Security Blog
Posted By Gregory

Come proteggere WordPress in modo efficace: una lista di cose da fare assolutamente

English version: How to protect WordPress effectively: a must-do list


Un elenco di cose imprescindibili per ottenere una protezione elevata e duratura per il tuo sito web.

Per sfruttare al meglio gli algoritmi di sicurezza di WP Cerber, è consigliabile configurare tutte le impostazioni seguenti. È importante farlo con attenzione, poiché alcune impostazioni potrebbero entrare in conflitto con altri plugin o con le impostazioni del server web. In caso di problemi, controllare il registro attività per individuare eventi correlati, come richieste rifiutate o indirizzi IP bloccati. Si prega di notare che alcune delle funzionalità descritte di seguito sono disponibili solo nella versione professionale .

1. Abilita gli aggiornamenti automatici

Aggiornamenti regolari di WP Cerber sono fondamentali per una solida sicurezza di WordPress, poiché ne miglioriamo costantemente gli algoritmi, implementiamo la protezione contro le minacce emergenti e correggiamo i bug del software. Puoi abilitarli in un paio di clic: Come abilitare gli aggiornamenti automatici per WP Cerber .

2. Controllare le impostazioni principali

  1. Vai alla pagina "Impostazioni principali"

  2. Imposta " Carica motore di sicurezza" su "Modalità standard"

  3. Configura "URL di accesso personalizzato"

  4. Imposta "Elaborazione richieste di autenticazione wp-login.php" su "Blocca l'accesso a wp-login.php" o, più avanzato, su "Nega autenticazione tramite wp-login.php"

  5. Abilita "Blocca immediatamente l'IP quando si tenta di accedere con un nome utente inesistente"

  6. Abilita "Disabilita reindirizzamento dashboard"

  7. Abilita facoltativamente "Blocca immediatamente l'IP dopo ogni richiesta a wp-login.php"

3. Attivare le policy di sicurezza nella scheda Rafforzamento

Il set minimo di impostazioni che devi abilitare nella sezione Protezione di WordPress :

  1. "Interrompi l'enumerazione degli utenti"

  2. "Impedisci la scoperta del nome utente tramite oEmbed"

  3. "Impedisci la scoperta del nome utente tramite le mappe dei siti XML degli utenti"

  4. "Blocca l'accesso alle pagine degli utenti tramite i loro nomi utente"

  5. "Blocca l'esecuzione degli script PHP nella cartella multimediale di WordPress"

  6. "Disabilita la visualizzazione degli errori PHP"

  7. "Disabilita XML-RPC"

Si consiglia di abilitare le seguenti impostazioni nella sezione Accesso all'API REST di WordPress :

  1. "Interrompi l'enumerazione degli utenti / Blocca l'accesso ai dati utente tramite API REST"

  2. "Disabilita API REST"

  3. "Consenti API REST per gli utenti registrati"

Per saperne di più: Limitare l'accesso all'API REST

4. Abilitare il firewall Traffic Inspector

  1. Imposta "Abilita ispezione del traffico" su "Massima sicurezza"

  2. Imposta "Abilita protezione errori" su "Massima sicurezza"

5. Abilitare le scansioni malware pianificate e la rimozione automatica del malware

Nella scheda Impostazioni , dovrebbero essere abilitate le seguenti impostazioni

  1. "Scansiona directory temporanea"

  2. "Scansiona la directory della sessione"

Nella scheda Pulizia :

  1. Devi abilitare: "Elimina file non presidiati", "Recupera file WordPress", "Recupera file plugin"

  2. Tutte le caselle di controllo nelle impostazioni "File nella cartella dei caricamenti" devono essere selezionate

6. Abilita la protezione antispam anche se pensi di non averne bisogno

Nella scheda Motore antispam , ti consigliamo di abilitare le seguenti impostazioni:

  1. "Modulo commenti (Proteggi il modulo commenti con il motore di rilevamento bot)"

  2. "Modulo di registrazione (Proteggi il modulo di registrazione con un motore di rilevamento bot)"

  3. "Altri moduli (Proteggi tutti i moduli sul sito web con un motore di rilevamento bot)"

7. Utilizza le regole GEO: blocca i paesi con cui non intendi avere accordi

Nella pagina di amministrazione Regole di sicurezza , configura i criteri GEO per i Paesi a cui è consentito interagire con il tuo sito web: inviare moduli, poter accedere o registrarsi, ecc. Queste impostazioni non impediscono ai motori di ricerca di indicizzare il sito web.

8. Rinomina la cartella dei plugin di WordPress

Cambiare il nome della cartella dei plugin è uno dei metodi più sottovalutati per rafforzare la protezione di WordPress. Eppure è gratuito e semplice.

Per saperne di più: Come rinominare la cartella dei plugin di WordPress

9. Abilitare l'autenticazione a due fattori

Per proteggere gli account utente, abilita l'autenticazione a due fattori (2FA). Fornisce un ulteriore livello di sicurezza, richiedendo un secondo fattore di identificazione oltre a nome utente e password.

Per saperne di più: Come abilitare l'autenticazione a due fattori per WordPress

I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments
There are currently no comments.