6 consigli per risolvere i problemi di sicurezza di WordPress

Benvenuto nel CMS più popolare al mondo

WordPress è uno dei maggiori bersagli singoli per gli attacchi informatici. Questo perché WordPress è di gran lunga il sistema di gestione dei contenuti (CMS) più popolare al mondo: alimenta il 43,1% di tutti i siti Web e vanta una quota di mercato CMS del 63,6% secondo W3Techs. Per fare un confronto, il secondo posto è Shopify, che alimenta il 3,8% dei siti Web e detiene una quota di mercato CMS del 5,6%.

Anche la sua piattaforma di e-commerce gratuita, WooCommerce, è un grande attore a sé stante, essendo la soluzione di e-commerce open source più popolare al mondo.

Ciò solleva una domanda ovvia: cosa dovresti fare quando si tratta di proteggere WordPress sul tuo sito e prevenire o correggere le vulnerabilità di WordPress? Dalle nostre migliori pratiche di sicurezza informatica di Coalition Technologies, ecco i nostri 6 migliori consigli per risolvere i problemi di sicurezza di WordPress.

Perché scegliere WordPress?

WordPress è estremamente flessibile e potente e poiché è open source è anche molto conveniente e popolare. Poiché WordPress è la più grande piattaforma sul Web, ci sono molti esperti di sicurezza informatica che sono disponibili per aiutare con la sicurezza di un sito Web WordPress per una frazione del costo di quello che potrebbe essere per una piattaforma personalizzata.

1. Proteggi le tue credenziali di accesso

Il passo più potente che puoi fare per risolvere i problemi di sicurezza di WordPress è non avere quei problemi in primo luogo e proteggere le tue credenziali di accesso può ridurre le violazioni dei dati di oltre la metà.

Secondo Verizon nel suo Data Breach Investigations Report del 2021, il 61% delle violazioni dei dati ha comportato in qualche modo l'uso delle credenziali di accesso. Questo accade più comunemente a causa di:

• Furto di password
• Attacchi di forza bruta
• Abuso interno delle credenziali

Protezione contro il furto di password

Agli hacker piace cercare i frutti più bassi e la correzione delle vulnerabilità di WordPress inizia con l'eliminazione di tutti quei frutti più bassi prima che gli hacker possano raggiungerli.

• Aggiorna regolarmente tutte le password. 90 giorni (una volta al trimestre) è un buon valore predefinito.

• Usa password univoche e non riutilizzarle mai. PurpleSec afferma che il 25% dei dipendenti utilizza la stessa password per tutto, il che dovrebbe preoccupare chiunque.

• Archivia correttamente le password. WordPress gestisce tutto in modo sicuro dalla sua parte, ma se i tuoi dipendenti scrivono le loro password su note adesive o Google Docs, possono trapelare.

• Prendi in considerazione la possibilità di far scadere le password. Ciò costringe le persone ad aggiornare le proprie password, ma può anche portare alcuni dipendenti a essere sciatti nell'archiviare le proprie password. Risolvere i problemi di sicurezza di WordPress a lungo termine significa mitigare questa vulnerabilità con le tue politiche sulle password.

Rafforzare contro gli attacchi di forza bruta

Gli hacker possono anche utilizzare attacchi di forza bruta per rubare le credenziali. Ciò significa indovinare le password a caso, milioni di volte, fino a trovare una permutazione che funzioni.

• Limita il numero di tentativi di accesso consentiti. Un buon plug-in di sicurezza di WordPress gestirà questo per te, risolvendo anche le vulnerabilità di WordPress non appena vengono scoperte.

• Usa password univoche. Come prima, risolvere i problemi di sicurezza di WordPress significa utilizzare password univoche e usarle solo una volta.

• Usa password robuste. Le password dovrebbero essere lunghe almeno 8 caratteri e, idealmente, includeranno numeri, lettere e caratteri speciali. Ecco alcuni consigli. Puoi anche utilizzare password memorabili, che aiutano a ridurre i problemi di memoria. Il National Cyber ​​Security Centre del governo britannico sostiene l'idea delle tre parole casuali, anche se quattro o cinque parole sono ancora meglio.

• Blocca paesi o IP specifici che generano molti tentativi di accesso non riusciti. In particolare, impedire a queste fonti di accedere ad account sensibili con accesso ai pannelli di amministrazione utilizzando i firewall.

Utilizza le migliori pratiche di protezione delle password

In Coalition Technologies lavoriamo instancabilmente per proteggere le credenziali dei nostri clienti. Nel corso degli anni abbiamo costruito un orgoglioso track record di politiche di protezione delle password basate sulle migliori pratiche. Allo stesso modo, la risoluzione dei problemi di sicurezza di WordPress richiede di disporre di buone politiche di protezione della password. Ecco alcune linee guida per correggere le vulnerabilità di WordPress a livello di risorse umane:

• Limita l'accesso all'accesso in base alle necessità. Concedi ai dipendenti solo il livello minimo di autorizzazioni di cui hanno bisogno e concedi loro l'accesso solo alle schede e ai sistemi di cui hanno bisogno. Limita gli account "admin" con accesso universale al numero minimo possibile di persone.

• Distribuire una formazione efficace dei dipendenti. A volte l'uso improprio delle password da parte di dipendenti scontenti è dannoso (nel qual caso è possibile limitare il danno limitando l'accesso come menzionato sopra). Ma più spesso questo uso improprio non è intenzionale e la risoluzione dei problemi di sicurezza di WordPress con perdite di password può essere prevenuta con una buona formazione. Assicurati che il tuo processo di onboarding includa un modulo sulla sicurezza delle password e prendi in considerazione l'implementazione di moduli di aggiornamento periodici ogni 12-24 mesi.

2. Installa un buon plugin per la sicurezza di WordPress e segui le migliori pratiche

Il nucleo di WordPress è molto sicuro, con talenti di sicurezza informatica di livello mondiale che lavorano per proteggere milioni di siti web. Ma WordPress consente anche l'uso di plugin. Questi plugin espandono enormemente le funzionalità di WordPress, ma introducono anche nuove potenziali vulnerabilità di sicurezza.

Tuttavia, esiste un intero settore basato sulla protezione dei plug-in di WordPress e questi prodotti sono essi stessi plug-in di WordPress. Conosciuti come "plugin di sicurezza", si tratta di utility indispensabili per risolvere i problemi di sicurezza di WordPress e correggere le vulnerabilità di WordPress in tempo reale. La prima tappa dopo aver installato o aggiornato il software principale di WordPress dovrebbe essere quella di scegliere un buon plug-in di sicurezza per WordPress e configurarlo correttamente.

I nostri consigli sui plug-in di sicurezza

Ci sono molti buoni plugin per la sicurezza di WordPress là fuori. I nostri clienti si affidano all'architettura WordPress per milioni di dollari di entrate. La sicurezza del sito Web è assolutamente fondamentale.

Quando collaboriamo con i nostri clienti per offrire i nostri ampi servizi di web design WordPress, consigliamo in particolare questi due plugin per risolvere i problemi di sicurezza di WordPress:

• Sicurezza di Wordfence: firewall, scansione malware e sicurezza di accesso
• Defender Security: scanner di malware, sicurezza di accesso e firewall

Utilizziamo regolarmente questi plugin di sicurezza per i nostri clienti durante la gestione dei loro siti WordPress.

Garantire la corretta configurazione del plug-in di sicurezza

Gli esperti di ricerca di parole chiave di Semrush raccomandano questi passaggi critici per risolvere preventivamente i problemi di sicurezza di WordPress:

• Limita il numero di tentativi di accesso consentiti. Ne abbiamo già parlato, ma vale la pena ripeterlo come un modo eccellente per correggere preventivamente le vulnerabilità di WordPress.

• Nascondi la tua pagina di accesso dalla vista pubblica. I visitatori del tuo sito non dovrebbero essere in grado di raggiungere la tua pagina di accesso tramite la navigazione nel sito o indovinando l'URL. L'URL della pagina di accesso deve essere oscuro e scollegato da altre pagine.

• Rimuovi le pagine di back-end, di amministrazione e del carrello dall'indicizzazione dei motori di ricerca. Queste pagine sono ovviamente molto più vulnerabili all'hacking, quindi in questo caso risolvere i problemi di sicurezza di WordPress significa tenere queste pagine fuori dai risultati di ricerca.

• Esegui regolarmente il backup del tuo sito web. Puoi farlo manualmente o automaticamente, ma fallo regolarmente. Tutto ciò di cui non è stato eseguito il backup dovrebbe essere considerato perso, perché è a questo che si riduce in qualcosa come un attacco ransomware. I backup devono essere ospitati su un server diverso e utilizzare credenziali di accesso diverse. Quando possibile, è anche intelligente mantenere i backup "freddi" locali. Questo è particolarmente importante per le piccole imprese.

3. Controlla attentamente temi e plug-in prima dell'installazione

Quando si tratta di altri plugin WordPress (oltre ai plugin di sicurezza) e temi WordPress, è fondamentale capire che hai a che fare con una gamma molto ampia di prodotti e qualità. Qualsiasi buona strategia per correggere le vulnerabilità di WordPress significa fare molta diligenza nell'auditing di queste applicazioni.

Molti plugin e temi sono solidi come una roccia e offrono funzionalità essenziali e opzioni di layout di cui il tuo sito web ha bisogno per prosperare. Altri plugin e temi sono mal progettati e vulnerabili agli exploit di sicurezza da parte degli hacker. E alcuni sono veri e propri malware.

WordPress è vigile nel risolvere i problemi di sicurezza di WordPress con plugin e temi bloccando malware e spam, ma a volte alcune di queste cattive uova riescono a passare. Ecco alcune best practice per controllare plugin e temi che ti interessano:

• Un numero di download elevato è generalmente più sicuro. Il malware viene individuato in anticipo e i temi e i plug-in non validi non diventano mai popolari, quindi è probabile che solo le cose che funzionano accumulino un numero elevato di download.

• Un gran numero di recensioni positive degli utenti è un indicatore affidabile. Se molte persone hanno assegnato a un plugin oa un tema una valutazione a stelle perfetta o quasi perfetta, è un buon segno. Ma assicurati di leggere anche alcune delle recensioni mediocri e negative, per vedere che tipo di lamentele hanno le persone.

• Cerca nel Web aziende e testate giornalistiche che parlino della loro esperienza con questi plug-in. Quando si tratta di risolvere i problemi di sicurezza di WordPress e correggere le vulnerabilità di WordPress per la tua azienda, le recensioni degli utenti potrebbero non avere la profondità o la credibilità che stai cercando. Quindi vai online e cerca nomi di cui ti fidi. Guarda cosa dicono di queste applicazioni.

Dove dovresti trovare i plugin?

In caso di dubbio, scegli i plugin di WordPress da fonti attendibili:

• Il repository ufficiale dei plug-in di WordPress è la soluzione migliore e, se ricevi plug-in solo da una fonte, scaricali qui.

• I mercati di terze parti affidabili per i plug-in, ad esempio CodeCanyon, sono un'altra buona fonte di plug-in. I marketplace affidabili pongono molta enfasi sulla risoluzione dei problemi di sicurezza di WordPress perché la loro reputazione dipende da questo.

• I siti di sviluppatori di plug-in WP come WPMU DEV sono un'altra fonte di plug-in di alta qualità. Queste comunità di sviluppatori di plugin WordPress professionali si riuniscono per aumentare la visibilità e l'affidabilità dei loro prodotti.

I buoni plug-in hanno buoni team di sviluppo e le vulnerabilità in questi plug-in vengono generalmente rapidamente corrette dagli sviluppatori o dalle agenzie indipendenti che li hanno creati. E quando non lo sono, di solito ci sono molti plugin alternativi diversi che offrono la stessa funzionalità in modo sicuro.

4. Aggiorna tutto e verifica nuovamente

Lasciare il software indietro è facile a causa del tempo necessario per l'aggiornamento (e del tempo necessario per riparare le cose interrotte dagli aggiornamenti), ma è terribile perché molti di questi aggiornamenti contengono patch per correggere le vulnerabilità di WordPress o le vulnerabilità nei plugin di WordPress o temi. Ecco perché organizzazioni come Search Engine Journal consigliano di mantenere aggiornati plugin e temi.

Non c'è modo di addolcirlo: questo è uno dei nostri consigli che richiede più tempo per risolvere i problemi di sicurezza di WordPress. Ma devi dedicare del tempo, perché altrimenti aprirai la porta agli aggressori informatici.

Ciò include il software principale di WordPress, la versione PHP in esecuzione e tutti i temi e i plug-in. TUTTO deve essere aggiornato quando diventano disponibili nuovi aggiornamenti e, quando lo aggiorni, tutti i plug-in e le funzioni interessati devono essere nuovamente controllati per garantire che tutto funzioni correttamente.

Allocare manodopera continuativa

Tenere il passo con gli aggiornamenti principali di WordPress e gli aggiornamenti dei plug-in deve far parte della descrizione del lavoro di qualcuno. Se la risoluzione dei problemi di sicurezza di WordPress attraverso l'aggiornamento preventivo non è nel radar di qualcuno, questo è il tipo di cosa che tende a essere dimenticata.

L'aggiornamento del software e la correzione delle vulnerabilità di WordPress non genera vendite direttamente, ma agisce per prevenire costi potenzialmente catastrofici e dovrebbe essere preventivato di conseguenza. Assicurati di preparare la tua azienda al successo assicurandoti che l'amministratore di sistema o il team IT disponga della larghezza di banda per rimanere aggiornato sugli aggiornamenti.

In Coalition Technologies, rimaniamo aggiornati sugli aggiornamenti come parte della nostra strategia di successo per preparare i clienti a una crescita sostenibile a lungo termine.

Fai attenzione agli aggiornamenti

Una cosa da sapere sulla risoluzione dei problemi di sicurezza di WordPress installando diligentemente gli aggiornamenti non appena vengono rilasciati: WordPress esamina tutti i plug-in inviati al suo repository ufficiale, al fine di filtrare lo spam, rilevare bug gravi comuni e garantire che i plug-in siano conformi a WordPress linee guida.

Tuttavia, una volta che un plug-in è stato approvato ed elencato, WordPress non ha la possibilità di controllare nuovamente tutti questi plug-in di terze parti ogni volta che un plug-in viene aggiornato. La base di codice di un plugin può e spesso cambia in modo significativo dopo quella revisione iniziale e WordPress non lo saprebbe.

Questo di solito accade per motivi legittimi, ad esempio aggiornamenti di UX, correzione di vulnerabilità e bug di WordPress e aggiunta di nuove funzionalità. Ma gli hacker possono ingannare il sistema installando una versione iniziale del loro plug-in che supera l'esame e quindi aggiungendo malware con gli aggiornamenti successivi. Può anche accadere quando un plug-in esistente viene abbandonato o venduto e una terza parte malintenzionata lo rileva e aggiunge malware. Significa che parte del lavoro per risolvere i problemi di sicurezza di WordPress ricade su di te.

Rivedi sempre le note di aggiornamento quando un plug-in viene aggiornato e non affrettarti a essere uno dei primi ad adottare senza una verifica esterna: guarda prima cosa dicono gli altri.

Utilizza i servizi di ricerca delle vulnerabilità

Puoi anche utilizzare servizi come WPScan Vulnerability Database, che può aiutarti a risolvere i problemi di sicurezza di WordPress dandoti un preavviso dei nuovi rischi per la sicurezza scoperti.

Se collabori con Coalition Technologies per gestire il tuo sito WordPress, eseguiamo tutto il nostro controllo dei temi e dei plug-in WordPress e ci assumiamo la responsabilità di correggere le vulnerabilità di WordPress a cui è esposto il tuo sito, offrendoti tranquillità e scaricando un'attività che richiede tempo .

5. Identifica gli attacchi di phishing

Una delle principali fonti di vulnerabilità della sicurezza informatica è il phishing e, sebbene si tratti di un fenomeno diffuso su Internet, dovrebbe comunque essere discusso nel contesto dei casi d'uso di WP e della risoluzione dei problemi di sicurezza di WordPress. I phisher spesso falsificano lo stesso WordPress o falsificano le e-mail dei clienti. La società di sicurezza informatica Varonis ha una buona introduzione su come funziona il phishing.

Qualsiasi cosa con collegamenti ipertestuali che non controlli potrebbe essere un attacco di phishing: siti Web, documenti digitali, ecc., ma soprattutto e-mail.

Attenzione alla posta in arrivo

Quasi tutti gli attacchi di phishing iniziano tramite posta elettronica. (È circa il 90% secondo CyberTalk.org.) Ciò significa che le aziende devono insegnare ai dipendenti le migliori pratiche di autodifesa via e-mail. Non si tratta tanto di correggere le vulnerabilità di WordPress quanto di impedire che il comportamento del tuo team diventi un vettore per gli attacchi alla sicurezza informatica.

Assicurati di disporre dei record DMARC e SPF corretti impostati per il tuo DNS, che impedirà alle persone di utilizzare il tuo dominio nelle e-mail perché finiranno nella posta indesiderata o non verranno mai inviate, a seconda del set di criteri DMARC .

Proteggiti dai link falsi

I phisher utilizzano collegamenti falsi, che a volte sono camuffati per sembrare siti comuni come Google. Un metodo per risolvere i problemi di sicurezza di WordPress proteggendosi dal phishing è modificare le intestazioni di sicurezza delle opzioni X-Frame del tuo sito che non consentiranno al tuo sito Web di essere utilizzato in un iframe da siti Web esterni.

Usa URL reali

Infine, non utilizzare accorciatori di link, che non rivelano all'utente il sito web di destinazione finale.

6. Proteggi la tua rete

Un altro suggerimento importante per risolvere i problemi di sicurezza di WordPress è proteggere la tua rete. In questa era pandemica di aumento del telelavoro e dei luoghi di lavoro globali, le aziende trasmettono regolarmente informazioni critiche attraverso Internet, creando molte opportunità per le vulnerabilità della sicurezza.

WordPress è una piattaforma molto flessibile, il che significa che puoi correggere metodi comunemente sfruttabili con semplici frammenti di codice trovati online, come disabilitare XMLRPC e richiedere l'autenticazione per accedere a WP-JSON. Risolvere le vulnerabilità di WordPress è spesso semplice come installare e utilizzare i plugin appropriati.

Inoltre, sono disponibili opzioni di autenticazione a più fattori con l'uso dei plugin di WordPress.

Pratica Solida Prontezza & Prevenzione

Web Application Firewall come Cloudflare e molti altri hanno progettato specificamente il proprio WAF per proteggere le applicazioni WordPress da diversi tipi e modelli di attacco comuni. Molti provider di hosting offrono gratuitamente un servizio di backup giornaliero, come WP Engine.

Collabora con Coalition Technologies per la progettazione e lo sviluppo di WordPress

In Coalition offriamo servizi completi di progettazione e sviluppo di WordPress, sia autonomamente che in combinazione con i nostri pluripremiati servizi SEO e di marketing digitale. Tutto ciò di cui abbiamo discusso oggi sulla risoluzione dei problemi di sicurezza di WordPress e sulla correzione delle vulnerabilità di WordPress è incluso nei nostri servizi quando collabori con noi.

Consulta le nostre Domande frequenti sui servizi WordPress. Ci piacerebbe lavorare con te! Contattaci per discutere le esigenze del tuo sito web.