Security Blog

Come proteggere WordPress in modo efficace: un elenco di cose da fare


English version: How to protect WordPress effectively: a must-do list


Un elenco di cose da fare per ottenere una protezione elevata e duratura per il tuo sito web.

Per ottenere il massimo dagli algoritmi di sicurezza di WP Cerber, dovresti configurare tutte le impostazioni di seguito. Fallo con attenzione perché alcune impostazioni potrebbero entrare in conflitto con un altro plug-in o con le impostazioni del tuo server web. In caso di problemi, controlla il registro delle attività per eventi correlati come richieste rifiutate o indirizzi IP bloccati. Tieni presente che alcune delle funzionalità descritte di seguito sono disponibili solo nella versione professionale .

1. Abilita gli aggiornamenti automatici

Gli aggiornamenti regolari di WP Cerber sono cruciali per una solida sicurezza di WordPress, poiché miglioriamo continuamente i suoi algoritmi, implementiamo la protezione contro le minacce emergenti e risolviamo i bug del software. Puoi abilitarli in un paio di clic: Come abilitare gli aggiornamenti automatici per WP Cerber .

2. Controllare le impostazioni principali

  1. Vai alla pagina "Impostazioni principali".
  2. Impostare " Carica motore di sicurezza" su "Modalità standard"
  3. Configura "URL di accesso personalizzato"
  4. Imposta "Elaborazione richieste di autenticazione wp-login.php" su "Blocca accesso a wp-login.php" o, cosa più avanzata, su "Nega autenticazione tramite wp-login.php"
  5. Abilita "Blocca immediatamente l'IP quando tenti di accedere con un nome utente inesistente"
  6. Abilita "Disabilita reindirizzamento dashboard"
  7. Abilita facoltativamente "Blocca immediatamente l'IP dopo qualsiasi richiesta a wp-login.php"

3. Attivare le policy di sicurezza nella scheda Rafforzamento

Il set minimo di impostazioni che devi abilitare nella sezione Rafforzamento di WordPress :

  1. "Interrompi l'enumerazione degli utenti"
  2. "Impedisci il rilevamento del nome utente tramite oEmbed"
  3. "Impedisci il rilevamento del nome utente tramite le mappe dei siti XML degli utenti"
  4. "Blocca l'accesso alle pagine degli utenti tramite i loro nomi utente"
  5. "Blocca l'esecuzione degli script PHP nella cartella multimediale di WordPress"
  6. "Disabilita la visualizzazione degli errori PHP"
  7. "Disabilita XML-RPC"

Si consiglia di abilitare le seguenti impostazioni nella sezione Accesso all'API REST di WordPress :

  1. "Interrompi l'enumerazione degli utenti/Blocca l'accesso ai dati dell'utente tramite API REST"
  2. "Disabilita API REST"
  3. "Consenti API REST per gli utenti che hanno effettuato l'accesso"

Ulteriori informazioni: Limitare l'accesso all'API REST

4. Abilita il firewall di Ispezione traffico

  1. Imposta "Abilita ispezione traffico" su "Massima sicurezza"
  2. Impostare "Abilita protezione dagli errori" su "Massima sicurezza"

5. Abilita le scansioni malware pianificate e la rimozione automatica del malware

Nella scheda Impostazioni , dovrebbero essere abilitate le seguenti impostazioni

  1. "Scansiona directory temporanea"
  2. "Directory della sessione di scansione"

Nella scheda Pulizia :

  1. Devi abilitare: "Elimina file non presidiati", "Recupera file WordPress", "Recupera file plugin"
  2. Tutte le caselle di controllo nelle impostazioni "File nella cartella dei caricamenti" devono essere selezionate

6. Abilita la protezione anti-spam anche se ritieni di non averne bisogno

Nella scheda Motore Antispam ti consigliamo di abilitare le seguenti impostazioni:

  1. "Modulo dei commenti (proteggi il modulo dei commenti con il motore di rilevamento dei bot)"
  2. "Modulo di registrazione (modulo di registrazione Protect con motore di rilevamento bot)"
  3. "Altri moduli (proteggi tutti i moduli sul sito Web con il motore di rilevamento dei bot)"

7. Usa le regole GEO: blocca i paesi con cui non avrai accordi

Nella pagina di amministrazione delle Regole di sicurezza , configura le politiche GEO per i paesi a cui è consentito interagire con il tuo sito web: invio di moduli, possibilità di accedere o registrarsi, ecc. Queste impostazioni non impediscono ai motori di ricerca di indicizzare il sito web.

8. Rinomina la cartella dei plugin di WordPress

Cambiare il nome della cartella dei plugin è uno dei modi più sottovalutati per rafforzare la protezione di WordPress. Eppure è gratuito e facile.

Per saperne di più: Come rinominare la cartella dei plugin di WordPress

9. Abilita l'autenticazione a due fattori

Per proteggere gli account utente, abilitare l'autenticazione a due fattori (2FA). Fornisce un ulteriore livello di sicurezza che richiede un secondo fattore di identificazione oltre al semplice nome utente e password.

Per saperne di più: Come abilitare l'autenticazione a due fattori per WordPress


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments
There are currently no comments.