database è “wp_”.
Cambialo in qualcosa di meno intuibile.
2. CAMBIARE IL PREFISSO DELLE
TABELLE
39. Cosa puoi
fare ancora
per rendere
più sicuro il
tuo sito?
Nell'htaccess del tuo sito aggiungi:
3. IMPEDIRE L’ACCESSO AL WP-
CONFIG.PHP
Aggiungi al file wp-config.php del tuo
sito:
4. DISABILITARE L’EDIT DA BACKEND
<files wp-config.php>
order allow,deny
deny from all
</files>
define('DISALLOW_FILE_EDIT', true);
40. Fonti e approfondimenti
WordPress e Sicurezza – 19 Passi per
Proteggere il Vostro Sito di Kinsta
9 cose da fare per aumentare la
sicurezza di WordPress di
LiquidFactory
41. WordPress 3 Ultimate
Security
Una guida essenziale alla sicurezza di WordPress scritta
per essere compresa sia dai principianti della sicurezza
che dai professionisti del web. Anche se sei un
principiante assoluto della sicurezza, puoi trasformare
un sito insicuro in una fortezza di ferro, salvaguardando
gli utenti del tuo sito, i tuoi contenuti e, prima o poi, il
tuo livello di stress.
42. Facciamo due bagole!
Hai un sito e vuoi metterlo in sicurezza? Scrivimi!
Decidiamo insieme un giorno per farci una
chiacchierata su Skype, in cui mi racconti il tuo
ecommerce, cosa funziona e cosa no. Posso aiutarti
con una consulenza ad hoc che analizzi cosa
migliorare del tuo ecommerce e iniziare a vendere...
per davvero!
CONSULENZA ONE TO ONE
Maggior info e costi:
https://www.yunikondesign.com/contatti/