Domande o Richieste ? al 3496993121 | Email | Preventivo
Scopri la nostra Assistenza Speciale per Wordpress

Proteggere WordPress da attacchi Hacker – trucchi e consigli

Proteggere WordPress da attacchi Hacker – trucchi e consigli

proteggere-Wordpress-da-attacchi-Hacker-trucchi-e-consigli

In questo articolo voglio darvi alcune dritte su come proteggere al meglio un sito web basato su CMS WordPress.

Il problema più grande è che si può essere attaccati e nemmeno accorgersene, rimanendo all’oscuro di tutto.

Secondo la mia esperienza ho capito che la miglior difesa è in realtà avere una difesa, e se si mette la testa sotto la sabbia, prima o poi si viene sopraffatti!

Purtroppo (e dico purtroppo solo per questi casi) WordPress ha e sta avendo un grande successo.

Dato che sempre più persone lo stanno utilizzando, ci sono un sacco di vulnerabilità derivanti dall’utilizzo di questa piattaforma e gli hacker sono sempre in agguato! Dal momento che circa il 20 % dei siti è sviluppato in WordPress, lo rende un obiettivo “appetitoso” per l’hacking.

Secondo Sophos Labs, 30.000 nuovi siti al giorno vengono hackerati!

Questo è un numero impressionante, ma è abbastanza impreciso. Questa numerica coinvolge non solo attacchi hacker veri e propri, ma anche malware presenti sul sito oppure collegamenti spammosi.

Proteggi la tua pagina di login

Uno dei metodi più comuni per gli hacker per ottenere l’accesso al tuo sito è attraverso la “forza bruta”, ovvero passando attraverso il nome utente e la password.

Ci sono alcune opzioni che possono essere utilizzate o combinate per ridurre il rischio di furto di password.

Bloccare l’accesso a wp-login.php

Il modo migliore per proteggere la vostra pagina di login di WordPress da attacchi di forza bruta è quello di impedire agli utenti non autorizzati di accedere alla pagina di login.

Ciò richiederà qualche modifica del file .htaccess; se si sta utilizzando Apache, oppure il file di configurazione se si utilizza Nginx.

La maggior parte dei siti permettono l’accesso. E ora di prendere provvedimenti e rendere la loro vita più difficile!

Il primo medoto che affronteremo è quello di limitare l’accesso alla directory wp-admin utilizzando un filtro tramite indirizzo IP.

Questo metodo deve essere utilizzato solo se si sa quali indirizzi IP accedono regolarmente al sito.

Usa il codice qui sotto come esempio per bloccare l’accesso in base all’indirizzo IP.

Il codice include anche una sezione che sblocca alcuni file che possono essere necessari da alcuni dei vostri plugins. Se si utilizza un server Apache, inserire questo codice in un file .htaccess all’interno della directory wp-admin :

# Bloccare l'accesso alla directory wp-admin - sostituisci x.x.x.x e y.y.y.y con il tuo indirizzo IP.
order deny,allow
allow from x.x.x.x 
allow from y.y.y.y
deny from all
# Permetti l'accesso alla directory wp-admin/admin-ajax.php

Order allow,deny
Allow from all
Satisfy any

Se utilizzi Gnix, invece, sostituisci x.x.x.x e y.y.y.y con il tuo indirizzo IP

error_page  403  http://example.com/forbidden.html;
location /wp-admin {
  deny    192.168.1.1;
  allow   x.x.x.x;
  allow   y.y.y.y;
  deny    all;
}
location /wp-admin/admin-ajax.php {
    allow all;
}

Un altro metodo che blocca l’accesso è quello di proteggere con password la pagina di accesso a livello di server.

Ciò si traduce in un ulteriore livello di accesso, ma è solo un inconveniente molto minore.

Basta generare un file .htpasswd e caricarlo sul server ; preferibilmente non in una directory accessibile al pubblico .

Una volta generato il file e caricato sul server, e se si sta utilizzando Apache, basta aggiungere il seguente codice al file .htaccess nella directory wp-admin (o creare il file se non esiste).

Assicurati di aggiornare il percorso AuthUserFile /path/to/your/.htpasswd mettendo quello
corretto :

AuthUserFile /path/to/your/.htpasswd
AuthName "Login Required"
AuthType Basic
require valid-user

Se usi Nginx

location /wp-login.php {
auth_basic "Administrator Login";
auth_basic_user_file .htpasswd;
}

Utilizzo di plugin

Wordfence: Questo plugin ha la funzione di firewall a livello supplementare sulla vostra installazione di WordPress. Vi è una vasta gamma di opzioni di sicurezza di accesso disponibili

Più Plugins = Meno sicurezza

Basti pensare a ciò che è accaduto a causa di Revolution Slider.

Questo plugin è stato incluso in un gran numero di temi molto popolari, ma ha avuto un problema di protezione che ha finito per causare oltre 100000 attacchi verso i siti dove era installato! Oltre 100.000 siti sono stati violati a causa di un solo plugin.

Questo non è l’unico plugin che ha causato problemi. WP Super Cache e W3TC entrambi avevano grandi problemi di sicurezza che li ha resi vulnerabili.

Fortunatamente, quelli sono stati aggiornati in modo rapido, ma non tutti i plugin hanno le attenzioni e le manutenzioni necessarie.

Ecco che cosa si dovrebbe fare per limitare la vulnerabilità dei plugin:

  • Eliminare plugin e temi non utilizzati. Che senso ha installare un tema e non usarlo ? Eliminatelo e avrete una probabilità in meno di essere attaccati!

  • Non installare plugin non attendibili; assicurarsi sempre della provenienza e della fama del plugin in questione.

  • Aggiornare sempre temi e plugin con frequenza.

  • Fare piani di backup per essere sempre coperti!

Creazione Password sicure od almeno poco rintracciabili

Creare password sicure sia pef FTP che per accesso alla pagina di WordPress è di notevole importanza.

Ovviamente non si dovrebbe mai utilizzare come nome utente admin e password troppo semplici! E come tirarsi la zappa sui piedi da soli.

Qui potrete creare la vostra password tramite un tool di Norton.

Qualche dubbio o suggerimento? Avete esperienze passate da raccontare e pratiche che avete adottato? Lascia un commento e parliamone.

About Emiliano

Mi chiamo Emiliano Prelle, web designer freelance, con la passione per il web e la tecnologia e tutto quello che le ronza intorno.
Mi occupo di sviluppo, progettazione e realizzazione siti internet ( sviluppati in particolare con WordPress ), grafica e SEO.

2 Commenti
  1. Salve, avrei bisogno di aiuto. Sono da quasi un mese alle prese con la bonifica del sito WordPress che ho da poco completato. Avevo il problema che quando linkavo al sito web dalla ricerca di google venivo rediretto su pagine false e di spam vari.
    Sono riuscito a ripristinare ciò ma ho ancora il problema che tramite gli strumenti di google per webmaster ho scoperto che è come se avessi delle pagine riguardo viagra o simili sul sito.
    Ovviamente non sono presenti queste pagine sull’ftp ma non sono riuscito a trovare cosa controllare.
    Link di esempio http://www.exploreitaly.net/provigil-viagra-for-the-brain
    Avreste dei suggerimenti?
    Complimenti per il lavoro che condivide!
    Grazie mille e cordiali saluti.

    • Buongiorno Giuseppe.

      Aiutami a capire meglio la situazione, cosi posso aiutarti.
      – come hai risolto il problema iniziale del redirect su pagine false alla ricerca di Google ?
      – su Google Webmaster Tool, più o meno, quanti link di pagine false pagine hai ? (come il link che mi hai segnalato)

      Una prima operazione che potresti fare è quella di recarti all’interno di Google Webmaster Tool, poi alla voce traffico di ricerca
      e successivamente a link che rimandano al tuo sito.

      Fammi sapere se all’interno di questa pagina trovi qualche link anomalo.

Lascia un commento

Contatti

Loranzè, via Fiorano n 83
10010 ( TO )
Cell: 3496993121
Email: Scrivimi via email
P.IVA: 11315150018
Operiamo nel rispetto della tua Privacy

desclaimer

Il sito www.emprsitiweb.com è di proprietà di Prelle Emiliano e da esso gestito. La veste grafica, le immagini ed i testi presenti nel sito sono soggetti a copyright da Prelle Emiliano e/o dei rispettivi proprietari e non possono essere riprodotti o trasmessi con nessun mezzo, né essere utilizzati in ambito professionale o commerciale senza autorizzazione scritta da Prelle Emiliano o dei legittimi proprietari.

Ultima dal Blog

Social

Resta aggiornato su WordPress !

Guide/Tutorials per WordPress

Suggerimenti e trucchi per WordPress

Un Report 100% gratuito che ti aiuta ad evitare gli errori più comuni per il tuo sito WordPress

Se ti iscrivi, riceverai periodicamente : 

Rispettiamo la privacy. La tua Email verrà solo utilizzata per questa newsletter, e non sarà ceduti a terzi.

Grazie per la tua iscrizione !

Miraccomando : Clicca sul seguente LINK, per visionare tutte le informazioni ed i dettagli relativi alla tua iscrizione !

Ti anticipo, che devi cliccare sul link di conferma che ti ho appena inviato al tuo indirizzo email per poter essere iscritto correttamente alla newsletter. Questo ti permetterà di ricevere tutti gli aggiornamenti ed il report free, sui 25 errori più comuni di WordPress, che ho preparato per te !

Nella mail troverai tutte le informazioni del caso.

Nb: Se la mail non arriva subito, non preoccuparti; causa ritardi del server può impiegarci anche fino a 2 ore.

I 25 Errori WordPress più comuni da evitare 

Iscrivendoti al blog ricevi gratuitamente una report in cui ti mostro i 25 errori più comuni che commettono i principianti in WordPress in fase di realizzazione di un Sito Web. 

Iscriviti ed ottieni il report gratuito !

*Lo scarichi in 5 secondi. 100% Gratis

Rispettiamo la privacy. La tua Email verrà solo utilizzata per questa newsletter.

Grazie per la tua iscrizione

Miraccomando : Clicca sul seguente LINK, per visionare tutte le informazioni ed i dettagli relativi alla tua iscrizione !

Ti anticipo, che devi cliccare sul link di conferma che ti ho appena inviato al tuo indirizzo email per poter essere iscritto correttamente alla newsletter. Questo ti permetterà di ricevere tutti gli aggiornamenti ed il report free, sui 25 errori più comuni di WordPress, che ho preparato per te !

Nella mail troverai tutte le informazioni del caso.

Nb: Se la mail non arriva subito, non preoccuparti; causa ritardi del server può impiegarci anche fino a 2 ore.