7 modi per correggere i siti compromessi da WordPress + 17 passaggi di sicurezza da proteggere

WordPress violato

Potrebbero esserci molti sistemi di gestione dei contenuti in giro, ma nessuno di loro può reggere il confronto con WordPress. Con Oltre 51.6 milioni di siti a marzo 2020 (e aumenta ogni giorno) ti dà un'idea di quanto sia enormemente superiore e amato questo sistema. Sicurezza di WordPress e suggerimenti utili per prevenire l'hacking di WordPress, tuttavia: il CMS ha ancora molta strada da fare quando si tratta di sicurezza.

Tuttavia, vogliamo aiutarti a proteggere il tuo sito web sin dall'inizio: prevenire è meglio che curare, quindi assicurati di seguire questi suggerimenti, in questo, uno dei nostri numerosi tutorial su WordPress - OGGI.

Contenuti[Mostra]

Questi milioni di siti, tuttavia, affrontano anche gravi attacchi da parte di script kiddies che non hanno niente di meglio a che fare con il loro tempo ma diffondono miseria in lungo e in largo, e altri con ragioni più nefaste e dannose, gli oscuri attori del web: gli hacker.

È abbastanza comune svegliarsi una mattina per trovare il tuo sito web un tempo bellissimo che diventa poetico pieno di link e testi su pillole per l'ingrandimento a base di erbe, o altri farmaci loschi o qualche causa in Medio Oriente. 

Urlare in modo incoerente è probabilmente la prima linea di azione che intraprenderai quando il tuo sito ospita annunci a pagina intera, link e reindirizzamenti ad aspetti più oscuri delle aziende "farmaceutiche".

Se questo scenario ti terrorizza, è giustificato sentirti in quel modo.

Ogni giorno 90,000 siti Web vengono violati

Fonte: HostingFacts

Tutti vogliono impedire l'hacking di WordPress. Perché il ripristino e il ripristino di un sito Web possono richiedere molto tempo e impegno.

Quindi rafforza il tuo sito web con queste migliori pratiche di sicurezza di WordPress, per evitare che quell'orribile destino ti accada! E sì, ci vorrà del tempo e sforzi continui per evitare attacchi di hacking.

Non ti piace sporcarti le mani con il codice? Prova la sicurezza di iThemes e lascia che faccia il lavoro sporco. Fare clic su questo collegamento per ottenere uno sconto del 25% fino al Giugno 2021.

Se non vuoi passare attraverso un sacco di confusione di file, abilitazione di diversi plug-in e molte altre cose che non capisci veramente, abbiamo anche una facile via d'uscita per te. iThemes Security è il miglior plugin di sicurezza WP per proteggere e proteggere il tuo sito web.

Non sei ancora interessato ai plugin WP? Continuare a leggere!

Inviami la lista di controllo per la sicurezza di WordPress

Lavoreremo fino a un po 'di lavoro sul codice, ma prima, occupiamoci delle basi dei problemi di sicurezza del sito web. Iniziare con:

17 passaggi per la sicurezza di WordPress

1. La prevenzione dell'hacking di WordPress inizia dalla tua workstation

Questo è il primo e il più facilmente trascurato: il tuo computer.

Dovresti sempre mantenere il tuo sistema libero da malware e virus, soprattutto se accedi a Internet con esso (cosa che sei, ovviamente). La protezione della workstation è ancora più essenziale quando si eseguono transazioni e si dispone di un sito Web perché tutto ciò che serve è un keylogger per mettere fuori combattimento i siti web più resistenti.

Un keylogger leggerà tutti i tuoi nomi utente e password e li invierà agli hacker, il che ovviamente creerà tutta una serie di problemi e problemi per il tuo sito web.

Stai al sicuro e aggiorna regolarmente il tuo sistema operativo, software e browser sul tuo computer. Usa un buon servizio antivirus. Tieni gli occhi aperti per qualsiasi vulnerabilità del tuo sistema e rimuovila prima che diventi un enorme dolore. Se il tuo computer inizia a comportarsi in modo strano, facendo apparire pubblicità e altre cose pericolose, potresti voler controllare prima di accedere al tuo sito web 

2. Installa tutti gli aggiornamenti di WordPress

Proteggi WordPress tramite i suoi aggiornamenti

Ogni volta che viene rilasciata una nuova versione di WordPress, lo fa con grande clamore e nel bel mezzo di un'ondata di eccitazione.

La maggior parte di noi è entusiasta, perché, ehi, nuove caratteristiche! Gli hacker sono entusiasti perché andranno immediatamente a controllare il file Note sulla versione di sicurezza e manutenzione. Sfortunatamente, ciascuno WordPress aggiornamento porta con la scoperta di una serie di vulnerabilità di sicurezza di WordPress nelle versioni precedenti.

Con ogni nuovo aggiornamento di WordPress, otteniamo funzionalità e aggiornamenti aggiuntivi, insieme a una pagina che elenca i difetti di sicurezza nella versione precedente e le loro correzioni.

Quella pagina è praticamente un cheat-sheet per gli hacker ovunque. Se non riesci ad aggiornare in tempo, quei difetti verranno sfruttati per acquisire siti su versioni precedenti (e il tuo sito potrebbe essere tra questi se non esegui l'aggiornamento).

E se il tuo sito viene violato, sfortunatamente, sarà troppo tardi per trovare scuse per non aggiornare all'ultima versione.

Quindi non dare agli hacker la possibilità di divincolarsi. Installa l'ultima versione di WordPress non appena viene rilasciata.

Se hai paura che rovini il tuo sito web, assicurati di avere un backup funzionante prima di eseguire l'aggiornamento. La versione aggiornata risolverà tutti i problemi di sicurezza che esistevano nella versione precedente e fa un modo molto molto lungo per prevenire gli hack di WordPress.

Vuoi che il tuo sito web venga aggiornato automaticamente? Dai un'occhiata a InMotion VPS per il tuo hosting - hanno eccellenti funzionalità specifiche per WordPress in modo da poter aggiornare il tuo sito automaticamente non appena sono disponibili. Siamo su un InMotion VPS e lo adoriamo!

3. Assicurati che il tuo server di hosting sia sicuro

 

Sapevi che entro il 2019, circa il 54% dei siti web utilizza ancora PHP 5.x, una versione di PHP che è terminata e quindi non riceve alcun aggiornamento di sicurezza. Ciò significa che tutti i siti in esecuzione su PHP 5.4 sono vulnerabili agli attacchi tramite vulnerabilità del software server. (Fonte Sucuri Hacked Website Report 2019)

Anche la versione 7.1 di PHP è terminata il 1 ° dicembre 2019. Le vecchie versioni di software come queste non sono più supportate e presentano vulnerabilità che non sono state patchate!

Queste vecchie versioni di software sono soggette ad attacchi informatici.

Se sei a conoscenza del fatto che il tuo sito web ospita PHP 5 o forse PHP fino a 7.1, chiedi al tuo host di verificare se il tuo sito può essere spostato su una versione più recente di PHP.

Non solo quello, ma il la maggior parte dei siti web / blog sono ospitati su server condivisi. Fondamentalmente, se un sito su un server condiviso viene infettato, ogni altro sito è a rischio, indipendentemente da quanto sia sicuro il sito / blog.

Verrai violato non per colpa tua.

Esercizio di pensiero: sei mai stato in una mensa dei poveri? Riuscite a immaginarne uno e immaginare cosa succede lì dentro? Se sei uno di quelli abbastanza fortunati da essere sfuggito a quella parodia, ti do un assaggio (gioco di parole). Pensa a tutto ciò che è mai accaduto da quando la cucina è nata, fuoriuscite e rotture, perdite e schizzi. In un server di mensa dei poveri, quelle cose non sono mai sparite. Diventano parte della cucina.

Ora immagina che lo stesso accada al tuo sito. Un server di hosting di una società che salta la manutenzione e non si aggiorna alle ultime versioni del software è già stato trasformato in una mensa dei poveri.

Inoltre, se tu o il tuo webmaster ospitate diversi siti Web insieme, file, dati, siti e altro inutilizzati si accumulano fino a diventare una minaccia per i siti correnti.

Quindi scegli un affidabile e sicuro ospite.

VPS e hosting gestito riducono al minimo le possibilità di violazione ed è eccellente per i siti di e-commerce. Se l'hosting condiviso è abbastanza per te, controlla la loro sicurezza prima di iscriverti per spazio su di loro.

Assicurati di controllare che mantengano i loro server regolarmente mantenuti e che si aggiornino anche alle ultime versioni del software. Questo è un altro passaggio che dovrebbe essere nella tua lista di priorità se vuoi prevenire l'hacking di WordPress.

4. Utilizzare trasmissioni sicure per impedire l'intercettazione di password e dati

Su una connessione non protetta, i dati possono essere intercettati e l'utente può essere violato prima di poter dire "non crittografato".

Questo è il motivo per cui dovresti concentrarti su connessioni di rete sicure e crittografie: lato server, lato client e tutti i lati. Trova un host che consenta la crittografia SFTP / SSH per proteggere i tuoi dati e le tue informazioni da intercettazioni dannose.

Il tuo sito dovrebbe anche avere un'estensione certificato protetto installato e impostati in modo che quando effettui l'accesso, le tue credenziali vengano trasmesse in modo sicuro.

5. Prevenire l'hacking tramite password complesse

Password complesse per una maggiore sicurezza

Suggerimento essenziale: crea una password complessa e non riutilizzare MAI le password

Il nostro prossimo passo su come proteggere WordPress dagli hacker parla di un argomento molto cliché: le password.

Un numero sorprendente di persone pensa che le password lunghe e complicate siano sopravvalutate e preferiranno qualcosa di più breve e più facile da ricordare; un fatto che gli hacker conoscono e traggono vantaggio.

Non c'è altro modo per dirlo: una buona password complessa composta da lettere, numeri e qualsiasi altro carattere valido farà davvero molto per proteggere il tuo blog.

Un attacco hacker a forza bruta può funzionare su una password breve utilizzando una parola semplice (ad esempio una parola chiave del dizionario o una password comune facile), sì. Ma più caratteri ci sono nella tua password, più tempo ci vorrà per decifrarla.

Ci vuole esponenzialmente più tempo per decifrare password lunghe e complesse.

Quello che stai cercando di fare è rompere gli schemi conosciuti per rendere difficile, se non impossibile, l'hacking.

Qualsiasi dettaglio personale o password basata su di essi (come compleanni o nomi di persone) sarà facile da decifrare. Non utilizzare nemmeno parole singole (indipendentemente dalla lunghezza), solo lettere o solo numeri.

Crea una password facile da ricordare ma difficile da indovinare per impedire l'hacking di WordPress: se il tuo blog riguarda la sicurezza, fallo in modo simile pressmyWORDSand5ecurit! $ 

Inviami la lista di controllo per la sicurezza di WordPress

6. Mantieni i tuoi database protetti e isolati

Il tuo database sa tutto quello che è successo sul tuo sito. È una vera fonte di informazioni e questo lo rende irresistibile per gli hacker.

I codici automatizzati per le iniezioni SQL possono essere eseguiti per hackerare il database del tuo sito web con relativa facilità. Se gestisci più siti / blog da un unico server (e database), tutti i tuoi siti sono a rischio.

Come dice la risorsa del codice, è meglio utilizzare database individuali per ogni blog / sito e dare loro la possibilità di gestirli da utenti separati. In termini semplici, ogni sito Web ospitato dovrebbe avere il proprio database e il proprio utente del database.

Solo quell'utente del database dovrebbe avere accesso al database.

Puoi anche revocare tutti i privilegi del database tranne dati letti scrittura dei dati da utenti che lavoreranno solo con la pubblicazione / caricamento di dati e l'installazione di plug-in.

Non è consigliato, però, a causa di modifica dello schema privilegi richiesti negli aggiornamenti principali.

Dovresti anche rinominare il tuo database (cambiando il suo prefisso) per sviare gli hacker che puntano i loro attacchi su di esso. Sebbene ciò non impedisca di per sé l'hacking di WordPress, garantisce che se un database viene compromesso, gli hacker non possono passare alla successiva installazione di WordPress.

7. Nascondi il login del tuo sito web e il nome dell'amministratore

Il prossimo passo su come proteggere WordPress dagli hacker riguarda l'amministratore di WordPress.

Lasciare intatte le impostazioni predefinite di WordPress è praticamente chiedendo per guai.

È ridicolmente semplice trovare il nome dell'amministratore del tuo sito se non lo nascondi attivamente.

Tutto ciò di cui un hacker ha bisogno è aggiungere ? autore = 1 dopo il tuo URL e la persona / membro che si presenta è molto probabilmente l'amministratore. Immagina quanto sarebbe facile per gli hacker usare la forza bruta una volta trovato il nome utente dell'amministratore.

Come puoi prevenire l'hacking se lasci così tante informazioni disponibili, semplificando lo sfruttamento?

Soluzione per scoraggiare gli hack di WordPress: nascondi tutti i nomi utente con questo codice nel file functions.php:

add_action ('template_redirect', 'bwp_template_redirect');
funzione bwp_template_redirect ()
{
  if (is_author ())
  {
    wp_redirect (home_url ()); Uscita;
  }
}

 

Anche la tua pagina di accesso è di facile accesso, e non solo per te. Se aggiungi semplicemente wp-admin o wp-login.php dopo l'URL della tua home page, inserisci il nome utente che abbiamo appreso da? Author = 1, tutto ciò che rimane è un po 'di forzatura o indovinare fino a quando una password non viene decifrata. 

Usa la tecnica della "sicurezza per oscurità" e modifica l'URL della tua pagina di accesso per rendere un po 'più difficile il lavoro degli hacker.

I plugin di sicurezza come iThemes Security hanno un'impostazione Nascondi login che rimuoverà un facile accesso al login di WordPress.

nascondere il login di backend

Ancora una volta, fare questo semplice passaggio contribuirà molto a prevenire l'hacking di WordPress.

Non sei sicuro di poter affrontare tutto questo?

Bisogno di aiuto? Dai un'occhiata a iThemes Security Pro: un plug-in e il tuo sito web è al sicuro. Garantito. Fare clic sui collegamenti sottostanti per visitare il sito.

8. Prevenire l'hacking tramite plugin di sicurezza di WordPress e trucchi per proteggere wp-admin

 

Il tuo wp-admin è la parte più importante della tua installazione di WordPress - quella con più "potenza".

Sfortunatamente, la pagina di accesso e la directory di amministrazione sono disponibili per tutti, compresi quelli con intenti dannosi. Per proteggerlo e fermare gli attacchi di hacking, dovrai lavorare un po 'di più.

iThemes Sicurezza

Una password complessa, un account amministratore diverso (con un nome utente tutt'altro che 'admin'), e utilizzando il plug-in iThemes Security per rinominare i collegamenti di accesso ti aiuterà sicuramente a prevenire l'hacking.

ithemes plugin di sicurezza per wordpress

Dai un'occhiata a iThemes Security

Malcare

Puoi anche rafforzare la guardia intorno all'amministratore con plug-in di sicurezza del sito Web come Malcare.

Questo servizio classificato a 5 stelle è uno che abbiamo scoperto abbastanza di recente.

dashboard di sicurezza del sito malcare

 

Malcare è sviluppato dal team dietro Blogvault, che abbiamo già utilizzato e che abbiamo trovato sorprendente.

La loro ultima offerta offre un servizio completo di sicurezza e gestione del sito web. Offre personale come la scansione dei file per le modifiche principali (per rilevare gli hack), la pulizia di emergenza, un firewall integrato per bloccare il traffico dannoso, l'aggiornamento di temi e plug-in direttamente dalla dashboard e backup con un clic.

La cosa migliore è che puoi gestire TUTTI i tuoi siti da una singola dashboard, senza dover accedere a ognuno di essi individualmente.

Dai un'occhiata a Malcare

Limita tentativi di accesso ricaricati

Con un po 'di codice abbinato a tentativi di accesso illimitati, qualsiasi hacker finirà per irrompere.

È possibile limitare il numero di tentativi di accesso che ogni singolo utente può eseguire nella pagina di accesso dell'amministratore utilizzando Limita i tentativi di accesso Plugin ricaricato. Limiterà il numero di tentativi di accesso per ciascun indirizzo IP, incluso il tuo (con i cookie di autenticazione).

limitare il tentativo di accesso ricaricato screenshot

SSL davvero semplice

Usa la potenza di SSL privato per proteggere l'accesso, l'area, i post e altro ancora dell'amministratore. Usando il Plugin SSL davvero semplice abilita la crittografia nelle sessioni di accesso, il che significa che la password è difficile da intercettare.

Dovrai ottenere un certificato SSL e installarlo sul tuo server di hosting. InMotion offre certificati SSL gratuitamente sui loro piani di hosting, quindi se non l'hai ancora fatto, forse è il momento di passare a InMotion per ottenere anche il tuo SSL.

Dopo aver confermato con il tuo provider di hosting che hai SSL condiviso, puoi attivare il plug-in.

Se preferisci non utilizzare un plug-in ma desideri forzare SSL solo all'accesso, aggiungi questo codice al file wp-config.php:

define ('FORCE_SSL_ADMIN', true);

Acunetix WordPress sicuro

Questa plug-in è un'ottima soluzione di sicurezza in generale, ma alcune caratteristiche chiave lo rendono ancora migliore.

Prima di tutto, esegue una scansione della sicurezza del sito web. Presta anche molta attenzione alle misure preventive in modo da impedire effettivamente che si verifichi l'hacking di WordPress in primo luogo. Per proteggere l'area di amministrazione, rimuoverà le informazioni di errore dalla pagina di accesso.

Potrebbe non sembrare molto, ma il messaggio di errore aiuta effettivamente gli hacker a scoprire se hanno ottenuto qualcosa di giusto. La rimozione del messaggio (suggerimento) toglie questo vantaggio.

Se vuoi evitare l'hacking, installa almeno alcuni di questi plugin.

Suggerimento: il resto dell'articolo contiene suggerimenti avanzati sulla sicurezza del sito web

Il resto dei suggerimenti richiede di armeggiare con l'installazione di WordPress, il che comporta alcuni rischi. Se preferisci non armeggiare con la tua installazione, potresti farlo assumere uno sviluppatore WordPress per aiutarvi.

9. Come proteggere WP tramite wp-includes

Cerchiamo di capire: il file wp-includes la cartella è una parte fondamentale di WordPress. Dovrebbe essere lasciato solo, anche da te. E in nessun modo dovrebbe essere lasciato accessibile a potenziali hacker.

Per impedire a persone / bot dannosi di inviare script indesiderati direttamente al cuore del tuo sito web per prevenire attacchi di hacking.

Aggiungi questo prima #BEGIN WordPress nel tuo file .htaccess:

# Blocca i file di sola inclusione.

  RewriteEngine On
  RewriteBase /
  RewriteRule ^ wp-admin / includes / - [F, L]
  RewriteRule! ^ Wp-includes / - [S = 3]
  RewriteRule ^ wp-includes / [^ /] + \. Php $ - [F, L]
  RewriteRule ^ wp-includes / js / tinymce / langs /.+ \. Php - [F, L]
  RewriteRule ^ wp-includes / theme-compat / - [F, L]

# BEGIN WordPress

 

Nota che dovrai farlo omettere la terza RewriteRule se vuoi che il codice funzioni su Multisite.

10. Proteggi il tuo wp-config per una maggiore sicurezza del sito web

Questa è una delle questioni un po 'controverse. Non tutti sono d'accordo con questo.

Indipendentemente dal fatto che tu sposti o meno wp-config.php fuori dalla cartella principale, non si può negare che un po 'di modifica del codice in questo file può aiutare a rafforzare il tuo sito web e rendere più difficile eseguire hack di WordPress.

Non sei sicuro di poter gestire tutte queste cose tecnologiche? Ce n'è uno plugin di sicurezza per dominarli tutti

  • Inizia con disabilitare la modifica dei file PHP dalla dashboard, che è dove l'aggressore si concentrerà dopo aver hackerato tramite un punto di accesso. Aggiungilo a wp-config.php

define ('DISALLOW_FILE_EDIT', true);

  • $ table_prefix viene posizionato prima di tutte le tabelle del database. Puoi prevenire attacchi basati su SQL injection modificando il suo valore dal valore predefinito wp_. Fai attenzione se lo fai, dovrai rinominare qualsiasi tabella esistente con il nuovo prefisso impostato.

$ table_prefix = 'r235_';

  • Sposta la directory wp-content dalla sua posizione predefinita con this

define ('WP_CONTENT_DIR', $ _SERVER ['DOCUMENT_ROOT']. '/ blog / wp-content');
define ('WP_CONTENT_URL', 'https: // example / blog / wp-content');
define ('WP_PLUGIN_DIR', $ _SERVER ['DOCUMENT_ROOT']. '/ blog / wp-content / plugins');
define ('WP_PLUGIN_URL', 'https: // example / blog / wp-content / plugins');

Ora, se non sei un file sviluppatore, non utilizzi molto i log degli errori. Puoi impedire loro di essere accessibili con questo:

segnalazione_errore = 4339
display_errors = Spento
display_startup_errors = Spento
log_errors = On
error_log = /home/example.com/logs/php_error.log
log_errors_max_len = 1024
ignore_repeated_errors = Attivato
ignore_repeated_source = Disattivato
html_errors = Disattivato

 

11. Esegui il backup del tuo sito web (per ogni evenienza)

Backup di Wordpress

Questa è la rete di sicurezza. Un backup è una delle prime cose di cui avrai bisogno per ripristinare il tuo sito se vieni violato.

Esegui il backup del tuo sito almeno con la frequenza con cui esegui la manutenzione o lo aggiorni. Non ci sono scuse per essere rilassati in questo reparto, non quando ci sono alcuni eccellenti servizi di backup e plugin che eseguiranno backup automatici per te. Alcuni suggerimenti per i plugin includono:

Letture consigliate: Native vs plugin: backup di WordPress utilizzando metodi diversi

Crea una pianificazione e lascia che il plug-in faccia il resto.

Alcuni di questi plugin sono dotati di facili opzioni di ripristino. Verificare che il plug-in esegua il backup dell'intero sito, inclusi tutti i database e le directory. Sebbene ciò non prevenga gli hack di WordPress, ti dà la tranquillità di ripristinare il tuo sito se accade l'impensabile.

Inviami la lista di controllo per la sicurezza di WordPress

12. Utilizzare fonti attendibili solo per i download

 

Se hai un budget limitato (e anche se non lo sei), potresti essere tentato dall'opzione di ottenere gratuitamente tutte le caratteristiche e le funzionalità dei plugin / temi premium: plugin piratati o crackati.

Non puoi superare in astuzia un hacker se stai scaricando materiale premium da fonti di cattiva reputazione o non autorizzate: torneranno per morderti. Hanno una cattiva reputazione perché riempiranno quei plugin / temi "premium" legittimi con malware e ti lasceranno fare il resto.

Plugin o temi crackati conterranno backdoor nascoste, che consentiranno loro di assumere il controllo del tuo sito a piacimento. L'utilizzo di un tale download sarà tutto ciò di cui hanno bisogno per convertire l'aspetto online del tuo marchio in un gigantesco poster per pillole di ingrandimento o, peggio ancora, malware.

non utilizzare download piratati o annullati

Il tuo sito verrà rapidamente inserito nella lista nera, anche dai motori di ricerca e dai browser se contiene malware. 

Questa è una tattica nota e molto popolare degli hacker.

temi annullati

Temi e plugin piratati sono pieni di backdoor e malware. Questo è uno dei problemi di sicurezza di WordPress più facili da risolvere davvero. È meglio scegliere un tema attendibile da una fonte attendibile, come quella che abbiamo esaminato qui: Tema Avada

Roba pirata, annullata o crackata? Non preoccuparti.

Sei bravo con i temi ufficiali e le directory dei plugin, quindi prova ad attenersi a quelli. Puoi anche fidarti di fonti come ElegantThemes, Theme Forest, Code Canyon, ecc.

13. Proteggi il tuo sito web con l'aspetto di un professionista

Un rookie è più facile da hackerare.

Almeno, questo è ciò che pensa la maggior parte degli hacker (non in modo errato). 

Cambia tutte le impostazioni predefinite: post, commenti, nomi utente, nomi di directory, ecc.

È più facile durante la configurazione.

Se hai già il tuo WordPress attivo e funzionante, vai su Impostazioni> Varie (nei controlli di amministrazione) per cambiare i nomi delle directory. Questo sarà un altro passo nella tua unità per fermare i problemi di sicurezza di WordPress e rendere molto più difficile l'hackerare il tuo sito.

Per nascondere la versione di WordPress in uso, ricordati di farlo delete /wp-admin/install.php wp-admin / upgrade.php. Fai un ulteriore passo avanti e rimuovi tag meta generator ("") da wp-content / your_theme_name / header.php. Dovresti anche rimuovere i dettagli della versione dal feed RSS.

Per fare ciò, apri wp-includes / general-template.php. Intorno alla linea 1860 troverai questo:

funzione the_generator ($ args) {
  echo apply_filters ('the_generator', get_ the_generator ($ args), $ args). "\ n";
}

Aggiungi un hash prima 'eco' comando e sei in ordine.

funzione the_generator ($ args) {
  #echo apply_filters ('the_generator', get_ the_generator ($ args), $ type). "\ n";
}

14. Una buona sicurezza di WordPress richiede buone autorizzazioni per i file

La regola pratica è 755 per le directory e 644 per i file.

Sebbene ciò possa variare a seconda del server e del tipo di file in questione, nella maggior parte dei casi dovresti lavorare molto bene con queste autorizzazioni.

Sarebbe meglio chiedere al tuo host di controllare o, se hai accesso diretto, puoi farlo da solo.

Per le directory:

trova / percorso / del / tuo / wordpress / install / -type d -exec chmod 755 {} \;

Per i file:

trova / percorso / del / tuo / wordpress / install / -type f -exec chmod 644 {} \;

15. Sicurezza del sito web: non impostare mai i permessi dei file su 777

Se sei seriamente intenzionato a fermare gli hacker di WordPress, non impostare MAI il permesso di file / directory su 777 a meno che tu non voglia dare il controllo completo su di esso a tutti, inclusi gli hacker.

C'è una tendenza molto pericolosa tra i principianti a impostare i permessi dei file su 777, "perché è facile", o "perché lo aggiusteremo più tardi", o "perché lo cambierò più tardi".

Questo è anche estremamente pericoloso - 777 significa che chiunque su Internet può modificare il contenuto di quel file.

Con queste autorizzazioni impostate, il tuo sito web è una casa aperta. Una volta che hanno accesso a un file, ti assicuriamo che è molto facile passare ad altri file o installare backdoor e altre cose sgradevoli sul tuo sito.

Il progetto Il codice WordPress ha una guida completa ai permessi dei file: come modificarli e le autorizzazioni consigliate per alcuni file.

Devi bilanciare la protezione del tuo sito web con la funzionalità, quindi inizia in basso e aumenta gradualmente le autorizzazioni finché non lo ottieni correttamente. Le giuste autorizzazioni sui file aiuteranno sicuramente a evitare l'hacking del sito web. Ancora una volta, questo è uno dei problemi di sicurezza di WordPress più facili da prevenire, devi solo esserne consapevole.

16. Consenti l'accesso all'amministratore di WP e accedi al tuo IP solo tramite il filtro IP

Un modo molto semplice ed elegante per limitare l'accesso alla pagina di accesso e all'area di amministrazione è tramite il filtro IP.

Tutto quello che devi fare è aggiungere questo codice a .htaccess. Questo suggerimento viene fornito con grazie a Sucuri, che fornisce un eccellente servizio di sicurezza per WordPress


Ordine Nega, Consenti
Rifiutato da tutti
Consenti da [Aggiungi qui i tuoi indirizzi IP]

Ora funziona solo per IP statici, ma puoi fare lo stesso per IP dinamici con questo:


Ordine Nega, Consenti
Rifiutato da tutti
Consenti da [Aggiungi qui il tuo nome di dominio]

Per limitare l'accesso a directory wp-admin, aggiungi questo a .htaccess:


Ordine Nega, Consenti
Rifiutato da tutti
Consenti da [Aggiungi qui i tuoi indirizzi IP]

Per nome di dominio:


Ordine Nega, Consenti
Rifiutato da tutti
Consenti da [Aggiungi qui il tuo nome di dominio]

Fonte: blog.Sucuri.net

17. Plugin di sicurezza per bloccare gli hack di WordPress

Sebbene non tendiamo a sostenere l'uso di molti plugin, quando si tratta di Plugin di sicurezza di WordPress, ce ne sono alcuni che potresti voler installare per aumentare la resilienza del tuo sito.

Plugin per la sicurezza di Wordress

  • iThemes Security Pro - Ascolta, molte delle azioni di cui sopra sono un po 'tecniche senza dubbio. Lo abbiamo capito. Se non sei tecnicamente propenso, abbiamo la soluzione per te. iThemes Security è il miglior plugin per la sicurezza di WordPress per proteggere e proteggere il tuo sito web.

  • Installazione Plugin WP Security Audit Log - questo è il plug-in del registro delle attività di WordPress più completo. Il plug-in tiene traccia di tutto ciò che accade sul tuo sito Web WordPress in un registro di controllo (noto anche come Registro delle attività di WordPress) in modo da tenere a bada gli hacker. Questo perché puoi identificare i loro tentativi di attacco prima che entrino effettivamente nel tuo sito Web WordPress, avendo così il tempo di contrastare le loro azioni dannose. Visualizzatore registro di controllo 

Google Authenticator Autenticazione a due fattori Duo sono ottime scelte per aggiungere un ulteriore livello di protezione alla tua pagina di accesso. Un codice di autorizzazione verrà inviato alla tua email / cellulare, senza il quale l'utente / hacker non sarà in grado di accedere.

C'è qualcosa di meglio di un bel barbecue? Questo plugin bloccherà le stringhe URI contenenti eval (base 64 e altre stringhe di richiesta sospettosamente lunghe.

Controlla il tuo tema per malware e backdoor nascoste con questo plugin prima che qualcuno sfrutti quei punti deboli in un sito / blog altrimenti sicuro.

  • Plugin antivirus

Questo è un gioco da ragazzi. Esegui scansioni frequenti del sito ed eliminali prima che si diffondano. Plugin / servizi come SucuriWordfence, ecc. Citato in precedenza, Acunetix Secure WordPress è un altro buono. Sfrutta lo scanner controllerà anche il tuo sito alla ricerca di codice dannoso.

Se sei interessato, abbiamo scritto un ottimo confronto su Sucuri contro Wordfence che confronta questi due grandi ragazzi testa a testa.

Inviami la lista di controllo per la sicurezza di WordPress

La lista di controllo essenziale per la piena sicurezza del sito web - Versione YouTube

Grazie a Webucator, un fornitore di Formazione su WordPress, abbiamo creato questo elenco di controllo come video.

DNutpR5VpT0

La nostra parte successiva di questo articolo si occupa della correzione di un hack di sicurezza di WordPress, una volta che è accaduto.

Sito web violato? 7 passaggi per ripristinare completamente il tuo sito web

Sucuri pubblica un rapporto sulle tendenze del sito web compromesso per ogni trimestre. Nella loro ultimo rapporto, hanno rivelato che varie versioni di WordPress hanno alimentato il 94% dei siti compromessi nel 2019

I siti WordPress compromessi rimangono un vero problema. Essendo la piattaforma più popolare per la creazione di siti Web, la possibilità di essere violati è significativamente più alta per i siti WordPress.

Ciò non sorprende poiché WordPress è di gran lunga la piattaforma più grande per creare nuovi siti Web. Finché WordPress rimarrà popolare, gli hacker continueranno a trovare redditizio cercare le vulnerabilità nei siti WordPress. È davvero un gioco di numeri.

E non importa quali misure preventive prendi; è impossibile garantire la perfetta sicurezza per qualsiasi sito web. Quello che puoi fare è rendere più difficile l'hackeraggio in modo che quelli che cercano frutta bassa non si preoccupino o non riescano a hackerarlo.

In questo tutorial, ti presenteremo 7 passaggi da eseguire per riparare un sito compromesso da WordPress.

Prima di iniziare la procedura, scopriamo innanzitutto cosa causa il problema. In generale, esistono due tipi di vulnerabilità:

  1. Vulnerabilità comuni e
  2. Vulnerabilità di sicurezza.

Diamo uno sguardo più da vicino a ciascun tipo. Entrambi i tipi possono essere sfruttati dagli hacker.

Prima di iniziare, il ripristino di un sito Web compromesso non è qualcosa che può essere intrapreso da persone senza una conoscenza sufficiente. Si consiglia vivamente di chiedere aiuto a Gli sviluppatori di WordPress che sono altamente qualificati prima di tentare di farlo se non ti senti a tuo agio ad armeggiare.

Vulnerabilità comuni che si traducono in siti WordPress compromessi

Le vulnerabilità comuni possono provenire dalla tua macchina locale o dal provider di hosting. La maggior parte di noi ha probabilmente familiarità con questi tipi di problemi.

Questi problemi possono verificarsi se il PC o la rete locale è compromessa. Quando gli hacker accedono al tuo PC o alla rete, possono facilmente prendere di mira un sito Web di tua proprietà, con il risultato di un sito WordPress compromesso o compromesso.

È possibile evitare queste situazioni utilizzando strumenti di scansione antivirus e antimalware affidabili. È necessario applicare il buon senso quando si utilizza Internet. Comodo e Malwarebytes hanno alcuni suggerimenti utili per proteggere il tuo PC dagli hacker. La maggior parte di questi sono abbastanza di buon senso se ci pensi, cose come mantenere aggiornato il software sia per il tuo desktop di lavoro che per le periferiche come il tuo router Internet. 

usa l'antivirus

Il secondo tipo di vulnerabilità può derivare dal tuo provider di hosting, soprattutto se utilizzi un pacchetto di hosting condiviso. Come forse saprai, un pacchetto di hosting condiviso condivide il server tra numerosi utenti.

Se uno di questi utenti non segue le migliori pratiche, l'intero server è seriamente minacciato. Ovviamente, in uno scenario di hosting condiviso, è altamente improbabile che tutti gli utenti utilizzino buone pratiche di sicurezza, quindi i pacchetti di hosting condiviso sono per definizione rischiosi.

In alcuni casi, un sito in un pacchetto di hosting condiviso viene compromesso e consente all'hacker di spostarsi lateralmente o di saltare su altri siti sullo stesso server. In questo caso, devi consultare il tuo provider di hosting e loro prenderanno le misure necessarie.

Ciò significa che, anche se il tuo sito è completamente aggiornato e protetto, potresti comunque ritrovarti con un sito compromesso da WordPress.

Per inciso, se stai cercando un provider di hosting molto sicuro, dovresti prendere seriamente in considerazione la lettura del nostro Recensione di hosting di InMotion - ci sentiamo molto ben protetti su questo servizio.

Ora che abbiamo identificato le vulnerabilità comuni, diamo uno sguardo agli aspetti di sicurezza.

Violato attraverso le vulnerabilità

Ci sono diversi tipi di vulnerabilità di sicurezza per WordPress. Parleremo di quelli che sono i più comuni:

Combinazioni di nome utente / password deboli

Non dovremmo parlarvi dell'importanza di utilizzare una password sicura. Dalla versione 3.0, lo stesso WordPress si è concentrato maggiormente sul forzare gli utenti a utilizzare una password complessa, ad esempio, è presente una funzione di rilevamento della sicurezza della password integrata nella dashboard dell'amministratore.

La regola pratica è che non dovresti mai usare alcun nome utente prevedibile (come admin) e utilizzare sempre password complesse. Ciò renderà più difficile per gli hacker accedere al tuo sito.

Bug e vulnerabilità di temi / plugin 

Sebbene sia una buona pratica utilizzare temi e plug-in familiari, a volte i prodotti popolari possono avere un'estensione difetto di sicurezza nascosto pure. Se ciò accade, probabilmente ne sentirai parlare su popolari blog di notizie IT e altre fonti di informazioni sulla sicurezza di WordPress.

Tuttavia, probabilmente sarai più sicuro se ti assicuri di utilizzare solo temi o plugin affidabili, perché sarai in grado di aggiornare rapidamente a una versione con patch. Controlla le recensioni, la valutazione, il numero di download, ecc. Per analizzare l'affidabilità.

E mai non utilizzare mai temi o plugin piratati o annullati. È noto che la maggior parte di questi contiene codice dannoso, che crea una backdoor nel tuo sito. Questo è letteralmente un modo per avere il pieno controllo remoto del tuo sito.

In realtà, se stai usando un tema o plugin crackato, piratato o annullato, il tuo sito web è GIÀ violato. Utilizzerai un sito che improvvisamente inizierà a fare cose strane come la visualizzazione di collegamenti pericolosi, la distribuzione di malware o addirittura far parte di attacchi DDoS.

Quello che pensi sia gratuito ti costerà molto di più di quanto ti aspetti.

Non aggiorna core, temi o plugin di WP

L'utilizzo di una versione obsoleta del core, dei temi o dei plug-in di WordPress è un altro dei motivi principali per le violazioni che si tradurranno in siti Web compromessi. La maggior parte degli aggiornamenti include codice che corregge la sicurezza e le prestazioni del tuo sito web. Pertanto, è necessario aggiornare il sito Web, i temi e i plug-in non appena sono disponibili. Assicurati di eseguire un backup completo del sito prima dell'aggiornamento.

Cosa fare quando il tuo WordPress viene violato?

Anche se avessi adottato misure per mitigare i rischi, potresti comunque essere caduto vittima dell'hacking di WordPress.

Non farti prendere dal panico e segui i passaggi descritti di seguito.

1. Identifica il tipo di hack

La soluzione per riavere il tuo sito dipende dal tipo di hack di WordPress. Ciò significa che il primo passo è definire il tipo.

rilevare il tipo di hacking

Ecco le domande che dovresti porre per farlo:

  • Puoi accedere alla sezione admin?
  • Il tuo sito viene reindirizzato a un altro sito?
  • Ci sono collegamenti sconosciuti sul tuo sito?
  • Google sta avvertendo i visitatori del tuo sito?
  • Il tuo provider di hosting ti ha informato che il tuo sito sembra sospetto?
  • Il tuo sito mostra annunci sconosciuti nell'intestazione, nel piè di pagina o in altre sezioni?
  • Vengono visualizzati popup indesiderati?
  • C'è un picco imprevisto nell'utilizzo della larghezza di banda?

Passa in rassegna le domande una per una e cerca di trovare le risposte per ciascuna di esse. Questo ti aiuterà a trovare il miglior corso di opzioni per riprendere il controllo del tuo sito WordPress compromesso.

2. Prova a eseguire il ripristino dal backup

Se segui le migliori pratiche, dovresti avere backup giornalieri, settimanali o mensili del tuo sito. La frequenza del backup dipende dalla frequenza con cui pubblichi o apporti modifiche al tuo sito web.

Quando esegui backup regolari, recuperare il tuo sito WordPress compromesso è facile come ripristinare l'ultimo backup. Se hai impostato una pianificazione di backup automatico, scopri l'ultimo backup prima che il tuo sito venisse violato e ripristina quella versione.

ripristinare dai backup

È quindi necessario assicurarsi di aggiornare eventuali plug-in, temi o qualsiasi cosa che non sia stata aggiornata.

E se non avessi eseguito i backup del tuo sito? Significa che hai perso per sempre il tuo sito?

No in realtà.

Ci sono anche altre opzioni. I servizi di hosting più rinomati mantengono backup regolari dei siti dei loro clienti. Chiedi al tuo provider di hosting se mantiene un backup. In tal caso, puoi chiedere loro di ripristinare il tuo sito dall'ultimo backup stabile.

Se non è presente alcun backup, dovrai eseguire una procedura di pulizia del tuo sito WordPress compromesso che mostriamo di seguito.

3. Chiedi aiuto al tuo provider di hosting

Più di 40% dei siti Web compromessi presentavano alcune vulnerabilità di sicurezza sulla piattaforma di hosting. Pertanto, quando il tuo WordPress viene violato, chiedere al tuo provider di hosting di aiutarti a recuperare il tuo sito potrebbe essere una buona idea.

chiedere aiuto all'host

Qualsiasi società di web hosting affidabile dovrebbe essere disposta ad aiutarti in questi casi. Impiegano professionisti che affrontano queste situazioni ogni giorno. Hanno molta familiarità con l'ambiente di hosting e hanno accesso a strumenti avanzati di scansione del sito web.

Pertanto, saranno in grado di aiutarti a recuperare gli attacchi di hacking di siti Web più comuni. Se l'hacking provenisse dal server, la tua società di hosting sarebbe in grado di aiutarti a recuperare il sito.

4. Scansione per malware

In molti casi, gli hacker accedono al tuo sito web utilizzando backdoor. Le backdoor creano punti di accesso non autorizzati al tuo sito web. Quando si utilizzano backdoor, gli hacker possono accedere al tuo sito Web senza richiedere alcuna informazione di accesso e rimanere praticamente inosservati.

pericolo di malware

Ecco alcune posizioni comuni delle backdoor che devi controllare se il tuo sito web è stato violato:

  • Temi: La maggior parte degli hacker preferisce mettere la backdoor in uno dei tuoi temi inattivi. In questo modo, avranno comunque accesso al tuo sito web anche se lo manterrai regolarmente aggiornato. Questo è il motivo per cui è fondamentale eliminare tutti i temi inattivi.
  • plugin: La cartella dei plug-in è un altro potenziale luogo per nascondere il codice dannoso. Ci sono molte ragioni per questo. Prima di tutto, la maggior parte delle persone non pensa mai di controllare i file del plugin. Preferiscono inoltre non aggiornare i plugin finché funzionano. Inoltre, ci sono alcuni plugin mal codificati che potrebbero essere sfruttati per ottenere l'accesso non autorizzato a qualsiasi sito WP.
  • Cartella dei caricamenti: Nella maggior parte degli scenari, non devi mai preoccuparti di controllare la cartella dei caricamenti poiché quella cartella contiene solo i file che hai caricato. Tuttavia, alcuni hacker preferiscono questa cartella perché possono facilmente nascondere il file dannoso tra centinaia o migliaia di file sparsi in cartelle diverse. Poiché la cartella è scrivibile, serve anche al loro scopo.
  • Include la cartella: Questa è un'altra cartella spesso ignorata dalla maggior parte degli utenti. Di conseguenza, gli hacker inseriscono la backdoor in questa cartella e ottengono l'accesso completo al tuo sito.
  • File wp-config.php: È molto comune trovare codice dannoso nascosto in questo file. Tuttavia, poiché il file è molto noto, gli hacker sofisticati evitano di utilizzare questo file. 

Non ti piace sporcarti le mani con script dannosi? Provare iThemes sicurezza e lascia che faccia il lavoro sporco.

L'unico modo per sbarazzarsi della backdoor è rimuovere il codice dannoso dal sito web. Esistono diversi plugin che ti consentono di scansionare il tuo sito web alla ricerca di codice dannoso.

Tra questi, i seguenti plugin premium sono ottime scelte:  iThemes SicurezzaSucuri SecurityWPMUDev Defender sono ottime opzioni.

Anche le seguenti sono buone opzioni, ma tieni presente che entrambe non sono state aggiornate per più di 3 anni dall'aggiornamento di questo articolo. Ciò significa che potrebbero non essere affidabili come una volta:  Sfrutta lo scannerControllo autenticità del tema.

Puoi utilizzare questi plug-in gratuiti per rilevare eventuali modifiche indesiderate nei temi, nei plug-in e nei file principali del tuo sito web. Tuttavia, se sei seriamente intenzionato a correggere il tuo sito, ti consigliamo vivamente di optare per uno dei prodotti premium. 

Saranno più aggiornati e più affidabili in generale di qualsiasi prodotto gratuito.

questo plugin di sicurezza

Se i plug-in trovano un file sospetto, eseguire un backup completo ed eliminare il file o vedere quale linea di condotta suggerisce il plug-in. Inoltre, se esegui un backup, assicurati di notare che stai eseguendo un backup di un sito compromesso.

E se un tema o un plug-in è compromesso, rimuovilo dal tuo sito. Scarica l'ultima copia e caricala sul tuo sito web.

Nel caso in cui la modifica venga rilevata in uno dei file core, è necessario scaricare una nuova installazione di WordPress ed eseguire un aggiornamento manuale (ovvero sovrascrivere tutti i file con quelli nuovi).

In alternativa, scarica una nuova copia della versione di WordPress che sei attualmente e sostituisci solo i file compromessi.

5. Controllare gli utenti di WordPress

È probabile che tu abbia diversi utenti sul tuo sito web. Come già saprai, hanno capacità diverse in base al loro ruolo utente.

A volte, gli hacker di WordPress creano un nuovo utente con le autorizzazioni necessarie in modo che possano accedere al tuo sito anche se perdono la backdoor.

Oppure possono effettivamente utilizzare un nome utente con una password debole per hackerare il tuo sito web.

Per evitare che ciò accada, vai su Impostazioni> Utenti dalla dashboard. Rivedi tutti gli utenti e i loro ruoli. Inoltre, reimposta TUTTE le password di TUTTI gli utenti.

Soprattutto, assicurati che a nessun account non autorizzato sia assegnato il ruolo di amministratore. In caso di account dubbi, cancellarli immediatamente. Se sono utenti validi, puoi sempre ricreare gli account in un secondo momento.

Ecco alcune altre best practice da seguire:

6. Modificare le chiavi segrete

Le chiavi segrete sono una comoda funzione di sicurezza di WordPress.

Queste chiavi contengono testo generato in modo casuale che aiuta a crittografare le informazioni salvate nei cookie. Dovresti usare la procedura seguente per verificare se li hai sul tuo sito. Se non li hai, puoi crearli.

Anche se li hai già, se il tuo sito è stato violato, ora è un buon momento per cambiarli.

Prima di tutto, genera un set di chiavi segrete usando questo link. Il generatore di codice casuale creerà un nuovo set di codici univoci ogni volta che aggiorni la pagina.

Ora vai al tuo sito web e apri il file wp-config.php file. Dirigiti verso la linea 49 e vedrai qualcosa di simile a quanto segue. Il numero di riga può variare nel file, ma è necessario scoprire la sezione seguente:

chiavi di sicurezza wordpress

Copia e incolla il valore da quelli che hai appena generato nel link sopra. Salva il file. Questo ripristinerà tutti i cookie e tutti gli utenti che hanno effettuato l'accesso, quindi se hai effettuato l'accesso all'amministratore, ti verrà chiesto di accedere di nuovo.

7. Cambia TUTTE le tue password

Questo è un passaggio comune ma critico nel ripristino di un sito Web WordPress compromesso: reimposta tutte le tue password. Le password comuni includono WP admin, cPanel, MySQL, FTP, ecc.

Reimposta tutte queste password insieme alle password di qualsiasi servizio di terze parti che utilizzi sul sito web. 

Ecco come modificare le password:

  • Per modificare la password, vai su Utenti> Il tuo profilo dalla dashboard. Troverai il campo della nuova password nella sezione "Gestione account".
  • Per modificare le password di cPanel, MySQL, FTP, accedi al pannello di controllo del tuo account di hosting e segui le opzioni disponibili. Se sei confuso, contatta il supporto di hosting per ottenere aiuto.

Quando si ripristinano o si modificano le password, assicurarsi di utilizzare una password complessa. Dovresti anche forzare gli utenti esistenti a reimpostare la password anche per i loro account.

Puoi usare il plugin Reimpostazione della password di emergenza per forzare la reimpostazione della password per tutti gli utenti.

controllo della forza della password di wordpress

 

Passaggi futuri per evitare di essere hackerati

Sebbene i passaggi sopra menzionati ti aiuteranno a ripristinare il tuo sito web, dovresti considerarlo come un segnale di avvertimento. Ecco alcuni passaggi importanti che dovresti compiere per assicurarti che il tuo sito rimanga protetto in futuro da qualsiasi altro tentativo di hacking di WordPress:

Crea una pianificazione di backup

Come ti rendi conto ora, avere backup regolari del tuo sito web è fondamentale. I backup possono salvarti se il tuo sito è stato violato. I backup multipli sono ancora migliori, perché ti consentirebbero di tornare indietro nel tempo a un'istantanea del sito prima che si verificasse l'hack.

screenshot di updraftvault

 

Fortunatamente, non devi farlo manualmente. Ci sono molti plugin gratuiti e premium per aiutarti a mantenere backup regolari del tuo sito. UpdraftPlus è un popolare plug-in di backup, mentre BackupBuddy e Jetpack sono alcune soluzioni di backup premium altamente consigliate.

Aggiorna tutto

Immaginiamo di non dover sottolineare l'importanza di mantenere aggiornato il tuo sito. Dovresti aggiornare il core di WordPress, i temi attivi, i plugin e qualsiasi altra cosa che sia possibile aggiornare. Allo stesso tempo, assicurati di eliminare anche i temi e i plugin inutilizzati.

Configura un plug-in di sicurezza

Se vuoi migliorare la sicurezza del tuo sito web, dovresti usare un plugin di hardening come iThemes Sicurezza, Wordfence Security o Defender. Questi plugin ti aiutano a creare un firewall in modo da poter prevenire il traffico dannoso, bloccare gli aggressori e affrontare altre minacce. Potresti anche considerare l'installazione di un file firewall completo dell'applicazione Web come il firewall Sucuri.

Considera un hosting gestito

Quando scegli un hosting gestito, gestiranno la sicurezza, la manutenzione, le prestazioni e altri problemi per il tuo sito web. Ciò significa che non dovrai preoccuparti di tutti questi passaggi. Alcuni provider di hosting gestito affidabili includono InMotion, WPEngine, e Kinsta.

Limitare tentativi di accesso 

Per impostazione predefinita, WordPress consente a chiunque di provare password illimitate per qualsiasi account. Ciò porta ad attacchi di forza bruta e possibili vulnerabilità del sito. Fortunatamente, ci sono alcuni plugin gratuiti come Accedi LockDown Sicurezza del loginer per aiutarti a limitare i tentativi di accesso.

Disabilita l'esecuzione PHP 

Nella maggior parte dei casi, gli hacker creano backdoor creando file PHP che sembrano file core. È possibile prevenire queste minacce disabilitando l'esecuzione di PHP nelle directory pertinenti, come la cartella dei caricamenti e degli include. Ecco un tutorial passo-passo fare quello.

Aggiungi una password aggiuntiva per l'amministratore

Un altro trucco utile per proteggere il tuo sito è usare una password aggiuntiva per accedere alla sezione di amministrazione. Questo è molto facile da fare in cPanel. Seguire questo tutorial per aggiungere la password nel tuo amministratore WP.

Preferisci il video? Guarda questo video di Sucuri

Se hai un po 'di tempo per guardare il seguente video che può aiutare a identificare i siti compromessi da WordPress e come risolverli. Abbiamo menzionato Sucuri alcune volte in questo articolo, questo video di Sucuri è una visione abbastanza completa dei siti compromessi.

a6UwUU-3B3w

Parole finali: come riparare il tuo sito web compromesso

Essere vittima di un sito compromesso da WordPress è un'esperienza orribile, soprattutto se è la prima volta. Tuttavia, ora che hai letto questo articolo, dovresti avere un'idea chiara dei passaggi necessari per ripristinare il tuo sito Web compromesso.

Sentiti libero di aggiungere un segnalibro e condividere questo articolo in modo che anche gli altri possano conoscere i passaggi.

Conclusione

Se sei confuso, scegli una soluzione di hosting gestito e lascia che sia qualcun altro a gestirlo per te.

Questo è solo l'inizio. Man mano che il Web continua ad evolversi, anche gli hacker ei loro tentativi di infiltrarsi nel tuo sito e di buttarti fuori. Rimani un passo avanti imparando di più sul tuo CMS amichevole e tieniti aggiornato con gli aggiornamenti e il tuo rimanere al top della sicurezza di WordPress: questo sicuramente ti assicurerà di prevenire l'hacking del sito web.

Stai al sicuro.

Hai bisogno di aiuto per pulire il tuo sito web? Prova questi concerti economici di prim'ordine su Fiverr!

logo fiverr

Clicca qui per trovare esperti su Sicurezza WordPress.

Clicca qui creare un sito web completo di WordPress.

 

L'autore
David Attard
Autore: David AttardSito web: https://www.linkedin.com/in/dattard/
David ha lavorato nel o intorno al settore online / digitale negli ultimi 18 anni. Ha una vasta esperienza nei settori del software e del web design utilizzando WordPress, Joomla e le nicchie che li circondano. In qualità di consulente digitale, il suo obiettivo è aiutare le aziende a ottenere un vantaggio competitivo utilizzando una combinazione del loro sito Web e delle piattaforme digitali disponibili oggi.

Un'altra cosa... Sapevi che anche le persone che condividono cose utili come questo post sembrano FANTASTICHE? ;-)
Si per favore lasciare un utile commenta con i tuoi pensieri, quindi condividi questo articolo sui tuoi gruppi di Facebook che lo troverebbero utile e raccogliamo insieme i frutti. Grazie per la condivisione e per essere gentile!

Disclosure: Questa pagina può contenere collegamenti a siti esterni per prodotti che amiamo e consigliamo vivamente. Se acquisti prodotti che ti suggeriamo, potremmo guadagnare una commissione per segnalazione. Tali commissioni non influenzano le nostre raccomandazioni e non accettiamo pagamenti per recensioni positive.

Autore / i in primo piano su:  Inc Magazine Logo   Logo di Sitepoint   Logo CSS Tricks    logo webdesignerdepot   Logo WPMU DEV   e molti altri ...