6 cose che puoi fare per proteggere il tuo WordPress dagli hacker

6 cose che puoi fare per proteggere il tuo WordPress dagli hacker / Wordpress e sviluppo Web

Esecuzione di un sito Web basato su WordPress è spesso un piacere, consentendo di concentrarsi sui contenuti e costruire relazioni con i lettori e altri siti web.

Tuttavia, non tutti sul web sono amichevoli come te. Da qualche parte fuori c'è una lista con il nome del tuo blog, dove si trova, in attesa di essere presa di mira dagli hacker. Quando passano sul tuo blog, tenteranno varie tattiche per accedervi, forse con lo scopo di vendere farmaci legali o infettare i computer dei tuoi visitatori con malware.

Fortunatamente, ci sono vari modi in cui puoi proteggere il tuo blog WordPress dagli hacker.

Aggiornare regolarmente WordPress

Una delle soluzioni più potenti ma spesso trascurate per mantenere la sicurezza di WordPress dagli hacker è assicurarsi che sia regolarmente aggiornata.

Ovviamente c'è un lato negativo di questo: alcuni dei migliori plugin WordPress potrebbero smettere di funzionare se WordPress viene aggiornato, ma allo stesso tempo dovrebbe essere considerato un'opportunità per aggiornare i plug-in, trovare sostituti che sono sicuri e affidabili e fondamentalmente stringere il tuo sito web o blog. Mantenere i plugin che si trovano nella directory di WordPress è anche un buon modo per tenere le cose sotto controllo.

L'aggiornamento di WordPress è possibile dall'interno della Dashboard, ma prima di procedere è sempre necessario eseguire un backup del database.

Tieni i backup regolari

Una procedura importante per tutti i proprietari di blog di WordPress è garantire che i backup vengano eseguiti regolarmente e che possano essere facilmente ripristinati nel caso peggiori.

Le soluzioni sono abbondanti, ma Cloudsafe365 è uno dei più potenti, combinando il cloud backup (Dropbox può essere usato) con vari strumenti di protezione sicura contro tecniche come cross-site scripting, SQL injection e persino il furto di contenuti di monitor.

Cloudsafe365, disponibile dal sito dei plugin di WordPress, è disponibile in tre versioni. Un'opzione gratuita copre le cose sopra elencate, mentre le opzioni a pagamento offrono ulteriori funzionalità come la protezione contro l'iniezione di codice e gli attacchi di forza bruta.

Installa un plug-in di accesso crittografato

La protezione dell'atto effettivo di accesso al tuo sito Web basato su WordPress viene effettuata al meglio utilizzando un plug-in di accesso crittografato, in quanto il software del sito Web non dispone di questa funzionalità per impostazione predefinita. Probabilmente la soluzione migliore per questo - perfetta per proteggere i dettagli di accesso del tuo blog dagli sniffer packet sulle reti wireless - è Chap Secure Login, che usa l'algoritmo SHA-256 per proteggere il tuo nome utente e password.

Nel frattempo, il plug-in di Lockdown del login è un modo utile per bloccare gli IP che registrano i ripetuti tentativi falliti di accedere al tuo sito.

Altre misure di protezione dell'account che è possibile eseguire includono l'installazione di un potente plugin CAPTCHA. RetinaPost è un plugin particolarmente impressionante, che richiede agli utenti di inserire caratteri evidenziati da una frase piuttosto che provare a decifrare immagini di testo rovinate o fare sfide matematiche. Qualsiasi tentativo di interrompere il tuo blog utilizzando il sistema dei commenti può essere notevolmente ridotto utilizzando questo plugin.

Nascondere “Alimentato da WordPress”

Gli hacker hanno una tattica diversa per ciascuno dei vari tipi di software del sito Web in uso, ma puoi rendere le cose più difficili per loro non pubblicizzando il fatto che il tuo sito web è “Alimentato da WordPress”.

Per impostazione predefinita, queste informazioni possono essere trovate nel file footer.php, raggiunto inserendo il Dashboard del tuo blog, selezionando Aspetto> Editor per modificare all'interno della finestra del browser. Temi diversi richiedono metodi diversi per rimuovere questo testo, quindi dovresti controllare online per trovare l'approccio migliore (se viene usato testo semplice per visualizzare la legenda, quindi eliminare questo; se viene usato il codice PHP, procedere con cautela a meno che non si sappia cosa si ' stai facendo).

Cambia Admin Username

Un modo in cui gli hacker possono trovare un modo per accedere al tuo sito consiste nell'utilizzare un software di forza bruta che tenterà più accessi utilizzando parole e frasi comuni come password, insieme a una selezione di nomi utente ovvi.

Il nome utente dell'amministratore in WordPress può essere selezionato quando il software è configurato, ma nella fretta di fare le cose molti utenti lasciano la scelta predefinita di “Admin”. Come ovvio nome utente, questo è in cima alla lista, ed è per questo che cambiarlo è importante.

Esistono due modi per cambiare il nome utente dell'amministratore. Innanzitutto, è possibile creare un secondo account amministratore con un nome utente non ovvio, quindi eliminare l'utente originale. Nota, tuttavia, che questo potrebbe avere un effetto su qualsiasi articolo scritto sotto l'account dell'amministratore (probabilmente non saranno pubblicati fino a quando non verrà impostato un nuovo nome o non visualizzerà un errore nella pagina del post).

Probabilmente il modo più efficace per farlo è quello di accedere al phpMyAdmin del tuo sito, selezionare il database di WordPress, trovare la tabella wp_users (“wp_”è un prefisso predefinito che potrebbe essere stato modificato durante l'installazione) e usa il Navigare icona per trovare il “Admin” nome utente.

Una volta scoperto, trova la colonna user_login, fai clic su modificare pulsante sulla riga appropriata e quindi modificare “Admin” al nome di accesso dell'account amministratore preferito, facendo clic su Partire quando hai fatto.

Sposta il file wp-config

Un problema lampante con WordPress è che i dettagli di sicurezza chiave sono memorizzati in un unico file non crittografato che può essere violato e utilizzato per assumere il controllo del tuo blog. Il file wp-config.php contiene i dettagli di accesso dell'amministratore nonché il nome utente e la password per il database MySQL.

Pertanto, la protezione di questo file è fondamentale se si desidera proteggere il sito dagli hacker.

Una cosa che non dovresti fare, comunque, è eliminare wp-config - questo lascerebbe il tuo sito inutilizzabile (e piuttosto vuoto). Quindi, come proteggi il tuo sito da questa bizzarra vulnerabilità?

Dal rilascio di WordPress 2.8, i proprietari dei blog hanno avuto la possibilità di spostare il file nella directory Web principale sul server. Ciò significa, ad esempio, che se hai installato il tuo sito www.mysite.com/wordpress, il file wp-config.php può essere spostato di un livello nella directory mysite.

Conclusione

Indipendentemente da come sei tecnico o non tecnico, se esegui un blog WordPress non ci sono scuse per non implementare alcuni o tutti questi strumenti per proteggere il tuo sito web dagli hacker.

Dopo tutto, qual è il punto nel mettere tutto di quel duro lavoro solo per scoprire che qualcuno ha preso il controllo del sito e ora ti costa i tuoi visitatori regolari con la pubblicità del Viagra?

Questi passaggi possono essere implementati in un paio d'ore - forse un solo fine settimana di fine settimana se vieni premuto per un po 'di tempo - quindi non ignorare, agisci subito.

Scopri di più su: Strumenti per i Webmaster, plugin Wordpress.