Come rendere sicuro il sito wordpress

WordPress ha un nucleo molto sicuro, come è stato dimostrato in tutte le versioni rilasciate a partire dal 2005, ma sono le politiche di sicurezza inesistenti che finiscono per portare qualsiasi sito web stabile ad avere problemi.

Quali fattori rendono il tuo sito web insicuro?

• Utilizzando una versione obsoleta e vulnerabile del CMS.
• Installa i plugin indiscriminatamente e poi dimenticatene.
• Esagerare nella protezione del sito web con troppi plugin di sicurezza .
• Non effettuare regolarmente copie di backup, oltre a quelle effettuate dal fornitore di hosting.
• Utilizzo di plugin inaffidabili, incompatibili con la versione attuale di WordPress o abbandonati.
• Accedi alla tua dashboard da connessioni non sicure (Wi-Fi pubblici, barre, ecc.) senza protezione.
• Non utilizzare i secondi fattori di autorizzazione (2FA) per l’accesso al dashboard.
• Le vulnerabilità esistono, questo è indiscutibile, quindi avere politiche di prevenzione e contenimento contro i guasti alla sicurezza su un sito Web dovrebbe far parte della tua lista di controllo del lavoro con WordPress, soprattutto se il tuo focus è commerciale e gestisci un sito con molta visibilità.
  
  La sicurezza in WordPress è importante
  Ecco perché proponiamo una checklist di sicurezza per le tue installazioni WordPress in modo che tu possa fortificarle.
  
• Mantieni sempre aggiornato il core di WordPress alla versione stabile.
• Mantieni i tuoi plugin aggiornati e compatibili con WordPress e PHP.
• Mantieni sempre aggiornato il tema e lavora con i temi secondari se intendi personalizzarlo. Evita la navigazione nelle directory. Forse il tuo server lo applica già.
• Protegge la directory wp-admin da possibili scansioni.
• Proteggi il file wp-config.php
• Sui siti con più utenti, forzare la modifica regolare delle password.
• Disabilita il caricamento del file .htaccess dal browser.
• Utilizza password complesse e imprevedibili. Usa keychain.io.
• Disabilita le chiamate di procedura remota utilizzando XML-RPC.
• Disattiva Trackback e Pingback se non ti servono.
• Evita o elimina l’utente amministratore admin.
• Rimuovere regolarmente gli utenti registrati inattivi.
• Utilizza il profilo collaboratore per gli autori ospiti. (Regola MPE = Punto di esposizione minimo)
• Effettua copie di backup regolari.
• Elimina i temi e i plugin che non ti servono.
• Nasconde gli errori PHP per non dare indizi su possibili problemi.
• Utilizza i certificati SSL in WordPress.
• Tieni traccia delle modifiche apportate dai diversi amministratori.
• Utilizza i secondi fattori di autorizzazione (2FA).
• Accedi sempre al Web in sicurezza con una VPN.
• Non utilizzare plugin di sicurezza, delega l’hardening ad un buon Hosting.
• Ad esempio, puoi disabilitare XML-RPC nel tuo WordPress aggiungendo il seguente codice al file .htaccess della tua installazione:

Disable XMLRPC in WordPress order deny, allow deny from all allow from (IP hosting)

Questo è solo un breve elenco dei punti importanti che, se adeguatamente controllati, possono aumentare significativamente la sicurezza del tuo sito web. Mettili in pratica!