Mantenere il tuo sito web WordPress sicuro è un processo continuo, come prendersi cura della propria salute. Sebbene WordPress sia progettato pensando alla sicurezza, i problemi possono comunque sorgere. Questi problemi potrebbero essere causati da plugin obsoleti, password deboli o persino impostazioni del tuo hosting web.
Noi di WPBeginner consideriamo gli audit di sicurezza di WordPress come controlli del sito web. Ti aiutano a trovare e correggere le vulnerabilità prima che qualcuno possa approfittarne. Mantengono il tuo sito sano e proteggono le informazioni che contiene.
Questo articolo ti mostrerà come controllare il tuo sito web WordPress per problemi di sicurezza senza causare problemi o interruzioni.
Cos'è un Audit di Sicurezza WordPress?
Eseguire un audit di sicurezza sul tuo sito web WordPress significa controllare il tuo sito per individuare segni di una violazione della sicurezza. Puoi eseguire un controllo WordPress per cercare attività sospette, codice dannoso o un calo insolito delle prestazioni.
Ti mostreremo come eseguire un audit di sicurezza di base seguendo semplici passaggi che puoi eseguire manualmente. Ti mostreremo anche come utilizzare strumenti e servizi di audit di sicurezza WordPress per eseguire i controlli di sicurezza automaticamente.
Se trovi qualcosa di sospetto, puoi isolarlo, rimuoverlo e correggerlo.
Quando eseguire un Audit di Sicurezza WordPress
Dovresti eseguire un audit di sicurezza WordPress almeno una volta a trimestre. Questo ti permette di rimanere aggiornato su tutto e di chiudere le falle di sicurezza ancora prima che causino problemi.
Tuttavia, dovresti eseguire un audit di sicurezza immediatamente se noti qualcosa di sospetto, come:
- Il tuo sito web è improvvisamente lento e poco reattivo.
- Noti un calo nel traffico del tuo sito web.
- Ci sono nuovi account sospetti, richieste di reimpostazione password dimenticate o tentativi di accesso sul tuo sito web.
- Vedi link sospetti apparire sul tuo sito web.
Detto questo, diamo un'occhiata a come eseguire facilmente un audit di sicurezza di WordPress.
Esecuzione di un audit di sicurezza manuale di base di WordPress
Ecco una checklist di alcuni passaggi che puoi intraprendere per eseguire un audit di sicurezza manuale di base di WordPress sul tuo sito web.
1. Aggiorna il Core, i Plugin e i Temi di WordPress
Gli aggiornamenti di WordPress sono davvero importanti per la sicurezza e la stabilità del tuo sito web. Correggono le vulnerabilità di sicurezza, introducono nuove funzionalità e migliorano le prestazioni.
Assicurati che il software core di WordPress, tutti i plugin e i temi siano aggiornati. Puoi farlo facilmente visitando la pagina Dashboard » Aggiornamenti nell'area di amministrazione di WordPress.
WordPress cercherà se ci sono aggiornamenti disponibili e poi li elencherà per te da installare. Se hai bisogno di ulteriore aiuto, consulta le nostre guide su come aggiornare correttamente WordPress e su come aggiornare correttamente i plugin di WordPress.
2. Controlla gli Account Utente e le Password
Successivamente, devi rivedere gli account utente di WordPress visitando la pagina Utenti » Tutti gli Utenti. Cerca account utente sospetti che non dovrebbero esserci.
Se gestisci un negozio online, un sito di membership, o vendi corsi online, allora potresti avere account utente per consentire ai tuoi clienti di accedere.
Tuttavia, se gestisci un blog o un sito web aziendale, dovresti vedere solo account utente per te stesso o per altri utenti che hai aggiunto manualmente.
Se vedi account utente sospetti, devi eliminarli.
Ora, se il tuo sito web non richiede agli utenti di creare un account, devi visitare la pagina Impostazioni » Generali e assicurarti che la casella accanto all'opzione 'Chiunque può registrarsi' non sia selezionata.
Come precauzione aggiuntiva, è necessario cambiare la password dell'amministratore di WordPress. Consigliamo vivamente di aggiungere l'autenticazione a due fattori per rafforzare la sicurezza delle password sul tuo sito.
3. Esegui una scansione di sicurezza di WordPress
Il passo successivo è controllare il tuo sito web per vulnerabilità di sicurezza. Fortunatamente, ci sono diversi scanner di sicurezza online che puoi utilizzare per verificare la presenza di malware.
Ti consigliamo di utilizzare l'IsItWP Security Scanner, che controlla il tuo sito web per malware e altre vulnerabilità di sicurezza.
Questi strumenti sono utili, ma possono scansionare solo le pagine pubbliche del tuo sito web. Ti mostreremo come eseguire audit più approfonditi più avanti in questo articolo.
4. Controlla le analisi del tuo sito web
Le analisi del sito web ti aiutano a tenere traccia del traffico del tuo sito web. Sono anche un buon indicatore della salute del tuo sito web.
Se il tuo sito web è stato inserito in una blacklist dai motori di ricerca, vedrai un calo improvviso del traffico del tuo sito web. Se il tuo sito web è lento o non risponde, le tue visualizzazioni di pagina complessive diminuiranno.
Ti consigliamo di utilizzare MonsterInsights per monitorare il traffico del tuo sito web. Non solo mostra le tue visualizzazioni di pagina complessive, ma puoi anche usarlo per monitorare gli utenti registrati, i tuoi clienti WooCommerce, le conversioni dei moduli e altro ancora.
5. Imposta e controlla i backup di WordPress
Se non l'hai già fatto, devi immediatamente configurare un plugin di backup per WordPress. Questo assicura che tu abbia sempre un backup del tuo sito in caso qualcosa vada storto.
Molti principianti dimenticano il loro plugin di backup per WordPress dopo averlo configurato. A volte, i plugin di backup potrebbero smettere di funzionare senza preavviso. È una buona idea assicurarsi che il tuo plugin di backup funzioni ancora e salvi i backup.
Esecuzione di un audit di sicurezza automatico per WordPress
La checklist sopra ti permette di esaminare gli aspetti più importanti di un audit di sicurezza. Tuttavia, non è un processo molto approfondito, il che significa che il tuo sito web potrebbe essere ancora vulnerabile.
Ad esempio, è difficile tenere un registro manuale di tutte le attività degli utenti, delle differenze nei file, dei codici sospetti e altro ancora. È qui che hai bisogno di un plugin per automatizzare l'audit di sicurezza e tenere traccia di tutto.
Puoi automatizzare questo processo con l'aiuto di alcuni plugin di sicurezza per WordPress.
1. Esecuzione automatica di un audit di sicurezza con WP Activity Log
WP Activity Log è il miglior plugin di monitoraggio delle attività di WordPress sul mercato.
Ti permette di tenere traccia di tutte le attività degli utenti sul tuo sito web. Puoi visualizzare tutti gli accessi degli utenti, gli indirizzi IP e ciò che hanno fatto sul tuo sito web.
Puoi monitorare utenti WooCommerce, editor, autori e altri membri che hanno un account sul tuo sito web.
Puoi anche attivare gli eventi che desideri monitorare e disattivare quelli che non vuoi tenere sotto controllo.
Il plugin ti mostra anche una visualizzazione in tempo reale di tutti gli utenti connessi al tuo sito web. Se vedi un account sospetto, puoi terminare immediatamente la loro sessione e bloccarli.
Puoi saperne di più nella nostra guida su come monitorare l'attività degli utenti in WordPress utilizzando WP Activity Log.
2. Eseguire automaticamente un audit di sicurezza con Sucuri
Sucuri è il miglior plugin firewall per WordPress sul mercato, ed è anche la migliore soluzione di sicurezza all-in-one per WordPress che puoi ottenere per il tuo sito web.
Fornisce protezione in tempo reale contro attacchi DDoS bloccando attività sospette ancora prima che raggiungano il tuo sito web. Questo riduce il carico sul tuo server e migliora la velocità/prestazioni del tuo sito web.
Viene fornito con un plugin di sicurezza integrato che controlla i tuoi file WordPress per codice sospetto. Ottieni anche uno sguardo dettagliato sull'attività degli utenti sul tuo sito web.
Soprattutto, Sucuri offre la rimozione di malware gratuitamente con tutti i loro piani a pagamento. Ciò significa che anche se il tuo sito web è già compromesso, i loro esperti di sicurezza lo puliranno per te.
Guide Esperte sulla Sicurezza di WordPress
Speriamo che questo articolo ti abbia aiutato a capire come eseguire un audit di sicurezza di WordPress sul tuo sito web. Potresti anche voler consultare altre guide relative alla sicurezza di WordPress:
- Come forzare password complesse agli utenti in WordPress
- Come proteggere il tuo sito WordPress dagli attacchi brute force
- Motivi principali per cui i siti WordPress vengono compromessi (& come prevenirlo)
- Segnali che il tuo sito WordPress è stato hackerato (consigli esperti)
- Come scansionare il tuo sito WordPress alla ricerca di codice potenzialmente dannoso
- Come trovare un backdoor in un sito WordPress hackerato e risolverlo
- Come creare un piano di disaster recovery per WordPress
Se ti è piaciuto questo articolo, iscriviti al nostro canale YouTube per tutorial video su WordPress. Puoi anche trovarci su Twitter e Facebook.
Dennis Muthomi
Lei raccomanda Sucuri come soluzione di sicurezza WordPress all-in-one. Mi chiedo se Sucuri possa sostituire la necessità di plugin separati come WP Activity Log?
Voglio evitare di ingombrare il mio sito con troppi plugin se uno potesse fare il lavoro.
Supporto WPBeginner
Dipenderebbe dalla funzione del plugin che stai cercando di sostituire, ma Sucuri ha un'opzione di registro delle attività.
Amministratore
Dennis Muthomi
Ottimo punto, il fatto che Sucuri soddisfi le mie esigenze dipende dalla funzionalità che sto cercando. GRAZIE per aver risposto!
Eva
Il primo passo per combattere i tentativi quotidiani di attacchi brute force è cambiare l'URL di accesso predefinito.
Supporto WPBeginner
Invece di cambiare l'URL di accesso, normalmente raccomandiamo di utilizzare un plugin come "limit login attempts", poiché cambiare l'URL di accesso ha una maggiore probabilità di causare problemi ai principianti.
Amministratore
Eva
Beh, faccio entrambe le cose! E molto altro. La sicurezza è la mia priorità numero uno. Capisco cosa intendi, ma la maggior parte delle parole sono facili da memorizzare come /wp-admin o /wp-login, soprattutto per i principianti, secondo me.
Supporto WPBeginner
Non si tratta tanto di ricordare l'URL di accesso, quanto piuttosto di eventuali errori che si verificano quando si tenta di cambiare l'URL; la maggior parte dei principianti non dispone degli strumenti per correggere l'indirizzo di accesso.
Eva
Capisco, buon punto! In molti casi, rinominare la directory del plugin tramite FTP è sufficiente per disabilitarla e riaccedere tramite /wp-login. Ma capisco, non è adatto ai principianti!
DW
Sì, l'uso dell'URI di accesso in realtà non fa molto. È una tecnica nota come "security by obscurity" (sicurezza per oscurità), in pratica sicurezza tramite "nascondiglio".
Se qualcuno è determinato a entrare nel tuo sito web, l'uso di queste tecniche di "security by obscurity" al massimo lo rallenterà di qualche minuto. Non è un vero sostituto per mettere in sicurezza correttamente il tuo sito web.
È molto meglio mettere in sicurezza correttamente il tuo sito web. Tecniche come plugin per prevenire attacchi brute force, imporre password complesse, imporre l'autenticazione a più fattori almeno per gli account amministratore e, se hai il lusso di avere un indirizzo IP statico, creare un file .htaccess che consenta l'accesso alla pagina di amministrazione solo dal tuo indirizzo IP sono tutte soluzioni molto migliori.