Se hai un sito WordPress online e la tua sitemap è stata lanciata in diversi motori di ricerca allora corri subito a installare misure di sicurezza al tuo sito prima che sia tardi. Ti spiegherò io tutto quanto quello che devi fare come base per avere un sistema di sicurezza standard valido.
Devi capire che qualsiasi sito web è a rischio di attacchi hacker perché spesso sono bot automatici che individuano le fragilità dei siti web e quindi vanno a raccogliere automaticamente dati sensibili senza che tu possa farci nulla.
Quindi in questa guida voglio spiegarti le cose principali che devi fare per avere una sicurezza di livello normale. Inutile andare subito ad installare misure di sicurezze estreme, quelle serviranno solo se hai un sito web con un altissimo traffico in entrata quindi quello che ti spiego qui per ora è più che sufficiente.
Effettuare backup giornalieri
La cosa principale che devi fare dopo aver completato la progettazione del tuo sito web e lanciato online è un bel backup completo. Poi periodicamente, meglio se una volta al giorno o almeno 1 volta ogni due giorni, effettui backup completi.
Come effettuare i backup manualmente?
Visto che utilizzi WordPress puoi effettuare il backup completo manualmente in modo estremamente semplice, tramite plugin oppure tramite cPanel. Il primo metodo consiste nello scaricare il plugin Duplicator dal Marketplace di WordPress.
Il plugin è gratuito è posso dire senza dubbio che sia il miglior plugin gratuito per effettuare backup di WordPress. Il suo funzionamento è talmente semplice che è davvero alla portata di tutti. Se vuoi sapere come configurare al meglio Duplicator e fare backup perfetti con esso “Leggi questa guida“.
Mentre se vuoi fare backup da cPanel, accedi al tuo account e quindi cerca backup nella barra di ricerca e clicca su “backup guidato”, segui le istruzioni cliccando su “Back Up” e poi su “Backup completo”. Riceverai una notifica via email quando l’intero backup sarà completo.
TIENI PRESENTE CHE: in entrambi i metodi verranno salvati sia tutti i file del sito WordPress e anche il database. Quindi sono completi. Ciò che non salva Duplicator e neanche cPanel sono le email che dovrai salvare manualmente, entrando in cPanel>>gestione file>> clic destro su “email” quindi comprimi e poi scarica il file zip.
Come effettuare i backup automatici?
Per effettuare backup automatici puoi scaricare uno dei plugin più famosi che ti permette di creare sia backup manualmente che pianificarli. Ad esempio pianificarli tutti i giorni, 1 volta al mese o in altre condizioni dinamiche. Vai al Marketplace e scarica questo plugin UpdraftPlus WordPress Backup Plugin. Con questo plugin puoi decidere di salvare i backup in locale quindi sul server e scaricarli sul tuo computer oppure di utilizzare un servizio cloud come Google drive o addirittura offrono un loro servizio cloud a pagamento dove poter caricare automaticamente tutti i backup.
Vuoi sapere come configurare e ottimizzare perfettamente il plugin UpdraftPlus WordPress Backup Plugin? “Leggi questa guida.”
Installa un potente plugin di sicurezza
Per proteggerti e stare decisamente più tranquillo, attivare nuovi firewall e tante altre misure di sicurezza per il tuo sito web WordPress, devi installare questo plugin WP Security Ninja Pro. Il plugin esiste sia in versione gratuita che premium a pagamento, ma la versione a pagamento è ciò che occorre per avere una reale protezione ed assicurarsi aggiornamenti quasi giornalieri delle definizioni e dei nuovi attacchi conosciuti, simile ai classici antivirus da computer.
Consiglio caldamente di acquistare questo plugin perché provandolo mi ha dato moltissime soddisfazioni ed io sono uno che le prove le faccio in modo estremo e sia perché a mio parere il prezzo che costa ne vale tutti, solo $39 all’anno. Direi che è decisamente accettabile. Confrontandolo con altri plugin della sua categoria posso anche affermare che non ha nulla da invidiare.
WP Security Ninja Pro offre l’attivazione di:
- Attivazione potenti Firewall con un click.
- Un sistema intelligente che rivela indirizzi ip dannosi che vengono bloccati immediatamente e segnalati.
- Il controllo degli accessi alla pagina admin.
- Il blocco a chi si registra con nomi utenti tipo “admin” o similari.
- La protezione dei file con il costante monitoraggio delle modifiche php non autorizzate.
- La possibilità di scansionare l’intero sito in qualsiasi momento.
- Un elenco di opzioni di sicurezza attivabili con un click senza dover mettere mano al codice.
Già di per se questo plugin risolve molti buchi di sicurezza che un nuovo sito WordPress ha sul nascere se non viene ottimizzato. Se vuoi sapere come ottimizzare totalmente WP Security Ninja Pro, “leggi questa guida“.
Spostare “quasi” tutti i file in un altra cartella
Se hai installato manualmente WordPress tramite Ftp o cPanel probabilmente hai installato WordPress nella cartella Public_html. Non hai commesso nessun’errore, però è consigliato spostare tutti i file in una nuova cartella, ad esempio potresti creare una cartella all’interno di public_html e chiamarla “MioSitoWP2020”. Ora dovrai effettuare alcune operazione per fare in modo che spostando tutti i file nella nuova cartella il tuo sito continui a funzionare. Quindi accedi all’account cPanel e segui quest’ordine:
- Crea una cartella in public_html
- Sposta tutti i file da public_html alla nuova cartella (tranne i file htaccess e index.php che andranno invece copiati e non spostati). Quindi adesso nella cartella principale (public_html) avrai soltanto due file htaccess e index.php e la nuova cartella “MioSitoWP2020” che contiene tutti i file.
- Se non trovi il file htaccess, vai alle impostazioni di cPanel in alto a destra e spunta la casella “mostra file nascosti (dotfiles)”.
- Apri il file index.php ed alla riga
/** Loads the WordPress Environment and Template */ require __DIR__ . '/wp-blog-header.php';
sostituisci con
/** Loads the WordPress Environment and Template */require __DIR__ . '/miositowp2020/wp-blog-header.php';
nota che ho inserito il nome della cartella prima di /wp-blog-header-php, li dovrai inserire il nome della cartella che hai creato tu. - Ora accedi al pannello amministratori del tuo sito web, presumiamo che prima era www.miosito.it/wp-admin, ora sarà www.miosito.it/miositowp2020/wp-admin, quindi vai al nuovo indirizzo ed accedi con i tuoi dati di accesso.
- Ora vai in impostazioni generali del tuo sito e quindi aggiungi il testo /miositowp2020 nella casella Indirizzo WordPress (URL) quindi l’url completo sarà www.miosito.it/miositowp2020. Mentre non modificare nulla nella casella Indirizzo sito (URL) .
- Vai in impostazioni>>permalink e salva i permalink senza modificare nulla, per fare creare alcuni eventuali parametri automatici in htaccess.
Bene questo passaggio è stato completato, ora dovresti riuscire a navigare come prima tranquillamente, però avendo una protezione in più, i tuoi file sono protetti in una cartella di cui l’hacker non può conoscere il nome, poiché il primo attacco verrà fatto su public_html e quindi per trovare il nome della cartella creata da te dovrà sforzarsi non poco. Utile no?
Spostare il file wp-config.php in un altra cartella
Dopo aver fatto la precedente operazione adesso ne eseguiamo una più semplice. Possiamo spostare di 1 livello il file wp-config.php. Quindi devi spostare il file dalla cartella creata prima ad esempio “MioSitoWp2020” nella cartella principale o cioè quella subito prima di questa, quindi in questo caso è public_html. Sposta il file in public_html e basta avrai terminato l’operazione. WordPress continuerà a funzionare.
Questo serve per tenere il file più importante di WordPress in una cartella separata a tutti gli altri file del sito web che sono più vulnerabili. Quindi per l’hacker che andrà in modo quasi sempre diretto sui tuoi file del sito web non troverà il file wp-config.php. In linea di massima queste precauzioni sono misure di sicurezze per tenere a bada soprattutto bot automatici inviati da hacker esperti che dovranno sforzarsi di provvedere manualmente ad un attacco verso il tuo sito, sempre che riescano a superare le altre misure di sicurezza, firewall ecc.
Rinomina lo slug di accesso al wp-admin
Una delle principali misure di sicurezza consigliate per chi utilizza WordPress è quella di rinominare lo slug di accesso al pannello amministratori. Quindi se per accedere al pannello amministratori utilizzi www.miosito.it/wp-admin, puoi modificarlo ad esempio in www.miosito-it/secret-login1234 in questo modo sarà difficilissimo per gli hacker accedere al vostro pannello amministratori e rubare dati sensibili.
Come fare per cambiare lo slug di accesso?
Semplicemente installando un plugin gratuito e leggerissimo che trovi sul Marketplace, si chiama WPS Hide Login e lo puoi scaricare ed attivare in pochi istanti. Le impostazioni le trovi andando al menu impostazioni di WordPress, in fondo alla pagina del sottomenu “generali” troverai la casella per modificare lo slug, di base è impostato /login, ma puoi modificarlo come più ti piace. L’importante è segnarti il nuovo link da qualche parte per evitare che lo dimentichi.
Il tuo sito Web WordPress ora è protetto
Bene se hai eseguito bene tutti i consigli adesso il tuo sito web sarà protetto e puoi continuare a investirci tempo e denaro su di esso. Tieni sempre presente che non si è mai immuni al 100% da attacchi hacker, esistono hacker nel Mondo in grado di entrare anche in sistemi ultra complessi quindi ciò che hai imparato oggi è la base per avere un sito WordPress sicuro e protetto dalla maggior parte di attacchi hacker che giornalmente avviene anche automaticamente come ho spiegato anche prima.
L’ho letto tutto e mi congratulo con te per come spieghi tutti i passaggi in modo molto piacevole. Grazieee