La sicurezza di WordPress è spesso una preoccupazione trascurata per i nuovi utenti di WordPress. Il " Hacking È per loro qualcosa che leggono, ma che non concepiscono possibile che accada a loro. Iniezioni SQL, XSS, escalation di privilegi e vulnerabilità di sicurezza critiche sono quindi solo parole d'ordine nelle nuove tecnologie.
Ma le cose devono essere diverse. La sicurezza di WordPress è fondamentale: ogni sito WordPress deve essere completamente e adeguatamente protetto.
È quindi essenziale come proprietario di un sito WordPress sapere cosa fare per proteggere il tuo blog dagli attacchi.
Ho appena iniziato, penso che il mio blog sarà risparmiato
Se la pensi così, ti imbatterai in gravi difficoltà anche prima di aver vinto qualcosa con il tuo blog. Gli hacker non cercano manualmente il tuo blog e non devono danneggiarti direttamente.
Di solito, gli "hacker" utilizzano script automatici che cercano nei blog. Se un collegamento al tuo sito appare in un forum, un altro blog o anche in un social network, questo collegamento può essere utilizzato per arrivare al tuo blog.
L'obiettivo generalmente preso di mira dagli hacker è poter utilizzare il tuo sistemazione fare qualcos'altro. È quindi nel tuo interesse non trascurare questo aspetto.
Ogni blogger "TODO list" in termini di sicurezza
Sai già che il tuo blog non verrà risparmiato. Cosa puoi fare allora?
Abbiamo preparato un elenco di raccomandazioni (è anche un promemoria per tutti coloro che ci seguono qui su BlogPasCher), che dovresti fare per proteggere meglio il tuo blog WordPress.
1 - Devi sempre disporre di una versione aggiornata di WordPress
Di volta in volta, leggerai i commenti sui blogger che si rifiutano di aggiornare la loro versione di WordPress, perché temono che questo aggiornamento rappresenti un problema di compatibilità.
In 2016, è un peccato vedere che esiste ancora questo tipo di mentalità.
Se dovessi scegliere tra un sito compromesso e un plug-in che non funziona momentaneamente, cosa sceglierai?
I plugin incompatibili con le ultime versioni di WordPress possono rimanere tali per un breve periodo, ma un sito compromesso, d'altra parte, è un problema molto più grande.
Ogni aggiornamento di WordPress corregge i problemi di sicurezza rilevati di recente. Se la tua versione di WordPress non viene aggiornata, il tuo sito sarà vulnerabile a difetti.
Scopri come gestire gli aggiornamenti di WordPress
2 - Non modificare il codice sorgente di WordPress
Dal momento in cui tu o uno sviluppatore di WordPress modifichi i file di sistema di WordPress, non sarai in grado di aggiornare facilmente e automaticamente WordPress alla sua ultima versione, poiché perderai le modifiche apportate al tuo sito.
Ciò renderà il tuo sito Web vulnerabile ai problemi di sicurezza rilevati nella versione di WordPress che stai utilizzando. Quindi avrai bisogno di te stesso patcher Le diverse vulnerabilità, e dubito che stasera sia un compito facile. Un detto tra gli sviluppatori di WordPress dice: non cambiare mai, per nessun motivo, il codice sorgente di WordPress. Quando lo fai, un piccolo gattino sulla terra muore.
Non ha davvero senso, ma bisogna capire che WordPress è così flessibile che consente al plugin di modificare il suo comportamento senza toccare il codice sorgente.
3 - Assicurati di avere sempre plugin aggiornati
Come con la tua versione di WordPress, le vulnerabilità si trovano spesso in plugin di WordPress. Ci sono stati molti casi di hacking of blog WordPress relativi alla vulnerabilità dei plugin.
La maggior parte dei software è soggetta a questi problemi ad un certo punto della sua esistenza. Il modo in cui vengono gestite le vulnerabilità mostra la serietà con cui alcune aziende gestiscono le proprie attività.
In linea di principio, non appena viene scoperto un problema, gli sviluppatori del plug-in lo correggeranno rapidamente e offriranno un aggiornamento.
Scopri come aggiornare automaticamente i plugin
4 - Rimuovi i plugin che non usi
Più plug-in installi, più vulnerabilità espone il tuo blog.
A volte installiamo plugin per testarne la funzionalità e dimentichiamo di rimuoverli. Se viene rilevata una vulnerabilità su questi plug-in, il tuo sito Web sarà automaticamente vulnerabile, anche se il plug-in non è realmente utilizzato.
Se non si utilizza un plug-in, eliminarlo. Assicurati inoltre di tenere sempre presente che i test dei plug-in possono essere eseguiti localmente.
Come disinstallare un plugin WordPress
5: assicurati che il tema sia aggiornato regolarmente
La stessa logica che si applica agli aggiornamenti di WordPress e dei suoi plugin, si applica ai suoi temi. Proteggere WordPress significa che tutti i temi devono essere aggiornati alle loro ultime versioni. Altrimenti, eventuali vulnerabilità di sicurezza che sono state risolte rimarranno un problema per te.
Ora puoi probabilmente pensare che tutte le modifiche apportate al tema non saranno più disponibili dopo l'aggiornamento. In linea di principio, le modifiche su un tema devono essere necessariamente eseguite da un tema figlio, anziché direttamente sul tema principale. Ciò ti consentirà di ottenere le patch e gli aggiornamenti di sicurezza più recenti senza rimuovere le modifiche.
6 - Installa plugin e temi da una fonte attendibile
A volte, quando i tempi sono duri, potremmo essere tentati di "bypassare" il pagamento di un buon tema o plugin e ottenerlo gratuitamente da una cattiva fonte.
In effetti, non c'è niente di sbagliato nell'indicizzare una fonte qui. Pirateria, torrent e altre fonti che offrono software a pagamento gratuitamente sono qualcosa che dovresti assolutamente evitare come la peste.
Ciò che di solito non ci rendiamo conto, tuttavia, è che molti di questi temi compromessi scaricati gratuitamente sono stati corrotti in modo dannoso. Principalmente un " porta sul retro È stato installato nello script. Ciò consente al sito in cui viene utilizzato il tema o il plug-in di essere controllato a distanza.
Quindi devi assicurarti di scaricare quanti più temi gratuiti possibili WordPress.orgo temi premium su fonti come " ThemeForest '.
7 - Usa password complesse
Molti proprietari di blog sono negligenti a questo livello. Se la tua password è facile da indovinare, sei in guai seri. Le password più comunemente utilizzate sono:
- 123456
- Admin
- 0000
- Password
- Segreto
È orribile notarlo. Non puoi considerare di lavorare seriamente sul tuo blog, se la tua password non lo è.
La protezione di un blog ha anche una password affidabile.
8 - Limita i tentativi di connessione
Abbiamo già discusso dei casi di attacco di password di forza bruta e del fatto che l'uso dei bot è economico e molto accessibile per i tuoi hacker. Per questo motivo, è necessario mettere in atto meccanismi per bloccare qualsiasi tentativo di attacco di forza bruta.
Il plugin « limite di Accesso Fa esattamente quello. Se rileva numerosi tentativi di accesso errati, impedisce all'utente di accedere nuovamente. Questo, ovviamente, rende difficili da mettere insieme i tentativi di attacchi di forza bruta e protegge meglio il tuo blog.
9 - Effettua backup
Ho elencato un elenco di cose che dovresti fare per proteggere WordPress e capisco che può essere un po 'difficile da mettere in pratica. So anche che potresti dimenticarti di mettere insieme.
Ma c'è un'attività che non dovresti saltare: fare il backup del tuo blog.
L'unica cosa che non dovresti mai dimenticare di fare è avere un piano di backup di WordPress. Non solo in caso di attacchi, ma anche in caso di incidenti, guasti tecnici e altri contrattempi, avere un backup ti garantisce di rimetterti facilmente in piedi.
Snapshot Pro è come una macchina del tempo per il tuo sito Web, che ti consente di eseguire il backup e il ripristino dell'intero sito e persino di pianificare backup automatici regolari.
10 - Attiva Google Search Console
Sebbene questa non sia una raccomandazione rigorosa su WordPress, è comunque qualcosa che dovresti considerare come supplemento ai vari consigli in questo elenco.
Google e altri motori di ricerca vogliono sempre assicurarsi che il tuo sito web sia libero da qualsiasi minaccia per gli utenti dei motori di ricerca. È per questo motivo che Google ti avviserà se rileva qualcosa di anormale sul tuo sito web.
Questa pratica ti consentirà di ripristinare correttamente un sito Web che è stato "Violato", soprattutto perché Google nasconde dai suoi risultati qualsiasi sito che rappresenti una minaccia per questi utenti.
È tutto ?
No, l'elenco non è esaustivo. Ci sono molte cose che puoi fare per proteggere meglio il tuo blog. Ma questo è il primo passo.
