I nuovi backup di Duplicator con un solo clic, la cancellazione automatica e gli aggiornamenti di versione
Joella Dunn
Joella Dunn
John Turner
John Turner
Ogni giorno, gli hacker lanciano migliaia di attacchi contro i siti WordPress in tutto il mondo.
Il vostro sito potrebbe essere il prossimo. Non perché siate stati presi di mira in modo specifico, ma perché i bot automatizzati scansionano costantemente Internet alla ricerca di siti web vulnerabili.
Quando ne trovano uno, colpiscono senza esitazione.
Un sito web compromesso non è solo un inconveniente. Significa perdita di fatturato, reputazione danneggiata e innumerevoli ore spese per il ripristino. Per i proprietari di piccole imprese può essere devastante.
La buona notizia? La maggior parte degli attacchi riusciti sfrutta vulnerabilità note che sono sorprendentemente facili da risolvere. Con il giusto approccio, potete rafforzare il vostro sito WordPress e mandare gli hacker alla ricerca di obiettivi più facili.
Vi guiderò attraverso strategie comprovate per proteggere il vostro sito WordPress dalle minacce informatiche. Niente gergo tecnico o procedure complicate: solo passi pratici che ogni proprietario di sito può mettere in pratica oggi stesso.
La sicurezza del vostro sito web inizia ora!
Il modo migliore per proteggere il vostro sito web dagli hacker è impostare backup automatici. Con un plugin di backup come Duplicator, i vostri dati saranno costantemente salvati nel cloud. Assicuratevi di impostare un punto di ripristino di emergenza, in modo da poter recuperare l'intero sito, anche se danneggiato.
Per aumentare la sicurezza, dovrete anche eseguire regolari operazioni di manutenzione. Aggiornamenti, scansioni del malware e pulizia del database possono spesso tenere lontani gli hacker dal vostro sito web.
Prima di iniziare a proteggere il vostro sito web, dovete capire le tattiche del nemico. I siti web vengono spesso violati a causa di software obsoleto, password deboli, vulnerabilità non patchate e scarse pratiche di sicurezza.
Qualsiasi sito web può essere vulnerabile a un attacco informatico. WordPress è il sistema di gestione dei contenuti (CMS) più diffuso, il che lo rende un obiettivo popolare per le attività dannose.
Ecco i motivi più comuni per cui gli hacker accedono al vostro sito web:
Se non risolvete queste vulnerabilità di sicurezza, potreste essere vittime di attacchi brute force, iniezioni SQL, social engineering, cross-site scripting (XSS), ransomware e altri tentativi di hacking. Di conseguenza, potreste incorrere in problemi di sicurezza come malware, codice maligno e violazioni di dati che fanno trapelare informazioni sensibili.
Non c'è modo di garantire che il vostro sito web non venga mai violato. Tuttavia, è possibile risolvere molte vulnerabilità e ridurre significativamente il rischio di un attacco informatico riuscito.
Utilizzando buone pratiche di sicurezza, potete ridurre al minimo la possibilità di una violazione e migliorare la sicurezza generale del vostro sito web. Renderete il vostro sito web un bersaglio incredibilmente difficile per gli hacker.
In qualità di proprietari di un sito web, vorrete proteggere il vostro sito dagli hacker. Tuttavia, potreste non sapere come farlo. Per evitare che i vostri dati sensibili vengano divulgati, abbiamo raccolto alcuni consigli utili per la sicurezza!
Uno dei modi migliori per proteggere il vostro sito web dagli hacker è eseguire regolarmente il backup. Ciò comporta il salvataggio di una copia funzionale dei file e del database di WordPress.
Se eseguite frequentemente il backup del vostro sito web, sarete in grado di ripristinare i vostri dati dopo un attacco informatico. Non dovrete preoccuparvi di rimuovere il malware perché il vostro sito tornerà ad essere come prima dell'attacco.
Per iniziare, vi consigliamo di installare un plugin di backup per WordPress. Uno strumento come Duplicator vi permette di creare facilmente backup dell'intero sito e di ripristinarli ogni volta che ne avete bisogno.
Tutto ciò che dovrete fare è creare un nuovo backup. Dategli un nome unico e assicuratevi che tutti i file e le tabelle del database siano inclusi.
Quindi, è possibile scaricare il backup. Salvate il file in un luogo sicuro, in modo da avere sempre a portata di mano i file di backup.
Se non volete preoccuparvi dei backup manuali, potete impostare backup automatici. Creando una nuova pianificazione, vi assicurerete che il vostro sito web venga sottoposto a backup ogni ora, giorno, settimana o mese.
Nel caso in cui doveste subire un attacco di hacker, dovrete disporre di un piano di ripristino di emergenza. Prima che si verifichi un incidente, è possibile impostare un backup recente come punto di ripristino di emergenza.
Nel registro dei backup di Duplicator, fare clic sull'icona blu del ripristino d'emergenza.
Quindi, impostare il ripristino d'emergenza.
Una volta fatto questo, è possibile ripristinare un backup in due modi diversi. Un'opzione è quella di copiare e salvare il link per il ripristino d'emergenza. Se lo si incolla in una finestra del browser, si avvia immediatamente la procedura guidata di ripristino.
È anche possibile scaricare il programma di ripristino. Salvare questo file HTML e aprirlo ogni volta che è necessario recuperare il sito.
Il recupero di emergenza può essere una buona opzione per risolvere gli hack, soprattutto se si è bloccati dalla dashboard di WordPress. È sufficiente incollare il link di ripristino o utilizzare il launcher di ripristino per riottenere immediatamente l'accesso.
Se potete ancora accedere a WordPress, potete ripristinare il vostro sito originale con un clic. Andate alla pagina Backup, trovate un backup pulito e premete Ripristina.
Ripristinando un backup, si elimina automaticamente qualsiasi attività dannosa avvenuta dopo la creazione del backup. Tuttavia, continuate a leggere questa guida per aumentare la vostra sicurezza ed evitare futuri tentativi di hacking.
L'aggiornamento del software del vostro sito web, compresi i temi, i plugin e il nucleo di WordPress, è una parte importante della sicurezza del sito web. Gli hacker spesso sfruttano le vulnerabilità note del software obsoleto.
Mantenendo tutto aggiornato, si eliminano i potenziali punti di ingresso per i cyberattacchi. Gli aggiornamenti del software sono spesso accompagnati da patch di sicurezza, che aggiungono una protezione supplementare al vostro sito web.
Potete gestire gli aggiornamenti software nella pagina Aggiornamenti della vostra dashboard di WordPress. Vedrete tutte le nuove versioni del nucleo di WordPress, dei plugin e dei temi.
Oltre a mantenere aggiornato il software, è importante eliminare tutti i plugin e i temi che non si utilizzano più.
Le vulnerabilità dei plugin obsoleti possono essere sfruttate per compromettere la sicurezza del vostro sito web. Questo potrebbe potenzialmente portare a violazioni di dati, accessi non autorizzati e persino alla distribuzione di malware.
Rimuovendo i plugin inutilizzati, si riducono al minimo i potenziali rischi per la sicurezza e si crea una migliore difesa contro le minacce alla sicurezza informatica.
La prima linea di difesa contro gli hacker è una password forte. Potreste essere tentati di scegliere una password semplice e breve perché è memorabile, ma questo può lasciare il vostro sito vulnerabile.
WordPress semplifica l'uso di una password di amministrazione forte. Quando si cambia la password, WordPress ne genera automaticamente una con una combinazione unica di lettere, numeri e caratteri speciali.
Si consiglia di utilizzare un gestore di password per memorizzare le password in modo sicuro. Per essere sicuri che nessun altro conosca le vostre credenziali di amministrazione, dovreste anche assegnare ai membri del vostro team i propri ruoli e permessi.
Tenete presente che avrete bisogno di password forti anche per il pannello di controllo dell'hosting, l'account FTP e l'indirizzo e-mail. In questo modo, gli hacker non saranno in grado di entrare e sfruttare nessuno dei vostri account.
WordPress assegnava automaticamente "admin" come nome utente predefinito. Per fortuna, ora consente di scegliere un nome utente personalizzato.
Se il vostro sito esiste da tempo, potreste ancora accedere con "admin" come nome utente. Questo può rendere più facile per gli hacker sfruttare il vostro sito web, poiché "admin" sarà una delle loro prime ipotesi.
Potreste anche avere un nome utente "amministratore" se avete utilizzato la funzione di installazione con un solo clic del vostro host web. In questo caso, dovrete cambiare il vostro nome utente di WordPress per proteggere il vostro sito web.
Il vostro provider di web hosting può fare o distruggere il vostro sito web. Con una scelta sbagliata, potreste non avere sufficienti precauzioni di sicurezza per proteggere il vostro sito dagli hacker.
Ecco alcune caratteristiche di sicurezza essenziali che dovrebbero essere fornite dal vostro piano di hosting WordPress:
Se avete appena avviato un piccolo blog, potreste aver scelto un piano di hosting condiviso per la sua convenienza. Tuttavia, condividerete le risorse con molti altri siti web. Ciò significa che se un altro sito sul vostro server viene violato, i vostri dati potrebbero essere a rischio.
Per aumentare la sicurezza, vi consigliamo di passare a un nuovo host web. Opzioni come Bluehost, SiteGround e Hostinger dispongono tutte di funzioni di sicurezza di alta qualità per prevenire hack e altri attacchi informatici.
Potreste anche prendere in considerazione un provider di hosting gestito come WP Engine. Questo spesso fornisce una piattaforma più sicura con firewall, certificati SSL, backup automatici e aggiornamenti automatici.
Oltre a un buon host web, è necessario installare un plugin di sicurezza per WordPress. Questi strumenti per la sicurezza dei siti web sono in grado di rilevare e contrastare le attività dannose, fornire una protezione firewall e persino eseguire scansioni di malware.
Uno dei migliori plugin di sicurezza oggi disponibili è Sucuri Security. Esiste una versione gratuita che offre la scansione del malware, il monitoraggio delle liste di blocco, l'indurimento della sicurezza e le azioni da intraprendere dopo che il sito è stato violato.
Dopo aver installato Sucuri, tutto ciò che dovrete fare è aprire le impostazioni e trovare l'opzione Hardening. Qui, è possibile scorrere l'elenco delle funzioni di sicurezza e premere Applica indurimento accanto a ciascuna di esse.
Questo protegge il vostro sito web dalle più comuni tecniche di hacking. Tuttavia, tenete presente che per accedere al Web Application Firewall (WAF) dovrete passare alla versione premium.
Un Web Application Firewall (WAF) è un potente strumento di sicurezza progettato per proteggere i siti web da un'ampia gamma di minacce e attacchi informatici. Un firewall filtra il traffico in entrata e in uscita, bloccando le richieste dannose, i tentativi di accesso non autorizzati e le attività sospette.
Come abbiamo detto in precedenza, Sucuri è un plugin di sicurezza completo che include un firewall. Questa funzione di sicurezza è così utile che ha aiutato WPBeginner a bloccare 450.000 hack in soli 3 mesi.
Aumentate la sicurezza di WordPress con il firewall di Sucuri oggi stesso!
SSL (Secure Sockets Layer) è un tipo di crittografia che protegge il trasferimento di dati tra il vostro sito web e un browser. Garantisce che i dati scambiati tra questi due punti rimangano riservati e protetti da parti non autorizzate come gli hacker.
Per un sito web WordPress, la crittografia SSL non è solo un lusso: è una necessità.
Questa precauzione di sicurezza rende quasi impossibile per gli hacker intercettare informazioni sensibili come password, dettagli di carte di credito e dati personali. È importante per i siti web che gestiscono registrazioni di utenti, credenziali di accesso o transazioni di e-commerce.
Una volta attivata la crittografia SSL, il vostro sito web utilizzerà HTTPS anziché HTTP. Inoltre, accanto al vostro indirizzo web comparirà un lucchetto che indicherà ai visitatori che il vostro sito è sicuro.
I prezzi dei certificati SSL variavano da 80 a centinaia di dollari all'anno. Tuttavia, un'organizzazione no-profit chiamata Let's Encrypt ha iniziato a fornire opzioni gratuite. Questo ha portato le società di web hosting a includere i certificati SSL nei loro piani.
Se dovete iniziare a usare l'SSL, verificate se il vostro host ne offre uno gratuitamente. In caso contrario, potete acquistarne uno da Domain.com.
Una volta installato un plugin di sicurezza, questo scansionerà regolarmente il vostro sito web alla ricerca di malware e vi invierà una notifica se ne trova. Tuttavia, potreste notare un calo del traffico organico o del posizionamento SEO e voler controllare voi stessi la presenza di malware.
Il plugin di sicurezza di solito consente di avviare una nuova scansione del malware. In alternativa, è possibile utilizzare uno scanner di malware online.
Utilizzando uno strumento come il malware scanner di Sucuri, potete inserire l'URL del vostro sito web. Quindi, vi informerà se ha rilevato malware o se siete stati inseriti nella lista nera dei motori di ricerca.
Questo vi permette di controllare gratuitamente la sicurezza di WordPress in qualsiasi momento. Se Sucuri rileva la presenza di malware, potete iniziare a ripulire il vostro sito o ripristinare un backup privo di errori.
Un'altra cosa che potete fare per proteggere il vostro sito web dagli hacker è limitare i tentativi di accesso. Questa misura di sicurezza impedirà gli attacchi di forza bruta, una forma di hacking in cui un bot indovina le password finché il vostro sito non viene violato.
Per impostazione predefinita, WordPress consente un numero illimitato di tentativi di accesso. Tuttavia, è possibile impostare facilmente un limite con il plugin Limit Login Attempts Reloaded. Questo strumento gratuito blocca gli indirizzi IP che tentano di accedere al vostro sito web troppe volte.
L'autenticazione a due fattori (2FA) aggiunge un ulteriore livello di sicurezza ai login di WordPress. Gli utenti devono fornire una seconda informazione, come un codice inviato al telefono, oltre alla password.
Il modo più semplice per impostare la 2FA è installare un plugin come WP 2FA. Questo plugin consente di attivare l'autenticazione a due fattori per ogni utente che tenta di accedere al vostro sito WordPress.
La maggior parte dei siti Web WordPress utilizza un URL di accesso che termina con wp-admin o wp-login. Poiché WordPress è il CMS più diffuso, gli hacker sapranno come visualizzare la vostra pagina di login e inizieranno a cercare di entrare nel vostro sito.
Per aggiungere un ulteriore livello di sicurezza, si può nascondere la pagina di login di WordPress. Ciò comporta l'utilizzo di un URL di accesso personalizzato al posto delle opzioni predefinite.
Con il plugin WPS Hide Login, sarete in grado di aggiornare facilmente il vostro URL di accesso. Rende inaccessibile la pagina wp-login.php e reindirizza invece all'URL di accesso personalizzato.
Nella dashboard di WordPress sono presenti editor di codice integrati per modificare i file di temi e plugin. Se un hacker accede alla vostra area di amministrazione, potrebbe utilizzare questi editor per danneggiare il vostro sito web.
Per evitare che ciò accada, considerate la possibilità di disattivare questa funzione. È sufficiente aggiungere questo codice al file wp-config.php:
// Disallow file edit
define( 'DISALLOW_FILE_EDIT', true );Se avete installato Sucuri, potete anche disattivare la modifica dei file nelle impostazioni di sicurezza. Questo impedirà agli utenti non autorizzati di modificare i file del sito!
Un modo in cui gli hacker potrebbero sfruttare il vostro sito web è aggiungere un file a una directory ed eseguirne il PHP. Poiché WordPress rende alcune directory scrivibili, questa funzione potrebbe essere sfruttata da utenti malintenzionati.
Fortunatamente, è possibile disabilitare l'esecuzione di file PHP per tutte le directory non necessarie. In questo modo si impedisce l'esecuzione di qualsiasi file PHP in queste directory specifiche.
A tal fine, aprire un editor di testo e aggiungere questo codice:
<Files *.php>
deny from all
</Files>Salvare il file come.htaccess e caricarlo nella cartella uploads.
Per una guida completa passo-passo su questo processo, potete leggere questo post su come disabilitare l'esecuzione di PHP in alcune directory di WordPress.
In questo post abbiamo elencato molti consigli per mantenere il vostro sito al sicuro dagli attacchi informatici. Se avete già consultato questo elenco, ecco alcune misure supplementari che potreste adottare:
Potete rendere più sicuro il vostro sito web creando backup regolari, eseguendo aggiornamenti, utilizzando password forti e installando plugin di sicurezza. In questo modo migliorerete notevolmente la sicurezza del vostro sito web.
Sì, un sito web violato può essere recuperato. Assicuratevi di installare un plugin di backup come Duplicator Pro e di creare backup di routine del vostro sito. Dopo aver impostato il backup più recente senza errori come punto di ripristino, incollate l'URL del punto di ripristino in una finestra del browser. È quindi possibile utilizzare la procedura guidata di ripristino di Duplicator per eseguire il rollback del sito.
Suggerimento: se non avete impostato un punto di ripristino prima di essere violati, non preoccupatevi! Trovate i file di backup più recenti che avete scaricato sul vostro computer o salvato nel cloud. Quindi, utilizzate un client FTP o un file manager per ricaricare questi file sul vostro sito.
Il vostro sito web potrebbe essere stato violato se vedete modifiche insolite o non autorizzate, come nuove pagine, codice sconosciuto, reindirizzamenti inaspettati o annunci indesiderati. Potreste anche ricevere avvisi dal vostro provider di hosting, da un plugin di sicurezza o da Google.
Potete verificare la sicurezza del vostro sito web effettuando una scansione con un plugin di sicurezza per WordPress. In alternativa, uno scanner di malware di terze parti può aiutarvi a identificare eventuali minacce alla sicurezza informatica.
A questo punto, avrete una conoscenza completa di come proteggere il vostro sito web dagli hacker!
Mentre siete qui, potreste gradire queste ulteriori esercitazioni su WordPress:
Siete pronti a proteggere il vostro sito web da futuri tentativi di hacking? Scaricate Duplicator Pro per salvare backup regolari e ripristinare facilmente il vostro sito ogni volta che ne avete bisogno!
Divulgazione: I nostri contenuti sono sostenuti dai lettori. Ciò significa che se cliccate su alcuni dei nostri link, potremmo guadagnare una commissione. Raccomandiamo solo prodotti che riteniamo possano apportare un valore aggiunto ai nostri lettori.
