8 Segreti essenziali di sicurezza WordPress

Sep 14, 2025
Come si fa

Negli ultimi 15 anni Wordpress è diventato il sistema di gestione dei contenuti più popolari al mondo. Facile da iniziare con ed estremamente versatile, è uno dei Le migliori piattaforme di blogging. in giro - la casa ideale per il tuo Portfolio di progettazione , o qualcosa di più ambizioso.

C'è un enorme assortimento di Temi di wordpress. tra cui scegliere, mentre se sei sfidato di un po 'di codice troverai un sacco di Tutorial di wordpress. Questo ti aiuterà a farti prendere con le sue caratteristiche più complesse. Per altre opzioni, prova le nostre guide al meglio Builder del sito web e web hosting servizio.

  • Il miglior software antivirus

Un grande inconveniente della popolarità di Wordpress, tuttavia, è che è un obiettivo principale per gli hacker. Se si desidera evitare di perdere il controllo del tuo nuovo sito lucido, segui questi suggerimenti per tenerlo sicuro.

01. Aggiungi una maggiore sicurezza agli account utente

Lock down user permissions to prevent unauthorised access to admin areas

Blocca le autorizzazioni dell'utente per impedire l'accesso non autorizzato alle aree di amministrazione

Una grande quantità di vulnerabilità proviene dagli account utente che dà l'accesso intenzionalmente al tuo sito, in particolare i ruoli amministratore e editor. Se un hacker guadagna l'accesso a uno di questi account, di qualsiasi utente sul sito non solo quello dell'amministratore principale, quindi possono apportare modifiche alla volontà sul sito web.

Assicurati sempre che gli account abbiano solo l'accesso di cui hanno bisogno. Ad esempio, se un utente scriverà solo articoli, considerare di dare loro solo il contributore o l'accesso all'editor, mai amministrazione. Tieni presente che il livello di capacità dei tuoi utenti, garantendo che chiunque sia con accesso ad amministratore o editore sia completamente addestrato per utilizzare tutte le funzionalità dell'account per evitare incidenti.

È possibile aggiungere funzionalità per consentire l'accesso temporaneo a un determinato livello di ruolo, vale a dire se si dispone di un appaltatore che lavora sul sito e hanno bisogno di accesso temporaneo di amministratore, potresti darli con un tempo impostato per scadere in modo da non aver bisogno ricordare di revocare il loro accesso in seguito lungo la linea.

Se un determinato livello di ruolo non ha bisogno di tutte le autorizzazioni predefinite, è possibile installare un plug-in ruoli e autorizzazioni per disattivare determinate autorizzazioni che non verranno mai utilizzate. Puoi anche creare altri ruoli con solo accesso specifico. Limita gli utenti a solo le autorizzazioni di cui hanno bisogno per evitare uso improprio accidentale o intenzionale di una funzionalità.

Per aiutare a prevenire gli attacchi provenienti dai login dell'utente, inserire un limite al numero di volte che un account può effettuare un tentativo di accesso non riuscito prima che il nome utente sia bloccato per un periodo di tempo. Questo prevalentemente cattura i robot che stanno indovinando le password, ma ricorda di avvertire i tuoi utenti che non devono tentare di accedere più del numero di volte che hai impostato in una riga. Se non riescono a ricordare la loro password, e se dimenticano la loro password, dovrebbero resettarlo invece di provare a indovinare!

È anche una buona pratica ricordare agli utenti di utilizzare password sicure (oltre otto cifre, con superiore, minuscolo, numeri ecc.) E per cambiarli ogni così spesso. Ricorda loro di non scrivere mai le loro password e disconnettersi quando sono finite con la loro sessione per evitare l'accesso non autorizzato ai propri account.

L'autenticazione a due fattori è un livello aggiuntivo di sicurezza che può essere aggiunta agli accessi. Richiedono agli utenti di utilizzare i loro autenticatori quando si accede ad aumentare il numero di credenziali necessari dallo standard. Gli utenti avranno bisogno di un codice extra o un PIN per accedere, generalmente generato a caso da un'app o inviata a un telefono per testo. Può sembrare una barriera in più per il login per gli utenti, ma è anche una barriera extra per gli hacker.

02. Cambia vecchi predefiniti

Changing the name of your admin account will make a hacker's job a lot harder

La modifica del nome del tuo account amministratore renderà più difficile il lavoro di un hacker

Le nuove installazioni WordPress ti fanno scegliere un nome utente personalizzato per il tuo account amministratore, ma se hai installato il tuo sito A volte fa, il tuo account amministratore potrebbe avere il nome predefinito di "admin" - questo rende più facile per gli hacker indovinare le tue credenziali di accesso a metà Il lavoro è già stato fatto per loro. Cambia il nome utente amministratore predefinito a qualcos'altro per migliorare la sicurezza. È possibile farlo manualmente tramite il database nella tabella WP_USERS, oppure è possibile creare un nuovo profilo di amministrazione ed eliminare il vecchio tramite il pannello di amministrazione (assicurarsi di attribuire tutti i post dei vecchi post a quello nuovo).

È anche possibile modificare il prefisso del database predefinito su qualcosa di diverso da WP_ per aggiungere un ulteriore livello di oscurità alle impostazioni predefinite. Il modo più semplice per farlo su un'installazione esistente è tramite un plugin, ma eseguire prima il backup dei database.

03. Tenere aggiornato Wordpress

Make sure you're running the latest stable build of WordPress

Assicurati di eseguire l'ultima generazione stabile di WordPress

WordPress aggiorna sempre e migliora la sua sicurezza integrata, quindi assicurati che la tua versione sia la più aggiornata di rimanere in vista delle vecchie vulnerabilità e degli exploit. La maggior parte degli impianti di WordPress si aggiorna automaticamente, ma se il tuo non è, tenere d'occhio il pannello di amministrazione o la posta in arrivo per essere notificati quando i nuovi aggiornamenti sono pronti per l'installazione. Gli hacker sono alla ricerca di siti che non sono stati aggiornati e solo il 22% dei siti WordPress esegue l'ultima versione. Dal momento che WordPress Runs. Quasi il 30% di tutti i siti web sul Web , questo è un sacco di siti Web obsoleti!

Se stai eseguendo un sito di stadiazione, puoi testare tutti gli aggiornamenti per la compatibilità con il tema e i plugin attuali prima di spingere in diretta. Questa è una buona pratica per evitare qualsiasi aggiornamento automatico in conflitto accidentalmente con installazioni esistenti. Ti dà la possibilità di catturare qualche problema prima di entrare in produzione. Non dimenticare di aggiornare anche i tuoi plugin e i tuoi temi. Non sono solo vecchie vulnerabilità WordPress Core WordPress che possono offrire agli hacker; Tutto ciò che installi sul tuo sito web WordPress deve essere sicuro pure. Il prossimo consiglio ti dirà di più sulla scelta dei plugin affidabili.

04. Installare i plugin di fiducia e la casa pulita regolarmente

Not using an old plugin any more? Get rid of it!

Non usare più un vecchio plugin? Sbarazzarsi di esso!

C'è una tentazione di installare il maggior numero di plugin che hai problemi da risolvere, ma troppi plugin possono causare Bloat e un plugin inaffidabile può causare un rischio per la sicurezza. Controllare sempre che i plugin siano affidabili prima di installare. Download attraverso l'interfaccia o il sito Web ufficiale di WordPress, e controlla sempre la valutazione e le recensioni per il feedback negativo che possono indicare un difetto di sicurezza.

I plugin sono creati dagli sviluppatori con tutti i diversi livelli di abilità. Anche se i plugin vengono registrati prima di essere aggiunti al sito WordPress, dovresti sempre fare la tua ricerca per assicurarti che il codice che stai installando sia solido.

Il sito web di WordPress ti dirà quanti anni ha un plugin, quando è stato aggiornato l'ultima volta, e soprattutto, se è compatibile con la tua versione di WordPress. Un plugin che non è stato aggiornato da un po 'non è necessariamente cattivo, potrebbe semplicemente significare che non ha bisogno di un aggiornamento in quel momento. Verifica delle recensioni recenti per confermare che il plugin è ancora valido e che è ancora compatibile con la versione. Un vecchio plugin con recenti recensioni di stelle basse e una compatibilità sconosciuta vale la pena evitare.

Eliminare regolarmente temi e plugin non utilizzati, poiché anche un plug-in disattivato può essere un rischio per la sicurezza se viene trovata una vulnerabilità e sfruttata. Mantieni pulito la directory del plugin. Dovresti avere solo plugin installato che stai utilizzando attualmente. Controlla i plug-in più vecchi quando si aggiorna per vedere se sono ancora compatibili.

Rivedi periodicamente i tuoi plugin per assicurarti di avere ancora il migliore per il lavoro. Potrebbe esserci un nuovo plugin che combina le caratteristiche di alcuni che hai già e potrebbe essere meglio supportato, più sicuro e più facile da mantenere.

05. Considera l'hosting gestito

Managed hosting will cost you more but will prevent cross-server contamination

L'hosting gestito ti costerà di più ma impedirà la contaminazione del cross-server

Non è solo la sicurezza del tuo sito hai bisogno di pensare. Se si ospita i siti sui server condivisi, si esegue il rischio di contaminazione del cross-server, in cui gli hacker acquisiscono accesso attraverso un sito diverso e sono in grado di danneggiare altri siti che condividono lo stesso spazio. Considera l'hosting gestito o il server privato virtuale del server virtuale (VPS) per eliminare questa minaccia, dove il tuo sito è ospitato separatamente.

Il costo è un'ovvia implicazione, ma per i siti con carichi elevati e traffico, i server dedicati possono migliorare le prestazioni e la sicurezza. Gli host diversi hanno soluzioni diverse; Confronta alcuni per valutare quale si adatta meglio alle tue esigenze.

06. Maschera, blocca e nascondi

Hide your WordPress version number and change the name of your login page

Nascondi il tuo numero di versione di WordPress e modifica il nome della tua pagina di accesso

Gli hacker hanno meno leva se non sanno da dove iniziare. Nascondi il tuo numero di versione di WordPress dal tuo codice in modo che gli amministratori sanno solo quale versione di WordPress è in esecuzione. In questo modo, gli hacker non sanno quali vulnerabilità sono presenti per sfruttare.

Sposta la tua pagina di accesso da / wp-login a qualcosa che non è predefinito. Ciò fa un enorme blocco inciampato per DOS e Brate Force Bots Bots che siti di scanalatura che cercano moduli di accesso per target. Aggiunge anche un valore più estetico, in quanto è possibile modificare l'URL in qualcosa di più memorabile per i tuoi utenti.

Negare l'accesso esterno a wp-config.php e .htaccess utilizzando il seguente codice nel tuo file .htaccess: 

 & lt; file wp-config.php & gt;
Ordine permetti, negare
negato da tutti
& lt; / files & gt;
& lt; file .htaccess & gt;
Ordine permetti, negare
negato da tutti
& lt; / files & gt;

È inoltre possibile disabilitare la modifica dei file dal pannello amministratore se si sa che i tuoi temi saranno modificati solo tramite caricamenti file su un ftp. Ciò impedisce a chiunque abbia accesso al pannello di amministrazione di modificare direttamente i file accidentalmente o come hacker con intenti maliziosi. Inserire quanto segue nel tuo file WP-config.php: 

  Definisci ('disabilit_file_edit', true);

07. Run eseguire frequentemente i backup

Never forget: if it's not backed up then it's not important

Non dimenticare mai: se non è eseguito il backup, allora non è importante

Assicurati che il tuo sito sia eseguito il backup nel caso in cui il tuo sito sia violato e devi tornare a una versione pulita precedente. Quante volte dovresti eseguire i backup dipende da quanto spesso il tuo sito è aggiornato.

È integrato il backup in un luogo in cui il tuo sito non è ospitato per evitare attività dannose sul tuo hosting di WordPress da infettare anche i backup. I backup possono essere memorizzati sul proprio computer o un servizio basato su cloud come Google Drive, Dropbox o Amazon S3 (controlla altro deposito cloud. opzioni qui).

Il backup in una posizione che non è il tuo server corrente aiuta anche se si dispone di un plug-in o di un conflitto tema irrisolvibile e non è possibile accedere al tuo sito o se c'è un malfunzionamento del server catastrofico e perdi tutto il tuo lavoro.

Esistono plugin di backup dedicati per aiutarti a rimanere sulla pista, la maggior parte con le opzioni per i backup programmati o manuali. Le versioni gratuite e premium ti offrono varie opzioni, BackupBuddy è il servizio pagato più popolare in quanto hanno il proprio archivio di terze parti per i tuoi file, oltre alla possibilità di ripristinare direttamente da un backup. Confronta altri plugin come Updraftplus e backwpup per le loro versioni gratuite e premium per vedere quale ha le funzionalità che più valore.

08. Installare la sicurezza e i plugin anti-spam

A good set of security plugins will keep your site safer

Un buon set di plugin di sicurezza manterrà il tuo sito più sicuro

Molte funzioni di sicurezza possono essere aggiunte con un plug-in di sicurezza completo, come Ithemes Security o SUCURI, entrambi hanno sia versioni gratuite e premium. I plugin di sicurezza sono dotati di una suite di strumenti per bloccare le vulnerabilità sul tuo sito come quelle già menzionate in questo articolo; Dal mascheramento del numero di versione, per installare autenticazione a due fattori per i login, gli elenchi delle funzionalità sono spesso ampi.

Questi tipi di plugin possono essere inestimabili nel rendere il tuo sito WordPress più sicuro e la maggior parte dei plug-in di sicurezza è facile da usare con installazione a tasto singolo per le funzionalità più importanti e l'installazione opzionale per le funzionalità più avanzate o complesse. Ciò li rende perfetti per i principianti di WordPress, poiché non è necessaria alcuna codifica per ottenere un sito ben protetto in pochi minuti. Utenti più avanzati avranno accesso alle funzionalità che possono proteggere ulteriormente il tuo sito, ad esempio la chiusura dell'accesso non necessario a protocolli come XML-RPC e aggiornare i sali di WordPress utilizzati nella codifica.

Tali plugin contribuiranno a proteggere il tuo sito contro la forza bruta e gli attacchi DOS, che possono portare i tuoi siti offline se c'è troppo carico sul server. Possono anche sostenere il processo di accesso con ulteriori livelli di sicurezza per evitare che i tuoi account utente vengano utilizzati come metodo di attacco. I registri di scansione e attività del malware conservano i record di qualsiasi comportamento sospetto o file danneggiati per la revisione, avviso di eventuali attacchi in corso e dandoti un'idea di dove si trovano le vulnerabilità del tuo sito in modo da poterli risolvere.

Alcuni plugin di sicurezza sono dotati anche con opzioni di backup, per quel servizio all-inclusive. Avere tutte le tue esigenze di sicurezza organizzate da un plugin significa che le caratteristiche sono facili da organizzare, con meno rischio di conflitto tra plugin simili. Assicurati di fare la tua ricerca, tuttavia, poiché questo plugin sarà la cosa in piedi nel modo del tuo sito e chiunque voglia causare danni. Avrai bisogno di sceglierne uno che farà il lavoro in modo ammirevole.

Inoltre, un plugin anti-spam come Akismet manterrà gli spammer dall'inclinazione del tuo sito con commenti non correlati. Se il tuo plugin di sicurezza non lo fa già in questo modo, può assistere il plugin di sicurezza aggiungendo un ulteriore livello di sicurezza alla tua interazione comunitaria utilizzando strumenti di convalida come Captcha e altri dispositivi anti-bot per assicurarti che solo le persone reali stiano commentando. Un plugin anti-spam aiuta a mantenere pulito il tuo sito, così come il tuo database dietro le quinte. Lo screening per i commenti preziosi ha il bonus aggiuntivo di dare il tuo contenuto più peso mostrando solo un corretto impegno dai lettori.

Ogni plugin viene fornito con i propri strumenti diversi, quindi confronta le opzioni per qualcosa che si adatta alle tue esigenze. Considera le versioni premium dei plugin per funzionalità aggiuntive poiché questa è parte integrante del tuo sito e in generale, i plugin pagati ti forniranno il servizio più completo. Idealmente si desidera una suite che copre almeno le basi della sicurezza, come gli altri suggerimenti nominati in questo articolo.

Questo articolo è stato originariamente pubblicato in emissione 272 di Web Designer Web Design Web Design. Acquista il problema 272 qui o Iscriviti al web designer qui .

Articoli Correlati:

  • 37 migliori temi WordPress gratuiti
  • 9 Suggerimenti per la protezione per proteggere il tuo sito web dagli hacker
  • Potenza un blog usando l'API di WordPress

Come si fa - Articoli più popolari

Come accelerare e ottimizzare i siti WordPress

Come si fa Sep 14, 2025

(Immagine di credito: Web Designer) Wordpress è iniziata come una semplice piattaforma di blogging ma si è evoluta ..

4 passaggi per utilizzare font variabili

Come si fa Sep 14, 2025

(Immagine di immagine: futuro) I caratteri variabili consentono ai progettisti di caratteri di definire le variazioni..

Come creare interni con il Blender's Eevee

Come si fa Sep 14, 2025

ATypique-Studio: contiene trame da poliigon.com - Le trame non possono essere ridistribuite Quando ho iniziato a lavo..

Utilizzare lo strumento Pen e le texture per aggiungere profondità in Photoshop

Come si fa Sep 14, 2025

Oltre i seguenti video di catturazione dello schermo breve, Charlie Davis. , un illustratore a Londra, copre come ..

Dipingi una lepre maliziosa in acquerello

Come si fa Sep 14, 2025

Avendo studiato zoologia, animali e fauna selvatica sono sempre stata una grande passione per me e non mi stanco mai di diparlarli. Siamo abbastanza fortunati da vivere nella campagna del Lin..

Come influenzare le classifiche di Google con il tuo contenuto

Come si fa Sep 14, 2025

Il tuo contenuto non sta andando da nessuna parte a meno che le persone non possano cercarlo e trovarlo, quindi i contenuti dovre..

Accelerare il flusso di lavoro texture

Come si fa Sep 14, 2025

Il guerriero è un progetto personale che avevo la gioia di concepire e progettare. Volevo creare un personaggio che incarna lo s..

Diventa creativo con ritratti e consapevoli di viso Liquefy

Come si fa Sep 14, 2025

Abbiamo avuto tutti un gioco con lo strumento Liquify in Photoshop, ma nell'ultima iterazione di Photoshop cc, Adobe ..

Categorie