La sicurezza di WordPress è un argomento di enorme importanza per ogni proprietario di un sito web.
Se avete a cuore il vostro sito web, dovete prestare attenzione alle best practice di sicurezza di WordPress. Altrimenti, potreste diventare uno degli oltre 10.000 siti web che Google inserisce nella blacklist ogni giorno per malware e phishing.
In questa guida condivideremo i nostri migliori consigli sulla sicurezza di WordPress per aiutarvi a proteggere il vostro sito web da hacker e malware.
Anche se il software di base di WordPress è molto sicuro e viene controllato regolarmente da centinaia di sviluppatori, c’è ancora molto da fare per mantenere il vostro sito sicuro.
Noi di WPBeginner crediamo che la sicurezza non si limiti all’eliminazione dei rischi. Si tratta anche di ridurre i rischi. Come proprietari di un sito web, potete fare molto per migliorare la sicurezza di WordPress, anche se non siete esperti di tecnologia.
Ecco perché abbiamo messo insieme un elenco di azioni che potete intraprendere per proteggere il vostro sito web dalle vulnerabilità della sicurezza.
Per semplificare le cose, abbiamo creato un indice per aiutarvi a navigare facilmente nella nostra guida definitiva alla sicurezza di WordPress.
Indice dei contenuti
Nozioni di base sulla sicurezza di WordPress
- Perché la sicurezza di WordPress è importante
- Mantenere WordPress aggiornato
- Utilizzare password e permessi utente forti
- Capire il ruolo dell’hosting WordPress
La sicurezza di WordPress in semplici passi (senza codice)
- Installare una soluzione di backup per WordPress
- Installate un plugin di sicurezza per WordPress affidabile
- Abilitare un firewall per applicazioni Web (WAF)
- Passare il sito WordPress a SSL/HTTPS
Sicurezza di WordPress per gli utenti fai-da-te
- Cambiare il nome utente amministratore predefinito
- Disattivare la modifica dei file
- Disabilitare l’esecuzione di file PHP in alcune directory di WordPress
- Limitare i tentativi di accesso
- Aggiungere l’autenticazione a due fattori (2FA)
- Cambiare il prefisso del database di WordPress
- Proteggere con password la pagina di amministrazione e di accesso di WordPress
- Disabilitare l’indicizzazione e la navigazione delle directory
- Disabilitare XML-RPC in WordPress
- Disconnettere automaticamente gli utenti inattivi in WordPress
- Aggiungere domande di sicurezza al login di WordPress
- Scansione di WordPress alla ricerca di malware e vulnerabilità
- Riparare un sito WordPress violato
Pronti? Iniziamo.
Perché la sicurezza del sito web è importante
Un sito WordPress violato può causare gravi danni alle entrate e alla reputazione della vostra azienda. Gli hacker possono rubare informazioni e password degli utenti, installare software dannoso e persino distribuire malware agli utenti.
Nel peggiore dei casi, potreste ritrovarvi a pagare un ransomware agli hacker solo per riottenere l’accesso al vostro sito web.
Ogni giorno, Google avvisa 12-14 milioni di utenti che un sito web che stanno cercando di visitare potrebbe contenere malware o rubare informazioni.
Inoltre, ogni giorno Google inserisce nella blacklist oltre 10.000 siti web per malware o phishing.
Proprio come i proprietari di aziende con una sede fisica hanno la responsabilità di salvaguardare la loro proprietà, i proprietari di aziende online devono prestare maggiore attenzione alla sicurezza del loro WordPress.
Mantenere WordPress aggiornato
WordPress è un software open-source e viene mantenuto e aggiornato regolarmente. Per impostazione predefinita, WordPress installa automaticamente gli aggiornamenti minori.
Per le versioni principali, è necessario avviare manualmente l’aggiornamento.
WordPress è inoltre dotato di migliaia di plugin e temi che è possibile installare sul proprio sito web. Questi plugin e temi sono gestiti da sviluppatori terzi, che rilasciano regolarmente anche gli aggiornamenti.
Questi aggiornamenti di WordPress sono fondamentali per la sicurezza e la stabilità del vostro sito WordPress. Dovete assicurarvi che il nucleo di WordPress , i plugin e il tema siano aggiornati.
Utilizzare password e permessi utente forti
I più comuni tentativi di violazione di WordPress utilizzano password rubate. Potete rendere più difficile questa situazione utilizzando password più forti e uniche per il vostro sito web.
Non stiamo parlando solo dell’area di amministrazione di WordPress. Ricordate di creare password forti per gli account FTP, i database, gli account di hosting WordPress e gli indirizzi e-mail personalizzati che utilizzano il nome di dominio del vostro sito.
Molti principianti non amano usare password forti perché sono difficili da ricordare. La cosa positiva è che non è più necessario ricordare le password perché basta usare un gestore di password.
Per ulteriori informazioni, consultate la nostra guida su come gestire le password di WordPress.
Un altro modo per ridurre il rischio è quello di non dare a nessuno l’accesso all’account di amministrazione di WordPress, a meno che non sia assolutamente necessario.
Se avete un team numeroso o autori ospiti, assicuratevi di aver compreso i ruoli e le capacità degli utenti in WordPress prima di aggiungere nuovi account utente e autori al vostro sito WordPress.
Capire il ruolo dell’hosting WordPress
Il vostro servizio di hosting WordPress gioca il ruolo più importante nella sicurezza del vostro sito WordPress. Un buon provider di hosting condiviso come Hostinger, Bluehost o SiteGround adotta misure extra per proteggere i propri server dalle minacce più comuni.
Ecco alcuni modi in cui le buone società di web hosting lavorano in background per proteggere i vostri siti web e i vostri dati:
- Monitorano continuamente la loro rete alla ricerca di attività sospette.
- Tutte le buone società di hosting dispongono di strumenti per prevenire gli attacchi DDoS su larga scala.
- Mantengono aggiornati il software del server, le versioni di PHP e l’hardware per evitare che gli hacker sfruttino una vulnerabilità di sicurezza nota in una vecchia versione.
- Dispongono di piani di disaster recovery e di incidenti pronti all’uso che consentono di proteggere i dati in caso di incidente grave.
Con un piano di hosting condiviso, si condividono le risorse del server con molti altri clienti. Esiste il rischio di contaminazione cross-site, in cui un hacker può utilizzare un sito vicino per attaccare il vostro sito web.
Al contrario, l’utilizzo di un servizio di hosting WordPress gestito offre una piattaforma più sicura per il vostro sito web. Le società di hosting WordPress gestite offrono backup automatici, aggiornamenti automatici di WordPress e configurazioni di sicurezza più avanzate per proteggere il vostro sito web.
Raccomandiamo WP Engine come nostro provider di hosting WordPress gestito preferito. È anche il provider più popolare del settore.
Assicuratevi di ottenere la migliore offerta utilizzando il nostro coupon speciale WP Engine.
La sicurezza di WordPress in pochi semplici passi (senza codice)
Sappiamo che migliorare la sicurezza di WordPress può essere un pensiero terrificante per i principianti, soprattutto se non si è esperti di tecnologia. Indovinate un po’: non siete soli.
Abbiamo aiutato migliaia di utenti di WordPress a rafforzare la loro sicurezza.
Vi mostreremo come migliorare la sicurezza di WordPress con pochi clic (non è necessario alcun codice).
Se sapete fare punta e clicca, potete fare questo!
1. Installare una soluzione di backup per WordPress
I backup sono la prima difesa contro qualsiasi attacco a WordPress. Ricordate che nulla è sicuro al 100%. Se i siti web governativi possono essere violati, anche il vostro può esserlo.
I backup consentono di ripristinare rapidamente il sito WordPress nel caso in cui si verifichi un evento negativo.
Esistono molti plugin di backup per WordPress, gratuiti e a pagamento, che potete utilizzare. La cosa più importante da sapere quando si tratta di backup è che dovete salvare regolarmente i backup dell’intero sito in una posizione remota (non il vostro account di hosting).
Si consiglia di archiviarli su un servizio cloud come Amazon, Dropbox o su cloud privati come Stash.
In base alla frequenza di aggiornamento del sito web, l’impostazione ideale potrebbe essere quella di un backup al giorno o in tempo reale.
Fortunatamente questo può essere fatto facilmente utilizzando plugin come Duplicator, UpdraftPlus o BlogVault. Sono entrambi affidabili e soprattutto facili da usare (non è necessario alcun codice).
Per maggiori dettagli, consultate la nostra guida su come eseguire il backup del vostro sito web WordPress.
Installate un plugin di sicurezza per WordPress affidabile
Dopo i backup, la cosa successiva da fare è impostare un sistema di auditing e monitoraggio che tenga traccia di tutto ciò che accade sul vostro sito web.
Questo include il monitoraggio dell’integrità dei file, i tentativi di accesso falliti, la scansione del malware e altro ancora.
Per fortuna, potete occuparvene facilmente installando uno dei migliori plugin di sicurezza per WordPress, come Sucuri.
È necessario installare e attivare il plugin gratuito Sucuri Security. Per maggiori dettagli, consultate la nostra guida passo-passo su come installare un plugin di WordPress.
Ora è possibile accedere alla “Dashboard” di Sucuri Security per verificare se il plugin ha riscontrato problemi immediati con il codice di WordPress.
La cosa successiva da fare è navigare nella pagina Sucuri Security ” Impostazioni e fare clic sulla scheda “Tempra”.
Le impostazioni predefinite funzionano bene per la maggior parte dei siti web, quindi si può procedere all’attivazione facendo clic sul pulsante “Applica protezione” per ciascuna opzione.
In questo modo è possibile bloccare le aree chiave che gli hacker utilizzano spesso nei loro attacchi.
Suggerimento: più avanti in questo articolo tratteremo altri modi per rendere più sicuro il vostro sito web, come la modifica del prefisso del database e del nome utente dell’amministratore. Tuttavia, questi sono più tecnici e potrebbero richiedere conoscenze di codifica.
Dopo la parte di indurimento, le altre impostazioni predefinite del plugin sono sufficienti per la maggior parte dei siti web e non richiedono alcuna modifica.
L’unica cosa che consigliamo di personalizzare sono gli avvisi via e-mail, che si trovano nella scheda “Avvisi” della pagina delle impostazioni.
Per impostazione predefinita, riceverete molti avvisi e-mail che possono ingombrare la vostra casella di posta.
Si consiglia di attivare gli avvisi solo per le azioni chiave di cui si desidera ricevere notifica, come le modifiche ai plugin e le registrazioni di nuovi utenti.
Questo plugin per la sicurezza di WordPress è molto potente, quindi sfogliate tutte le schede e le impostazioni per vedere tutto ciò che fa, come la scansione del malware, i registri di audit, il monitoraggio dei tentativi di accesso falliti e altro ancora.
Per maggiori informazioni, potete consultare la nostra recensione dettagliata di Sucuri.
Abilitare un firewall per applicazioni Web (WAF)
Il modo più semplice per proteggere il vostro sito ed essere sicuri della sicurezza di WordPress è utilizzare un firewall per applicazioni web (WAF).
Un firewall per siti web blocca tutto il traffico dannoso prima ancora che raggiunga il vostro sito.
- Un firewall per siti web a livello di DNS instrada il traffico del vostro sito web attraverso i suoi server proxy nel cloud. Ciò consente di inviare al vostro server web solo il traffico autentico.
- Un firewall a livello di applicazione esamina il traffico una volta raggiunto il server, ma prima di caricare la maggior parte degli script di WordPress. Questo metodo non è efficiente come il firewall a livello di DNS nel ridurre il carico del server.
Per saperne di più, consultate il nostro elenco dei migliori plugin firewall per WordPress.
Abbiamo utilizzato Sucuri su WPBeginner per molti anni e lo raccomandiamo ancora come uno dei migliori firewall per applicazioni web per WordPress. Di recente siamo passati da Sucuri a Cloudflare perché avevamo bisogno di una rete CDN più grande con caratteristiche più orientate ai clienti aziendali.
Potete leggere come Sucuri ci ha aiutato a bloccare 450.000 attacchi WordPress in un mese.
La parte migliore del firewall di Sucuri è che viene fornito anche con una garanzia di pulizia del malware e di rimozione dalla blacklist. Ciò significa che se doveste subire un attacco di hacking sotto la loro sorveglianza, vi garantiscono di sistemare il vostro sito web, indipendentemente dal numero di pagine che avete.
Si tratta di una garanzia piuttosto forte, perché riparare i siti web violati è costoso. Gli esperti di sicurezza normalmente chiedono più di 250 dollari all’ora, mentre è possibile ottenere l’intero pacchetto di sicurezza Sucuri a 199 dollari per un anno intero.
Detto questo, Sucuri non è l’unico fornitore di firewall a livello di DNS in circolazione. L’altro popolare concorrente è Cloudflare. Consultate il nostro confronto tra Sucuri e Cloudflare (pro e contro).
Passare il sito WordPress a SSL/HTTPS
SSL (Secure Sockets Layer) è un protocollo che cripta il trasferimento di dati tra il vostro sito web e il browser dell’utente. Questa crittografia rende più difficile per qualcuno sniffare e rubare informazioni.
Una volta attivato l’SSL, l’indirizzo del vostro sito web utilizzerà HTTPS anziché HTTP. Nel browser si vedrà anche un lucchetto o un’icona simile accanto all’indirizzo del sito web.
I certificati SSL sono tipicamente emessi dalle autorità di certificazione e il loro prezzo varia da 80 a centinaia di dollari all’anno. A causa dei costi aggiuntivi, in passato la maggior parte dei proprietari di siti web ha scelto di continuare a utilizzare il protocollo insicuro.
Per risolvere questo problema, un’organizzazione no-profit chiamata Let’s Encrypt ha deciso di offrire certificati SSL gratuiti ai proprietari di siti web. Il loro progetto è sostenuto da Google Chrome, Facebook, Mozilla e molte altre aziende.
È più facile che mai iniziare a usare l’SSL per tutti i vostri siti web WordPress. Molte società di hosting offrono ora un certificato SSL gratuito per il vostro sito WordPress.
Se la vostra società di hosting non ne offre uno, potete acquistare un certificato SSL da Domain.com. Si tratta delle offerte SSL migliori e più affidabili del mercato. Il certificato viene fornito con una garanzia di sicurezza di 10.000 dollari e un sigillo di sicurezza TrustLogo.
Sicurezza di WordPress per gli utenti fai-da-te
Se fate tutto ciò che abbiamo menzionato finora, allora siete a buon punto.
Ma come sempre, è possibile fare di più per rafforzare la sicurezza di WordPress.
Tenete presente che alcuni di questi passaggi possono richiedere conoscenze di codifica.
Cambiare il nome utente amministratore predefinito
In passato, il nome utente predefinito dell’amministratore di WordPress era “admin”. Poiché i nomi utente costituiscono la metà delle credenziali di accesso, questo rendeva più facile per gli hacker effettuare attacchi a forza bruta.
Fortunatamente, WordPress ha cambiato questo aspetto e ora richiede di selezionare un nome utente personalizzato al momento dell’installazione di WordPress.
Tuttavia, alcuni installatori di WordPress con un solo clic impostano ancora il nome utente amministratore predefinito su “admin”. Se notate che questo è il caso, probabilmente è una buona idea cambiare il vostro hosting web.
Poiché WordPress non consente di modificare i nomi utente per impostazione predefinita, ci sono tre metodi che si possono utilizzare per cambiare il nome utente.
- Creare un nuovo nome utente amministratore ed eliminare quello vecchio.
- Utilizzare il plugin Cambio nome utente
- Aggiornare il nome utente da phpMyAdmin
Abbiamo trattato tutti e tre questi aspetti nella nostra guida dettagliata su come cambiare correttamente il nome utente di WordPress.
Nota: per essere chiari, stiamo parlando di cambiare il nome utente chiamato “admin”, non il ruolo di amministratore, che a volte è chiamato anche “admin”.
Disattivare la modifica dei file
WordPress è dotato di un editor di codice integrato che consente di modificare i file di temi e plugin direttamente dall’area di amministrazione di WordPress.
Nelle mani sbagliate, questa funzione può rappresentare un rischio per la sicurezza, per cui si consiglia di disattivarla.
È possibile farlo facilmente aggiungendo il seguente codice al file wp-config.php o con un plugin di snippet di codice come WPCode (consigliato):
// Disallow file edit
define( 'DISALLOW_FILE_EDIT', true );
Vi mostriamo come farlo passo dopo passo nella nostra guida su come disabilitare gli editor di temi e plugin dal pannello di amministrazione di WordPress.
In alternativa, è possibile eseguire questa operazione con un solo clic utilizzando la funzione Hardening del plugin gratuito Sucuri menzionato in precedenza.
Disabilitare l’esecuzione di file PHP in determinate directory di WordPress
Un altro modo per rafforzare la sicurezza di WordPress è quello di disabilitare l’esecuzione di file PHP nelle directory in cui non è necessario, come /wp-content/uploads/
.
È possibile farlo aprendo un editor di testo come Notepad e incollando questo codice:
<Files *.php>
deny from all
</Files>
Successivamente, è necessario salvare questo file come .htaccess e caricarlo nella cartella /wp-content/uploads/
del vostro sito web utilizzando un client FTP.
Per una spiegazione più dettagliata, consultate la nostra guida su come disabilitare l’esecuzione di PHP in alcune directory di WordPress.
In alternativa, è possibile eseguire questa operazione con un solo clic utilizzando la funzione Hardening del plugin gratuito Sucuri di cui abbiamo parlato sopra.
Limitare i tentativi di accesso
Per impostazione predefinita, WordPress consente agli utenti di provare ad accedere quante volte vogliono. Questo rende il vostro sito WordPress vulnerabile agli attacchi di forza bruta. In questo caso, gli hacker cercano di decifrare le password provando ad accedere con diverse combinazioni.
Questo problema può essere facilmente risolto limitando i tentativi di accesso falliti che un utente può effettuare. Se si utilizza il firewall per applicazioni web menzionato in precedenza, questo problema viene risolto automaticamente.
Tuttavia, se non avete impostato il firewall, potete procedere come segue.
Innanzitutto, è necessario installare e attivare il plugin gratuito Limit Login Attempts Reloaded. Per maggiori dettagli, consultate la nostra guida passo-passo su come installare un plugin di WordPress.
Dopo l’attivazione, il plugin inizierà a limitare il numero di tentativi di accesso degli utenti.
Le impostazioni predefinite funzionano per la maggior parte dei siti web, tuttavia è possibile personalizzarle visitando la pagina Impostazioni ” Limita tentativi di accesso e facendo clic sulla scheda “Impostazioni” in alto. Ad esempio, per rispettare le leggi GDPR, è possibile fare clic sulla casella di controllo “Conformità GDPR”.
Per istruzioni dettagliate, date un’occhiata alla nostra guida su come e perché limitare i tentativi di accesso in WordPress.
Aggiungere l’autenticazione a due fattori (2FA)
Il metodo di autenticazione a due fattori richiede due diversi passaggi per l’accesso degli utenti:
- Il primo passo è rappresentato dal nome utente e dalla password.
- Il secondo passo richiede l’utilizzo di un codice da un dispositivo o da un’applicazione in vostro possesso a cui gli hacker non possono accedere, come ad esempio il vostro smartphone.
La maggior parte dei principali siti online, come Google, Facebook e Twitter, consentono di abilitarla per i propri account. È possibile aggiungere la stessa funzionalità al proprio sito WordPress.
Innanzitutto, è necessario installare e attivare il plugin WP 2FA – Autenticazione a due fattori. Per maggiori dettagli, consultate la nostra guida passo passo su come installare un plugin di WordPress.
Una procedura guidata di facile utilizzo vi aiuterà a configurare il plugin e poi vi verrà fornito un codice QR.
È necessario scansionare il codice QR utilizzando un’applicazione di autenticazione sul telefono, come Google Authenticator, Authy e LastPass Authenticator.
Si consiglia di utilizzare LastPass Authenticator o Authy perché consentono di eseguire il backup degli account nel cloud. Questo è molto utile nel caso in cui il vostro telefono venga perso, resettato o ne acquistiate uno nuovo. Tutti i login dei vostri account saranno facilmente ripristinati.
La maggior parte di queste app funziona in modo simile e, se si utilizza Authy, è sufficiente fare clic sul pulsante “+” o “Aggiungi account” nell’app Autenticatore.
In questo modo è possibile scansionare il codice QR sul computer utilizzando la fotocamera del telefono. Potrebbe essere necessario dare all’applicazione il permesso di accedere alla fotocamera.
Dopo aver dato un nome all’account, è possibile salvarlo.
La prossima volta che accederete al vostro sito web, vi verrà chiesto il codice di autenticazione a due fattori dopo aver inserito la password.
È sufficiente aprire l’app Authenticator sul telefono per visualizzare un codice unico.
È quindi possibile inserire il codice sul proprio sito web per completare l’accesso.
Cambiare il prefisso del database di WordPress
Per impostazione predefinita, WordPress utilizza wp_
come prefisso per tutte le tabelle del database di WordPress.
Se il vostro sito WordPress utilizza il prefisso predefinito del database, è più facile per gli hacker indovinare il nome della tabella. Per questo motivo vi consigliamo di cambiarlo.
Potete cambiare il prefisso del database seguendo il nostro tutorial passo passo su come cambiare il prefisso del database di WordPress per migliorare la sicurezza.
Nota: la modifica del prefisso del database può danneggiare il sito se non viene eseguita correttamente. Eseguite questa operazione solo se vi sentite a vostro agio con le vostre capacità di codifica.
Proteggere con password la pagina di amministrazione e di accesso di WordPress
Normalmente, gli hacker possono richiedere la cartella wp-admin e la pagina di accesso senza alcuna restrizione. Questo permette loro di provare i loro trucchi di hacking o di eseguire attacchi DDoS.
È possibile aggiungere una protezione aggiuntiva con password a livello di server, che bloccherà efficacemente tali richieste.
Seguite le nostre istruzioni passo passo su come proteggere con password la directory di amministrazione di WordPress (wp-admin).
Disattivare l’indicizzazione e la navigazione delle directory
Quando si digita l’indirizzo di una delle cartelle del sito web in un browser, viene visualizzata la pagina web index.html
, se esiste. Se non esiste, viene visualizzato un elenco di file nella cartella. Questa operazione è nota come navigazione nelle directory.
L’esplorazione delle directory può essere utilizzata dagli hacker per scoprire se sono presenti file con vulnerabilità note, in modo da poterli sfruttare per ottenere l’accesso.
L’esplorazione delle directory può essere utilizzata anche da altre persone per esaminare i file, copiare immagini, scoprire la struttura delle directory e altre informazioni. Per questo motivo si consiglia vivamente di disattivare l’indicizzazione e l’esplorazione delle directory.
È necessario collegarsi al proprio sito web utilizzando l’FTP o il file manager del proprio provider di hosting. Quindi, individuate il file .htaccess
nella directory principale del vostro sito web. Se non riuscite a vederlo, consultate la nostra guida sul perché non riuscite a vedere il file .htaccess in WordPress.
Successivamente, è necessario aggiungere la seguente riga alla fine del file .htaccess:
Opzioni -Indici
Non dimenticate di salvare e caricare il file .htaccess sul vostro sito.
Per saperne di più su questo argomento, consultate il nostro articolo su come disabilitare la navigazione nelle directory in WordPress.
Disabilitare XML-RPC in WordPress
XML-RPC è un’API di base di WordPress che aiuta a collegare il vostro sito WordPress con le applicazioni web e mobili. È stata attivata per impostazione predefinita da WordPress 3.5.
Tuttavia, a causa della sua natura potente, XML-RPC può amplificare in modo significativo gli attacchi brute-force.
Ad esempio, se un hacker volesse provare 500 password diverse sul vostro sito web, dovrebbe effettuare 500 tentativi di accesso separati. Questo può essere individuato e bloccato dal plugin Limit Login Attempts Reloaded.
Ma con XML-RPC, un hacker può utilizzare la funzione system.multicall
per provare migliaia di password con 20 o 50 richieste.
Per questo motivo, se non si utilizza XML-RPC, si consiglia di disabilitarlo.
Ci sono 3 modi per disabilitare XML-RPC in WordPress e li abbiamo trattati tutti nel nostro tutorial passo-passo su come disabilitare XML-RPC in WordPress.
Suggerimento: il metodo .htaccess è il migliore perché è quello che richiede meno risorse. Gli altri metodi sono più semplici per i principianti.
In alternativa, questo aspetto viene gestito automaticamente se si utilizza un firewall per applicazioni web (WAF), come abbiamo detto in precedenza.
Disconnettere automaticamente gli utenti inattivi in WordPress
Gli utenti connessi possono talvolta allontanarsi dallo schermo e questo rappresenta un rischio per la sicurezza. Qualcuno può dirottare la loro sessione, cambiare le password o apportare modifiche al loro account.
Ecco perché molti siti bancari e finanziari disconnettono automaticamente un utente inattivo. Potete impostare una funzionalità simile anche sul vostro sito WordPress.
È necessario installare e attivare il plugin Inactive Logout. Dopo l’attivazione, visitare la pagina Impostazioni ” Logout inattivo per personalizzare le impostazioni di logout.
È sufficiente impostare la durata e aggiungere un messaggio di logout. Quindi, non dimenticate di fare clic sul pulsante “Salva modifiche” in fondo alla pagina per memorizzare le impostazioni.
Per istruzioni passo passo, consultare la nostra guida su come disconnettere automaticamente gli utenti inattivi in WordPress.
Aggiungere domande di sicurezza alla schermata di accesso di WordPress
L’aggiunta di una domanda di sicurezza alla schermata di login di WordPress rende ancora più difficile l’accesso non autorizzato.
È possibile aggiungere domande di sicurezza installando il plugin Autenticazione a due fattori. Dopo l’attivazione, è necessario visitare la pagina Autenticazione a più fattori ” Due fattori per configurare le impostazioni del plugin.
Questo vi permetterà di aggiungere vari tipi di autenticazione a due fattori al vostro sito, comprese le domande di sicurezza.
Per istruzioni più dettagliate, consultate il nostro tutorial su come aggiungere domande di sicurezza alla schermata di login di WordPress.
Scansione di WordPress alla ricerca di malware e vulnerabilità
Se avete installato un plugin di sicurezza per WordPress, questo controllerà regolarmente la presenza di malware e di segni di violazione della sicurezza.
Tuttavia, se notate un improvviso calo del traffico del sito web o delle classifiche di ricerca, potreste voler effettuare una scansione manuale alla ricerca di malware. Potete farlo utilizzando il plugin di sicurezza di WordPress o uno dei migliori scanner di malware e sicurezza.
L’esecuzione di queste scansioni online è piuttosto semplice. Basta inserire l’URL del vostro sito web e i loro crawler lo esamineranno alla ricerca di malware e codice dannoso.
Ora, tenete presente che la maggior parte degli scanner di sicurezza di WordPress può solo avvisarvi se il vostro sito contiene malware. Non possono rimuovere il malware o pulire un sito WordPress violato.
Questo ci porta alla sezione successiva, la pulizia di malware e siti WordPress violati.
Riparare un sito WordPress violato
Molti utenti di WordPress non si rendono conto dell’importanza dei backup e della sicurezza del sito web fino a quando il loro sito non viene violato.
Gli hacker installano backdoor sui siti colpiti e se queste backdoor non vengono corrette correttamente, è probabile che il vostro sito web venga nuovamente violato.
Per gli utenti più avventurosi e fai-da-te, abbiamo compilato una guida passo-passo su come riparare un sito WordPress violato.
Tuttavia, la pulizia di un sito WordPress può essere molto difficile e richiedere molto tempo. Il nostro consiglio è di lasciare che se ne occupi un professionista.
Se si paga per utilizzare il plugin di sicurezza Sucuri di cui abbiamo parlato sopra, la riparazione del sito violato è inclusa nel prezzo.
È anche possibile utilizzare il servizio di riparazione dei siti violati di WPBeginner Pro Services. Questo servizio richiede un pagamento una tantum di 249 dollari e comprende la determinazione dei file premium, la rimozione del codice maligno, gli aggiornamenti del software e della sicurezza e il backup del sito pulito.
Garantiamo di riparare il vostro sito o di restituirvi i soldi. Inoltre, copriamo il vostro sito web per 30 giorni dopo la riparazione, quindi se venite violati di nuovo durante questo periodo, saremo lì per ripararlo.
Puliamo e mettiamo in sicurezza i siti web WordPress da oltre 10 anni, quindi potrete stare tranquilli quando utilizzerete il nostro servizio di riparazione dei siti violati.
Suggerimento bonus: assumete un servizio di manutenzione di WordPress
In quanto proprietari di una piccola impresa molto impegnata, potreste non avere il tempo di monitorare la sicurezza del vostro sito web e di proteggerlo dalle vulnerabilità. Quindi, per alleggerire la vostra mente e il vostro carico di lavoro, potete assumere un servizio di manutenzione di WordPress per il monitoraggio della sicurezza 24 ore su 24, 7 giorni su 7.
WPBeginner Pro Services offre una manutenzione completa del sito web WordPress a un prezzo accessibile. Include il monitoraggio della sicurezza, i backup cloud di routine, gli aggiornamenti di WordPress, il monitoraggio dei tempi di attività e molto altro ancora.
Basta scegliere il pacchetto di servizi di manutenzione mensile più adatto alle vostre esigenze e otterrete un sito WordPress più sicuro e del tempo libero in più per lavorare su altri aspetti della vostra attività.
Se desiderate altre raccomandazioni, potete consultare la nostra selezione dei migliori servizi di manutenzione di siti web per WordPress.
Speriamo che questo articolo vi abbia aiutato a conoscere le migliori pratiche per la sicurezza di WordPress e a scoprire i migliori plugin di sicurezza per il vostro sito web. Potreste anche voler consultare la nostra guida definitiva alla SEO di WordPress per migliorare le vostre classifiche SEO e i nostri consigli da esperti su come velocizzare WordPress.
Se questo articolo vi è piaciuto, iscrivetevi al nostro canale YouTube per le esercitazioni video su WordPress. Potete trovarci anche su Twitter e Facebook.
Syed Balkhi says
Hey WPBeginner readers,
Did you know you can win exciting prizes by commenting on WPBeginner?
Every month, our top blog commenters will win HUGE rewards, including premium WordPress plugin licenses and cash prizes.
You can get more details about the contest from here.
Start sharing your thoughts below to stand a chance to win!
Kushal Phalak says
Great article! Last year my website was hacked(redirecting to another suspicious website), so I think it is a must to use security measure. In my case, I had to delete my website and was lucky that my hosting provider had backup feature. From then I used Wordfence to secure my websites, but moved to Sucuri as it provided the services like DDoS protection, and CDN as well.
Ayanda Temitayo says
Please I want to ask that is it security wise to change the url of the default login page to another custom url. Like from yourwebsite.com/wp-login to yourwebsite.com/anotherName-login
I once use a plugin to change my login url to another url where nobody can easily route to my login page. So one of my SEO guy said it will be easy for hackers to hack my site if the plugin is vulnerable and I will lose everything on my website if I keep using a custom route to login page.
What’s your opinion about changing the default login route?
WPBeginner Support says
Changing your login URL is personal preference and not specifically for security.
Admin
al amin Sheikh says
Two important things in a website – Performance and Security.
Nicely explained how we can protect our site from hackers. Thanks, WPB.
WPBeginner Support says
You’re welcome
Admin
mohadese esmaeeli says
Hello, thank you for this excellent article.I also want to add a few more items to this list, such as using the Google reCAPTCHA plugin, employing security hardware related to the server, examining security tools within the hosting environment, such as Imunify360, and regularly changing passwords at short intervals.
WPBeginner Support says
Thank you for your recommendations, hosts do have different tools so it would be best to check with the hosting provider for any security tools they offer
Admin
Fajri says
Whoa, the method to Disable XML-RPC in WordPress is totally new for me.
I am gonna try to applicate it to add more security for my websites. Thanks for this information team!
WPBeginner Support says
Glad you found our article helpful
Admin
Murad Prodhan says
WPbeginner is one the best websites for our community. This article is very helpful for me. Thanks WPbeginner.
WPBeginner Support says
You’re welcome, glad the guide was helpful
Admin
Jiří Vaněk says
This is a great article. There are many things here that never occurred to me, even though I tried to secure with WordPress as much as possible. I just copied a snippet to hide error messages when logging into WordPress and I’m going to apply it to my website. It probably won’t stop at just this thing. This article is really a fantastic list of great tips. Thank you for advancing awareness about security. Great job.
WPBeginner Support says
You’re welcome, glad our guide was helpful
Admin
Etop Udoekene says
Thanks very much. This information has come to me at just the right time, as I am in the process of setting up my website again after losing my former laptop and Android phone to thieves.
I am really grateful.
WPBeginner Support says
You’re welcome, hopefully things get better and we hope our guide helps you with keeping your site secure after that.
Admin
Mark Ellsworth says
Thank you – very well organized and comprehensive! This will definitely help with what is an ongoing and challenging issue with WordPress installs.
WPBeginner Support says
Glad you found our security guide helpful
Admin
Ifakayode Femi says
I loved this article and am bookmarking this page for future cause I might not remember the names of most plugins listed here, but sincerely this article helps a long way
Thanks for taking your time to compose this
Thanks a million times
WPBeginner Support says
Glad you found our guide and recommendations helpful!
Admin
Nikhil says
thankyou sir it’s information is to important thankyou so much sir
WPBeginner Support says
You’re welcome, glad to hear our article was helpful!
Admin
Yasin says
I am very grateful for this article, all thanks to wpbeginner.com.
WPBeginner Support says
You’re welcome glad you found our guide helpful!
Admin
Belinda Viret says
Thank you for the great advice!
WPBeginner Support says
You’re welcome!
Admin
Marko Kozlica says
Wow! Extensive and thorough article for beginners and experienced wordpressers alike. Keep up the good work!
WPBeginner Support says
Glad you found our article helpful!
Admin
Federico says
Really good guide, very useful!
WPBeginner Support says
Glad you think so!
Admin
Claudio Lopes says
Following the tips and feeling that my site is more secure.
WPBeginner Support says
Glad to hear our guide could help you!
Admin
Bob De Maria says
Hi,
I am brand new to this and this was my first email and I am ever glad I am signed up. You hit on one of my concerns that is right at the top of my list.
I can’t thank you enough for a very well written and much appreciated tutorial.
Best Regards,
Bob De Maria
WPBeginner Support says
Glad to hear our guide was helpful!
Admin
Kimberly says
FYI: Security issue on the WP Security Questions plugin. It’s been removed from wordpress.org.
WPBeginner Support says
Thank you for letting us know, we will be sure to look for an alternative we would recommend
Admin
MS says
Hi guys! Txs a lot for this usefull resouces. 1 question, will any of this affect the loading time of my website/pages???
WPBeginner Support says
These should not cause a major change to your site’s speed.
Admin
john says
nice Article ,
Do use reCAPTCHA in forms is helpful in securing?
WPBeginner Support says
reCAPTCHA is for preventing spam more than security.
Admin
tim jackz says
Hello team,
If i install two security plugin in my wordpress website, is there any disadvantages for my website?
WPBeginner Support says
You would want to check with the support for the plugins you are looking to use, some work together but others try to do the same tasks which can cause conflicts.
Admin
Diego says
My WordPress site is running WordPress 5.1.8 which part of the 5.1 branch, last updated on November 2020. The current WordPress version is 5.6.2.
I don’t quite understands all these different branches of WP.
Should I still need to upgrade?
WPBeginner Support says
Rather than upgrade, you need to update your site, you can take a look at our guide below for how to safely update your site:
https://www.wpbeginner.com/beginners-guide/ultimate-guide-to-upgrade-wordpress-for-beginners-infograph/
Admin
Julia says
So I pay premium and the free plugins are only for business, is there a way around that. They don’t let us pay for plugins. Premium and lower are not allowed to use them at all.
WPBeginner Support says
That would be a WordPress.com limitation, for the difference between WordPress.com and WordPress.org we would recommend taking a look at our article below:
https://www.wpbeginner.com/beginners-guide/self-hosted-wordpress-org-vs-free-wordpress-com-infograph/
Admin
Trisha says
Great tutorial, thank you! In going thru my 404 error logs, I see a lot of bots hitting non-existent plugins in my /plugins folder….I’m not overly concerned since the plugins they’re looking for don’t exist (hence the 404) BUT is there a way to protect my /plugins folder that won’t interfere with normal plugin operations? Is this advisable? Should I even be concerned?
WPBeginner Support says
That normally shouldn’t be something you should be concerned with unless the plugin is on your site then you may want to ensure you have that plugin up to date in case the bot was looking for a plugin with a security vulnerability.
Admin
Ish says
I took over a word press site how would i know if my site has a cloud backup account prior before me?
WPBeginner Support says
You would need to check your active plugins and reach out to your hosting provider to see what is active for your site.
Admin
Lu says
How can you find out if your site uses XML-RPC? Really useful as always. Thank you.
WPBeginner Support says
If your version of WordPress is up to date it should be active on your site normally.
Admin
Julie Taylor says
Very helpful information. I would like to know your thoughts on the following, if i were to implement all of those security situations, particuarly those that were involving code etc does it effect Google to be able to pull up the site and for SEO to work effectively?
WPBeginner Support says
The security recommendations should not affect your site’s SEO
Admin
MooN Minhas says
Thanks for sharing nice information.
WPBeginner Support says
Glad you found it helpful
Admin
Samuel says
is this guide also applies to WordPress.com users?
WPBeginner Support says
No, our guides are for WordPress.org sites, you would want to reach out to WordPress.com for the hardening steps they allow
Admin
Leanne says
This is one of the best tutorial sites (on any subject matter) I have found. Thank you I will refer wpbeginner to others – awesome site!
WPBeginner Support says
You’re welcome and glad you’ve found our content helpful
Admin
Daniel says
You know there are guys charging more than $50 or $100 dollars to teach you how to do all of this, and you gave it for free! Thanks heaps guys!
WPBeginner Support says
You’re welcome
Admin
Power says
Thanks for the article, its really useful
WPBeginner Support says
You’re welcome
Admin
Mydas says
This was super-useful. I have the coding skills to implement all of it, and now I can take much better care of my and my clients’ WordPress installations. Thank you for the info, it’s so complete that I can’t believe it’s free xD
WPBeginner Support says
You’re welcome, glad our guide was helpful
Admin
Splendor Edesiri says
Please do I need a VPN to access my WordPress site from the backend as part of my WordPress site security.
WPBeginner Support says
No, that is not required
Admin
Kam says
Thank you for this article. It is essential reading!
If you have a host like Bluehost, is it essential to have backup with a plugin such as Updraft plus + remote storage? After all, hosting providers should be providing backup?
WPBeginner Support says
While some hosts offer backups, we still recommend creating your own backups for safety
Admin
Kyle B. says
Changing the database prefix won’t make any difference. Other than that, not a bad article.
WPBeginner Support says
Thanks for sharing your opinion and glad you liked our article
Admin
kalmoa says
just an FYI, with Nginx there is no directory-level configuration file like Apache’s .htaccess. All configuration has to be done at the server level by an administrator, and WordPress cannot modify the configuration, like it can with Apache. So the part about ‘Disable PHP File Execution’, cannot be completed by wordpress installs running on Nginx. That includes myself, who is running my wordpress install on Vultr. Their one-click wordpress install gets deployed on Nginx (ubuntu 18.04)
WPBeginner Support says
Thank you for sharing this for the users who specifically are using Nginx for their site.
Admin
Tom says
What is the best method to update plugins if I have several that need updating? Update one at a time and see if the updated plugin breaks any of the functionality on the website?
WPBeginner Support says
If you are concerned an update would break your site, we would recommend testing the update by following our guide on how to create a staging environment below:
https://www.wpbeginner.com/wp-tutorials/how-to-create-staging-environment-for-a-wordpress-site/
Admin
Kartik Satija says
Amazing article, very well articulated and documented.
Thank you all so much for this.
More power to you guys, keep up the good work.
Cheers,
Kartik.
WPBeginner Support says
Glad you found our guide helpful
Admin
MIMIFTAH says
Very Informative content. Thanks
WPBeginner Support says
You’re welcome
Admin
Liz says
Great article. I have a question about the hardening options. I read that enabling hardening on all options can cause some plugins or the theme to break/not work properly. If this happens, how difficult is it to fix? It seems like there’s more to it than just reverting the hardening option. Any insight you could offer would be greatly appreciated. Thanks!
WPBeginner Support says
It would depend on the specific hardening recommendation, plugin, and error message for the difficulty should an error appear. Otherwise, most plugins shouldn’t have an issue
Admin
Gary Starling says
Very helpful suggestions and well explained from the basic to the complex
Thank you four your explanations
WPBeginner Support says
You’re welcome, glad our article could be helpful
Admin
Andrei says
Hi guys,
After the first user enumeration, brute force a security plugin will block that IP address.
If you password protect the wp-admin directory the plugin can no longer block that IP.
Is that a correct assessment?
WPBeginner Support says
Correct, there would be a similar load to a blocked IP but if you need many new users to access your site then limiting login attempts would be better than password protecting your wp-admin
Admin
Andrei says
Ok, I finally understood how this works and sharing here for everyone. Password protecting wp-admin is done at the server (Apache/Nginx) level. If a user enumeration, brute force is unable to bypass the server level, it would not be able to touch PHP/MySQL. Thus, password protecting wp-admin does not put additional load on the database.
Peter says
Very informative and helpful, I have configured all the hardening procedure you mentioned, Thanks a lot.
WPBeginner Support says
You’re welcome, glad our guide was helpful
Admin
Aqib khan says
i will always follow you.i will always love you and always share such a fresh and cool content to make us smile.Thank You.
WPBeginner Support says
Thank you, glad you’ve enjoyed our content
Admin
mahmoud says
I love this site. you’re offering precious information.
I’m a beginner and this is helpful.
but can I only have a strong password and disable indexing to do the matter?
what about all these plugins I think they will affect the site speed or this not installed on the site?
WPBeginner Support says
For your concern with plugins slowing down your site, you shouldn’t need to worry, we explain our reasoning behind this here: https://www.wpbeginner.com/opinion/how-many-wordpress-plugins-should-you-install-on-your-site/
Admin
Krishna says
Hi WP Beginner Team,
Thanks for such a brief explanation of WordPress security. This article was very useful and let know the value of wp security for the users and website owner.
THANKS AGAIN…
WPBeginner Support says
You’re welcome, glad our article was helpful
Admin
Kushal says
I used all plugin that you mentioned sucuri, itheams, wp serber and jetpack. How many plugin can I use on my website.
WPBeginner Support says
We would recommend sticking with only one plugin for a specific feature but for in general how many plugins to use you would want to take a look at our article here: https://www.wpbeginner.com/opinion/how-many-wordpress-plugins-should-you-install-on-your-site/
Admin
Leighann says
This was SO helpful. Thanks for the information and saving me so much time!
WPBeginner Support says
You’re welcome, glad our guide could be helpful
Admin
Dietrich says
Hi
Is it okay to use Sucuri and Wordfence at the same time? I installed Wordfence since Sucuri’s free version doesn’t have a firewall feature.
WPBeginner Support says
We would not recommend using both, multiple security tools can conflict with each other and cause issues with your site.
Admin