Mantenere sicuro il vostro sito web WordPress è un processo continuo, come prendersi cura della propria salute. Sebbene WordPress sia stato progettato tenendo conto della sicurezza, i problemi possono comunque presentarsi. Questi problemi possono essere causati da plugin obsoleti, password deboli o persino dalle impostazioni del vostro hosting web.
Noi di WPBeginner pensiamo alle verifiche di sicurezza di WordPress come a un check-up del sito web. Vi aiutano a trovare e risolvere i punti deboli prima che qualcuno possa approfittarne. Mantengono il vostro sito in salute e proteggono le informazioni che contiene.
Questo articolo vi mostrerà come verificare la presenza di problemi di sicurezza nel vostro sito WordPress senza causare problemi o interruzioni.
Che cos’è un audit di sicurezza di WordPress?
Eseguire un controllo di sicurezza sul vostro sito web WordPress significa verificare che il sito non presenti segni di violazione della sicurezza. È possibile eseguire un controllo di WordPress per cercare attività sospette, codice maligno o un insolito calo delle prestazioni.
Vi mostreremo come eseguire un controllo di sicurezza di base seguendo semplici passaggi che potete eseguire manualmente. Vi mostreremo anche come utilizzare gli strumenti e i servizi di controllo della sicurezza di WordPress per eseguire automaticamente i controlli di sicurezza.
Se si trova qualcosa di sospetto, è possibile isolarlo, rimuoverlo e risolverlo.
Quando eseguire un controllo di sicurezza di WordPress
Dovreste eseguire una verifica della sicurezza di WordPress almeno una volta al trimestre. In questo modo è possibile tenere sotto controllo tutto e chiudere le falle di sicurezza prima ancora che causino problemi.
Tuttavia, è necessario eseguire immediatamente un controllo di sicurezza se si nota qualcosa di sospetto, come ad esempio:
- Il vostro sito web è diventato improvvisamente lento e poco efficiente.
- Si assiste a un calo del traffico sul sito web.
- Ci sono nuovi account sospetti, richieste di password dimenticate o tentativi di accesso sul vostro sito web.
- Vedete apparire sul vostro sito web dei link sospetti.
Detto questo, vediamo come eseguire facilmente un controllo di sicurezza di WordPress.
Esecuzione di una verifica manuale di base della sicurezza di WordPress
Ecco una lista di controllo di alcuni passaggi che potete seguire per eseguire un controllo manuale di base della sicurezza di WordPress sul vostro sito web.
1. Aggiornare il nucleo, i plugin e i temi di WordPress
Gli aggiornamenti di WordPress sono molto importanti per la sicurezza e la stabilità del vostro sito web. Essi correggono le vulnerabilità della sicurezza, introducono nuove funzionalità e migliorano le prestazioni.
Assicuratevi che il software di base di WordPress, tutti i plugin e i temi siano aggiornati. Potete farlo facilmente visitando la pagina Dashboard ” Aggiornamenti all’interno dell’area di amministrazione di WordPress.
WordPress cercherà se sono disponibili aggiornamenti e li elencherà per consentirne l’installazione. Se avete bisogno di ulteriore aiuto, consultate le nostre guide su come aggiornare correttamente WordPress e come aggiornare correttamente i plugin di WordPress.
2. Controllare gli account utente e le password
Successivamente, è necessario esaminare gli account utente di WordPress visitando la pagina Utenti ” Tutti gli utenti. Cercate gli account utente sospetti che non dovrebbero essere presenti.
Se gestite un negozio online, un sito associativo o vendete corsi online, potreste avere degli account utente a cui i vostri clienti possono accedere.
Tuttavia, se gestite un blog o un sito web aziendale, dovreste vedere solo gli account utente per voi stessi o per qualsiasi altro utente aggiunto manualmente.
Se si notano account utente sospetti, è necessario eliminarli.
Se il vostro sito web non richiede agli utenti di creare un account, dovete visitare la pagina Impostazioni ” Generale e assicurarvi che la casella accanto all’opzione “Chiunque può registrarsi” sia deselezionata.
Come ulteriore precauzione, è necessario modificare la password di amministrazione di WordPress. Consigliamo vivamente di aggiungere l’autenticazione a due fattori per rafforzare la sicurezza delle password sul vostro sito.
3. Eseguire una scansione di sicurezza di WordPress
Il passo successivo consiste nel verificare che il vostro sito web non presenti vulnerabilità di sicurezza. Fortunatamente, esistono diversi scanner di sicurezza online che possono essere utilizzati per verificare la presenza di malware.
Si consiglia di utilizzare IsItWP Security Scanner, che controlla il vostro sito web alla ricerca di malware e altre vulnerabilità di sicurezza.
Questi strumenti sono validi, ma possono analizzare solo le pagine pubbliche del vostro sito web. Vi mostreremo come eseguire controlli più approfonditi più avanti in questo articolo.
4. Controllare i dati analitici del sito web
Le analisi del sito web aiutano a tenere traccia del traffico del sito. Sono anche un ottimo indicatore dello stato di salute del sito.
Se il vostro sito web è stato inserito nella lista nera dei motori di ricerca, vedrete un improvviso calo del traffico. Se il vostro sito web è lento o poco reattivo, le visualizzazioni complessive delle pagine diminuiranno.
Vi consigliamo di utilizzare MonsterInsights per monitorare il traffico del vostro sito web. Non solo mostra le visualizzazioni complessive delle pagine, ma può essere utilizzato anche per monitorare gli utenti registrati, i clienti WooCommerce, le conversioni dei moduli e altro ancora.
5. Impostare e controllare i backup di WordPress
Se non l’avete ancora fatto, dovete impostare immediatamente un plugin di backup per WordPress. In questo modo avrete sempre un backup del vostro sito nel caso in cui qualcosa vada storto.
Molti principianti si dimenticano del plugin di backup di WordPress dopo averlo impostato. A volte, i plugin di backup possono smettere di funzionare senza alcun preavviso. È una buona idea assicurarsi che il plugin di backup sia ancora funzionante e salvi i backup.
Esecuzione di un controllo automatico della sicurezza di WordPress
La lista di controllo di cui sopra consente di esaminare gli aspetti più importanti di un audit di sicurezza. Tuttavia, non si tratta di un processo molto approfondito, il che significa che il vostro sito web potrebbe essere ancora vulnerabile.
Ad esempio, è difficile tenere un registro manuale di tutte le attività degli utenti, delle differenze tra i file, dei codici sospetti e altro ancora. È qui che serve un plugin per automatizzare il controllo della sicurezza e tenere un registro di tutto.
È possibile automatizzare questo processo con l’aiuto di alcuni plugin di sicurezza per WordPress.
1. Esecuzione automatica di un controllo di sicurezza con il registro attività di WP
WP Activity Log è il miglior plugin per il monitoraggio delle attività di WordPress sul mercato.
Consente di tenere traccia di tutte le attività degli utenti sul vostro sito web. È possibile visualizzare tutti gli accessi degli utenti, gli indirizzi IP e ciò che hanno fatto sul vostro sito web.
È possibile monitorare gli utenti di WooCommerce, gli editori, gli autori e gli altri membri che hanno un account sul vostro sito web.
È inoltre possibile attivare gli eventi che si desidera monitorare e disattivare quelli che non si desidera monitorare.
Il plugin mostra anche una vista in tempo reale di tutti gli utenti connessi al vostro sito web. Se notate un account sospetto, potete interrompere subito la sua sessione e bloccarlo.
Per saperne di più, consultate la nostra guida su come monitorare l’attività degli utenti in WordPress utilizzando WP Activity Log.
2. Esecuzione automatica di un controllo di sicurezza con Sucuri
Sucuri è il miglior plugin firewall per WordPress sul mercato ed è anche la migliore soluzione di sicurezza WordPress all-in-one che possiate avere per il vostro sito web.
Fornisce una protezione in tempo reale contro gli attacchi DDoS, bloccando le attività sospette prima ancora che raggiungano il vostro sito web. Questo elimina il carico dal vostro server e migliora la velocità e le prestazioni del vostro sito web.
È dotato di un plugin di sicurezza integrato che controlla i file di WordPress alla ricerca di codice sospetto. Inoltre, consente di ottenere un’analisi dettagliata dell’attività degli utenti sul vostro sito web.
Soprattutto, Sucuri offre la rimozione gratuita del malware con tutti i suoi piani a pagamento. Ciò significa che anche se il vostro sito web è già stato colpito, i loro esperti di sicurezza lo puliranno per voi.
Bonus: Assumere un servizio di manutenzione WordPress
Gestire da soli la sicurezza di un sito web può essere lungo e complicato, soprattutto per gli utenti non esperti di tecnologia. Per questo motivo, per salvare tempo e alleggerire il vostro carico di lavoro, potete prendere in considerazione l’idea di assumere un servizio di manutenzione di WordPress che fornisca un monitoraggio della sicurezza 24 ore su 24, 7 giorni su 7.
WPBeginner Pro Services offre servizi affidabili di manutenzione di WordPress a prezzi accessibili. Include il monitoraggio della sicurezza, i backup di routine, gli aggiornamenti, il monitoraggio dell’uptime e molto altro ancora.
Basta scegliere un pacchetto di manutenzione mensile e potrete rilassarvi sapendo che la sicurezza del vostro sito web è curata da esperti.
Guide di esperti sulla sicurezza di WordPress
Speriamo che questo articolo vi abbia aiutato a capire come eseguire una verifica della sicurezza di WordPress sul vostro sito web. Potreste anche voler consultare altre guide relative alla sicurezza di WordPress:
- Come forzare le password forti agli utenti in WordPress
- Come proteggere il vostro sito WordPress dagli attacchi Brute Force
- I motivi principali per cui i siti WordPress vengono hackerati (e come prevenirli)
- Segni che il vostro sito WordPress è stato violato (Suggerimenti degli esperti)
- Come scansionare il vostro sito WordPress alla ricerca di codice potenzialmente dannoso
- Come trovare una backdoor in un sito WordPress violato e ripararlo
- Come creare un piano di ripristino di emergenza per WordPress
Se questo articolo vi è piaciuto, iscrivetevi al nostro canale YouTube per le esercitazioni video su WordPress. Potete trovarci anche su Twitter e Facebook.
Eva
1st step to fight daily brute force attacks attempts is to change the default login url.
WPBeginner Support
Instead of changing the login url we would normally recommend using a plugin like limit login attempts as changing the login URL has a higher chance of causing problems for beginners.
Admin
Eva
Well, I do both! And many more. Security is my number one priority. I see what you mean, but most words are as easy to memorize as /wp-admin or /wp-login especially for beginners in my opinion.
WPBeginner Support
It is less about remembering the login URL and more about if there are any errors when trying to change the URL, most beginners don’t have the tools to fix the login address.
Eva
I see, good point! In many cases, just renaming the plugin directory by FTP is enough to disable it and access again through /wp-login. But I get it, it is not beginner-friendly!
DW
Yeah, doing the login URI really doesn’t do much. It’s a technique known as “security by obscurity” – basically security by “hiding”.
If someone is determined to get into your website, using these “Security by obscurity” techniques would at best slow them down by a few minutes. It’s not really a substitute for properly securing your website.
You’re far better off securing your website properly. Techniques like plugins to prevent brute force attacks, enforcing strong passwords, enforcing multi-factor authentication for at the very least admin accounts, and if you have the luxury of having a Static IP address creating an .htaccess file that only allows access to the admin page from your IP address are all far better solutions.