Ho visto molti proprietari di siti web preoccuparsi per la sicurezza di WordPress.
Il mio parere è che un open source è vulnerabile a tutti i tipi di attacchi. Ma questo in gran parte non è vero – a volte è il contrario. O, meglio, è parzialmente vero, ma non si deve dare la colpa WordPress.
Perché? Perché di solito è colpa tua!. Ci sono alcune responsabilità che si devono adottare per la cura del proprio sito. Quindi la domanda chiave è sempre: cosa state facendo per evitare che il vostro sito venga violato?
Oggi, ho intenzione di discutere di alcuni trucchi abbastanza semplice che possono aiutare a proteggere il vostro sito web in WordPress:
1. Set up website lockdown and ban users
Una funzionalità di blocco per i tentativi di accesso non riusciti può risolvere un problema enorme, vale a dire non più i continui tentativi di forzatura bruta del vostro sito. Ogni volta che c’è un tentativo di attacco con password sbagliate, il sito viene bloccato all’incursose, e si riceve una notifica del tentato attacco.
Ho scoperto il plugin iThemes che ho usato per un bel po ‘di tempo. Il plugin ha molto da offrire in questo senso. È possibile specificare un certo numero di tentativi di accesso non riusciti, avvenuti tali, il plugin vieta all’indirizzo IP dell’attaccante di proseguire nella sua opera, estromettendolo, bannandolo.
(In alternativa, è anche possibile utilizzare il plugin Login LockDown che è stato creato per aiutarvi solo per questo problema.)
2. Utilizza l’autenticazione a 2 fattori
Introduci l’autenticazione a 2 fattori (2FA) nella pagina di login. In questo caso, l’utente fornisce i dettagli di login per due componenti differenti. Il titolare del sito decide quali essi siano. Può essere una password regolare seguita da una domanda segreta, un codice segreto, un insieme di caratteri, ecc.
Il plugin WP Google Authenticator ci aiuta con questo in pochi clic.
3. Utilizzare l’email e-mail per l’accesso
Per impostazione predefinita, è necessario inserire il nome utente per il login. L’utilizzo di un ID e-mail invece di un nome utente è un approccio più sicuro. Le ragioni sono evidenti. I nomi utente sono facili da prevedere, mentre gli ID e-mail no. Inoltre, qualsiasi account utente di WordPress è sempre creato con un unico indirizzo email, il che lo rende un identificatore valido per l’accesso.
WP Email Login è fatto per questo scopo.
Per provarlo, basta accedere al tuo sito web e quindi accedere nuovamente, ma questa volta utilizzare l’indirizzo di posta elettronica che è stato creato con l’account.
4. Creare password forti
Giocare con le parole d’accesso del sito e cambiarle regolarmente. Migliora la loro forza con l’aggiunta di lettere maiuscole e minuscole, numeri e caratteri speciali. Questo generatore di password è una risorsa utile -> password generator
5. Rimuovi il numero di versione di WordPress
Il tuo numero di versione di WordPress può essere trovato molto facilmente.
Ecco, se gli hacker sanno quale versione di WordPress si utilizza, è più facile per loro costruire l’attacco perfetto.
È possibile nascondere il numero della versione con quasi tutti i plug-in di sicurezza che ho citato sopra. Leggi anche: risolvere problema Strict Transport Security su WordPress.
