Avviare il tuo sito WordPress in^(WordPress) questi giorni è abbastanza facile. Sfortunatamente, non ci vorrà molto prima che gli hacker inizino a prendere di mira il tuo sito.

Il modo migliore per rendere sicuro un sito WordPress è comprendere ogni punto di vulnerabilità che deriva dall'esecuzione di un sito WordPress . Quindi installa la sicurezza appropriata per bloccare gli hacker in ciascuno di questi punti.

In questo articolo imparerai come proteggere meglio il tuo dominio, il tuo accesso a WordPress e gli strumenti e i plug-in disponibili per proteggere il tuo sito WordPress .

Crea un dominio privato

Al giorno d'oggi è fin troppo facile trovare un dominio disponibile^{(find an available domain)} e acquistarlo a un prezzo molto basso. La maggior parte delle persone non acquista mai alcun componente aggiuntivo di dominio per il proprio dominio. Tuttavia, un componente aggiuntivo che dovresti sempre considerare è la protezione della privacy^{(Privacy Protection)} .

Esistono tre livelli di base di protezione della privacy con GoDaddy , ma corrispondono anche alle offerte della maggior parte dei provider di dominio.

Base^(Basic) : Nascondi il tuo nome e le informazioni di contatto dalla directory WHOIS . Questo è disponibile solo se il tuo governo ti consente di nascondere le informazioni di contatto del dominio.
Completo^(Full) : sostituisci le tue informazioni con un indirizzo e-mail alternativo e informazioni di contatto per nascondere la tua vera identità.
Ultimate : sicurezza aggiuntiva che blocca la scansione di domini dannosi e include il monitoraggio della sicurezza del sito Web per il tuo sito reale.

Di solito, l'aggiornamento del tuo dominio a uno di questi livelli di sicurezza richiede solo la scelta di eseguire l'aggiornamento da un menu a discesa nella pagina dell'elenco dei domini.

La protezione del dominio di base^(Basic) è abbastanza economica (di solito circa $ 9,99 all'anno) e livelli di sicurezza più elevati non sono molto più costosi.

Questo è un modo eccellente per impedire agli spammer di rimuovere le tue informazioni di contatto dal database WHOIS o ad altri con intenti dannosi che desiderano accedere alle tue informazioni di contatto.

Nascondi^(Hide) i file wp-config.php e .htaccess

Quando installi WordPress^{(install WordPress)} per la prima volta, dovrai includere l'ID amministrativo e la password per il tuo database SQL di WordPress^{(WordPress SQL)} nel file wp-config.php.

Questi dati vengono crittografati dopo l'installazione, ma vuoi anche impedire agli hacker di poter modificare questo file e distruggere il tuo sito web. Per fare ciò, trova e modifica il file .htaccess nella cartella principale del tuo sito e aggiungi il seguente codice in fondo al file.

# protect wpconfig.php
<files wp-config.php>
order allow,deny
deny from all
</files>

Per evitare modifiche allo stesso .htaccess, aggiungi anche quanto segue in fondo al file.

# Protect .htaccess file
<Files .htaccess>
order allow,deny
deny from all
</Files>

Salva il file ed esci dall'editor di file.

Potresti anche considerare di fare clic con il pulsante destro del mouse su ciascun file e di modificare le autorizzazioni per rimuovere completamente l'accesso in scrittura^(Write) per tutti.

Mentre farlo sul file wp-config.php non dovrebbe causare problemi, farlo su .htaccess potrebbe causare problemi. Soprattutto se stai eseguendo plug-in WordPress di sicurezza che potrebbero dover modificare il file .htaccess per te.

Se ricevi errori da WordPress , puoi sempre aggiornare le autorizzazioni per consentire nuovamente l'accesso in scrittura^(Write) al file .htaccess.

Modifica l'URL di accesso di WordPress

Poiché la pagina di accesso predefinita per ogni sito WordPress è tuodominio/wp-admin.php, gli hacker utilizzeranno questo URL per tentare di hackerare il tuo sito.

Lo faranno attraverso quelli che sono noti come attacchi di "forza bruta" in cui invieranno variazioni di nomi utente e password tipici che molte persone usano comunemente. Gli hacker sperano di essere fortunati e ottenere la giusta combinazione.

Puoi fermare completamente questi attacchi modificando l' URL di accesso di WordPress^{(WordPress login URL)} in qualcosa di non standard.

Ci sono molti plugin di WordPress per aiutarti a farlo. Uno dei più comuni è WPS Hide Login .

Questo plugin aggiunge una sezione alla scheda Generale in ^(General)Impostazioni^(Settings) in WordPress.

Lì, puoi digitare qualsiasi URL di accesso che desideri e selezionare Salva modifiche^{(Save Changes)} per attivarlo. La prossima volta che vuoi accedere al tuo sito WordPress , usa questo nuovo URL .

Se qualcuno tenta di accedere al tuo vecchio URL wp-admin , verrà reindirizzato alla pagina 404 del tuo sito.

Nota^(Note) : se utilizzi un plug-in per la cache, assicurati di aggiungere il tuo nuovo URL di accesso all'elenco dei siti da non^(not) memorizzare nella cache. Quindi assicurati di svuotare la cache prima di accedere nuovamente al tuo sito WordPress .

Installa un plugin di sicurezza per WordPress

Ci sono molti plugin per la sicurezza di WordPress^{(WordPress security plugins)} tra cui scegliere. Di tutti, Wordfence è il più comunemente scaricato, per una buona ragione.

La versione gratuita di Wordfence include un potente motore di scansione che cerca minacce backdoor, codice dannoso nei tuoi plugin^{(malicious code in your plugins)} o sul tuo sito, minacce di iniezione MySQL e altro ancora. ^(MySQL)Include anche un firewall per bloccare le minacce attive come gli attacchi DDOS .

Ti consentirà inoltre di fermare gli attacchi di forza bruta limitando i tentativi di accesso e bloccando gli utenti che effettuano troppi tentativi di accesso errati.

Ci sono alcune impostazioni disponibili nella versione gratuita. Più che sufficiente per proteggere i siti Web di piccole e medie dimensioni dalla maggior parte degli attacchi.

C'è anche un'utile pagina dashboard che puoi rivedere per monitorare le minacce e gli attacchi recenti che sono stati bloccati.

Usa il generatore di password di WordPress^{(WordPress Password Generator)} e 2FA

L'ultima cosa che vuoi è che gli hacker possano indovinare facilmente la tua password. Sfortunatamente, troppe persone usano password molto semplici e facili da indovinare. Alcuni esempi includono l'utilizzo del nome del sito Web o il nome dell'utente come parte della password o il mancato utilizzo di caratteri speciali.

Se hai eseguito l'aggiornamento all'ultima versione di WordPress , hai accesso a potenti strumenti di sicurezza delle password per proteggere il tuo sito WordPress .

Il primo passo per migliorare la sicurezza della tua password è andare su ciascun utente del tuo sito, scorrere fino alla sezione Gestione account^{(Account Management)} e selezionare il pulsante Genera password^{(Generate Password)} .

Questo genererà una password lunga e molto sicura che include lettere, numeri e caratteri speciali. Salva questa password in un posto sicuro, preferibilmente in un documento su un'unità esterna che puoi disconnettere dal tuo computer mentre sei online.

Seleziona Esci^{(Log Out Everywhere Else)} da qualsiasi altra parte per assicurarti che tutte le sessioni attive siano chiuse.

Infine, se hai installato il plug-in di sicurezza di Wordfence , vedrai un pulsante Attiva 2FA^{(Activate 2FA)} . Selezionalo per abilitare l'autenticazione a due fattori per gli accessi utente.

Se non stai usando Wordfence , dovrai installare uno di questi popolari plugin 2FA.

Autenticatore di Google^{(Google Authenticator)}
Autenticazione a due fattori^{(Two Factor Authentication)}
Autenticazione a due fattori Rublon^{(Rublon Two-Factor Authentication)}
Autenticazione a due fattori Duo^{(Duo Two-Factor Authentication)}

Altre importanti considerazioni sulla sicurezza^{(Important Security Considerations)}

Ci sono alcune altre cose che puoi fare per proteggere completamente il tuo sito WordPress .

Sia i plugin di WordPress^{(WordPress plugins)} che la versione di WordPress stesso dovrebbero essere aggiornati in ogni momento. Gli hacker spesso cercano di sfruttare le vulnerabilità nelle versioni precedenti del codice del tuo sito. Se non aggiorni entrambi, stai lasciando il tuo sito a rischio.

1. Seleziona regolarmente Plugin^(Plugins) e Plugin installati^{(Installed Plugins)} nel pannello di amministrazione di WordPress . Esamina^(Review) tutti i plug-in per uno stato che indica che è disponibile una nuova versione.

Quando ne vedi uno che non è aggiornato, seleziona Aggiorna ora^{(update now)} . Potresti anche considerare di selezionare Abilita aggiornamenti automatici per i tuoi plugin.

Tuttavia, alcune persone sono caute nel farlo poiché gli aggiornamenti dei plug-in a volte possono interrompere il tuo sito o tema. Quindi è sempre una buona idea testare gli aggiornamenti dei plug-in su un sito di test WordPress locale^{(local WordPress test site)} prima di abilitarli sul tuo sito live.

2. Quando accedi alla dashboard di WordPress , vedrai una notifica che WordPress non è aggiornato se stai eseguendo una versione precedente.

Ancora una volta, esegui il backup del sito e caricalo su un sito di test locale sul tuo PC per verificare che l' aggiornamento di WordPress non interrompa il tuo sito prima di aggiornarlo sul tuo sito Web live.

3. Approfitta delle funzionalità di sicurezza gratuite del tuo host web. La maggior parte degli host web offre una varietà di servizi di sicurezza gratuiti per i siti che ospiti lì. Lo fanno perché non solo protegge il tuo sito, ma mantiene al sicuro l'intero server. Ciò è particolarmente importante quando sei su un account di hosting condiviso in cui altri client hanno siti Web sullo stesso server.

Questi spesso includono installazioni di sicurezza SSL gratuite per il tuo sito, ^{(free SSL security)}backup gratuiti^{(free backups)} , la possibilità di bloccare indirizzi IP dannosi e persino uno scanner di siti gratuito che eseguirà regolarmente la scansione del tuo sito per qualsiasi codice dannoso o vulnerabilità.

Gestire un sito Web non è mai così semplice come installare WordPress e pubblicare contenuti. È importante rendere il tuo sito Web WordPress il più sicuro possibile. Tutti i suggerimenti di cui sopra possono aiutarti a farlo senza troppi sforzi.

How to Make a WordPress Site Secure

Launching your own WordPress site these days is pretty easy. Unfortunately, it won’t tаke long for hackerѕ to start targeting your site.

The best way to make a WordPress site secure is to understand every point of vulnerability that comes from running a WordPress site. Then install the appropriate security to block hackers at each of those points.

In this article you’ll learn how to better secure your domain, your WordPress login, and the tools and plugins available to secure your WordPress site.

Create a Private Domain

It’s all too easy these days to find an available domain and purchase it at a very cheap price. Most people never purchase any domain addons for their domain. However, one add-on you should always consider is Privacy Protection.

There are three basic levels of privacy protection with GoDaddy, but these also match offerings of most domain providers.

Basic: Hide your name and contact info from the WHOIS directory. This is only available if your government allows you to hide domain contact information.
Full: Replace your own information with an alternative email address and contact info to cloak your actual identity.
Ultimate: Additional security that blocks malicious domain scanning, and includes website security monitoring for your actual site.

Usually, upgrading your domain to one of these security levels just requires choosing to upgrade from a dropdown on your domain listing page.

Basic domain protection is fairly cheap (usually around $9.99/yr), and higher levels of security aren’t much more expensive.

This is an excellent way to stop spammers from scraping your contact info off of the WHOIS database, or others with malicious intent who want to get access to your contact information.

Hide wp-config.php and .htaccess Files

When you first install WordPress, you’ll need to include the administrative ID and password for your WordPress SQL database in the wp-config.php file.

That data gets encrypted after installation, but you also want to block hackers from being able to edit this file and break your website. To do this, find and edit the .htaccess file on the root folder of your site and add the following code at the bottom of the file.

# protect wpconfig.php
<files wp-config.php>
order allow,deny
deny from all
</files>

To prevent changes to .htaccess itself, add the following to the bottom of the file as well.

# Protect .htaccess file
<Files .htaccess>
order allow,deny
deny from all
</Files>

Save the file and exit the file editor.

You might also consider right-clicking each file and changing the permissions to remove Write access entirely for everyone.

While doing this on the wp-config.php file shouldn’t cause any issues, doing it on .htaccess could cause issues. Especially if you’re running any security WordPress plugins that may need to edit the .htaccess file for you.

If you do receive any errors from WordPress, you can always update permissions to allow Write access on the .htaccess file again.

Change Your WordPress Login URL

Since the default login page for every WordPress site is yourdomain/wp-admin.php, hackers will use this URL to try and hack into your site.

They will do this through what’s known as “brute force” attacks where they’ll send variations of typical usernames and passwords many people commonly use. Hackers hope that they’ll get lucky and land the right combination.

You can stop these attacks entirely by changing your WordPress login URL to something non-standard.

There are lots of WordPress plugins to help you do this. One of the most common is WPS Hide Login.

This plugin adds a section to the General tab under Settings in WordPress.

There, you can type in any login URL you want and select Save Changes to activate it. Next time you want to log into your WordPress site, use this new URL.

If anyone tries to access your old wp-admin URL, they’ll get redirected to your site’s 404 page.

Note: If you use a cache plugin, make sure to add your new login URL to the list of sites not to cache. Then make sure to purge the cache before you log back into your WordPress site again.

Install a WordPress Security Plugin

There are a lot of WordPress security plugins to choose from. Of all of them, Wordfence is the most commonly downloaded one, for good reason.

The free version of Wordfence includes a powerful scan engine that looks for backdoor threats, malicious code in your plugins or on your site, MySQL injection threats, and more. It also includes a firewall to block active threats like DDOS attacks.

It will also let you stop brute force attacks by limiting login attempts and locking out users who make too many incorrect login attempts.

There are quite a few settings available in the free version. More than enough to protect small to medium websites from most attacks.

There is also a useful dashboard page you can review to monitor recent threats and attacks that have been blocked.

Use the WordPress Password Generator and 2FA

The last thing you want is for hackers to easily guess your password. Unfortunately, too many people use very simple passwords that are easy to guess. Some examples include using the website name or the user’s own name as part of the password, or not using any special characters.

If you’ve upgraded to the latest version of WordPress, you have access to powerful password security tools to secure your WordPress site.

The first step to improve your password security is to go to each user for your site, scroll down to the Account Management section, and select the Generate Password button.

This will generate a long, very secure password that includes letters, numbers, and special characters. Save this password somewhere safe, preferably in a document on an external drive that you can disconnect from your computer while you’re online.

Select Log Out Everywhere Else to make sure all active sessions are closed.

Finally, if you’ve installed the Wordfence security plugin, you’ll see an Activate 2FA button. Select this to enable two-factor authentication for your user logins.

If you aren’t using Wordfence, you’ll need to install any of these popular 2FA plugins.

Other Important Security Considerations

There are a few more things you can do to fully secure your WordPress site.

Both the WordPress plugins and the version of WordPress itself should be updated at all times. Hackers often try to exploit vulnerabilities in older versions of code on your site. If you don’t update both of these, you’re leaving your site at risk.

1. Regularly select Plugins and Installed Plugins in your WordPress admin panel. Review all plugins for a status that says a new version is available.

When you do see one that’s out of date, select update now. You may also consider selecting Enable auto-updates for your plugins.

However, some people are wary of doing this since plugin updates can sometimes break your site or theme. So it’s always a good idea to test plugin updates on a local WordPress test site before enabling them on your live site.

2. When you log into your WordPress dashboard, you’ll see a notification that WordPress is out of date if you’re running an older version.

Again, backup the site and load it to a local test site on your own PC to test that the WordPress update doesn’t break your site before you update it on your live website.

3. Take advantage of your web host’s free security features. Most web hosts offer a variety of free security services for the sites you host there. They do this because it not only protects your site, but it keeps the entire server safe. This is especially important when you’re on a shared hosting account where other clients have websites on the same server.

These often include free SSL security installs for your site, free backups, the ability to block malicious IP addresses, and even a free site scanner that’ll regularly scan your site for any malicious code or vulnerabilities.

Running a website is never just as simple as installing WordPress and just posting content. It’s important to make your WordPress website as secure as possible. All of the above tips can help you do so without too much effort.

Manuel Martini

About the author

Sono un esperto di computer e sono specializzato in dispositivi iOS. Aiuto le persone dal 2009 e la mia esperienza con i prodotti Apple mi rende la persona perfetta per aiutare con le loro esigenze tecnologiche. Le mie competenze includono: - Riparazione e aggiornamento di iPhone e iPod - Installazione e utilizzo di software Apple - Aiutare le persone a trovare le migliori app per i loro iPhone e iPod - Lavorare su progetti online

Come rendere sicuro un sito WordPress

Crea un dominio privato

Nascondi^(Hide) i file wp-config.php e .htaccess

Modifica l'URL di accesso di WordPress

Installa un plugin di sicurezza per WordPress

Usa il generatore di password di WordPress^{(WordPress Password Generator)} e 2FA

Altre importanti considerazioni sulla sicurezza^{(Important Security Considerations)}

How to Make a WordPress Site Secure

Create a Private Domain

Hide wp-config.php and .htaccess Files

Change Your WordPress Login URL

Install a WordPress Security Plugin

Use the WordPress Password Generator and 2FA

Other Important Security Considerations

Manuel Martini

About the author

Related posts

3 modi per trovare la password più sicura

La tua app di messaggistica è davvero sicura?

3 modi per prendere un Photo or Video su un Chromebook

Come Detect Computer & Email Monitoring o Spying Software

Appartamento Panel Display Technology Demystified: TN, IPS, VA, OLED e altro ancora

Come cambiare la lingua su Netflix5

Come cercare e trovare i tweet cancellati di qualcuno

Puoi cambiare il tuo Twitch Name? Sì, ma Be Careful

Come controllare Your Hard Drive per errori

Cos'è Discord Streamer Mode and How per impostarlo

Come creare uno Transparent Background in GIMP

Come girare o disattivare Caps Lock su Chromebook

Come aprire un File con No Extension

Come Download Twitch Videos

Come disattivare un Facebook Account invece di eliminarlo

Come dividere lo Screen su un Chromebook

Come Find Birthdays su Facebook

Come trovare Memories su Facebook

Come risolvere un errore "Transazione in sospeso" Steam

Come trovare i migliori server di discordia

Come rendere sicuro un sito WordPress

Crea un dominio privato

Nascondi(Hide) i file wp-config.php e .htaccess

Modifica l'URL di accesso di WordPress

Installa un plugin di sicurezza per WordPress

Usa il generatore di password di WordPress(WordPress Password Generator) e 2FA

Altre importanti considerazioni sulla sicurezza(Important Security Considerations)

How to Make a WordPress Site Secure

Create a Private Domain

Hide wp-config.php and .htaccess Files

Change Your WordPress Login URL

Install a WordPress Security Plugin

Use the WordPress Password Generator and 2FA

Other Important Security Considerations

Manuel Martini

About the author

Related posts

3 modi per trovare la password più sicura

La tua app di messaggistica è davvero sicura?

3 modi per prendere un Photo or Video su un Chromebook

Come Detect Computer & Email Monitoring o Spying Software

Appartamento Panel Display Technology Demystified: TN, IPS, VA, OLED e altro ancora

Come cambiare la lingua su Netflix5

Come cercare e trovare i tweet cancellati di qualcuno

Puoi cambiare il tuo Twitch Name? Sì, ma Be Careful

Come controllare Your Hard Drive per errori

Cos'è Discord Streamer Mode and How per impostarlo

Come creare uno Transparent Background in GIMP

Come girare o disattivare Caps Lock su Chromebook

Come aprire un File con No Extension

Come Download Twitch Videos

Come disattivare un Facebook Account invece di eliminarlo

Come dividere lo Screen su un Chromebook

Come Find Birthdays su Facebook

Come trovare Memories su Facebook

Come risolvere un errore "Transazione in sospeso" Steam

Come trovare i migliori server di discordia

Nascondi^(Hide) i file wp-config.php e .htaccess

Usa il generatore di password di WordPress^{(WordPress Password Generator)} e 2FA

Altre importanti considerazioni sulla sicurezza^{(Important Security Considerations)}