Come proteggere efficacemente WordPress: una lista di cose da fare
English version: How to protect WordPress effectively: a must-do list
Un elenco di cose da fare per ottenere una protezione ad alta sicurezza e duratura per il tuo sito web.
Per ottenere il massimo dagli algoritmi di sicurezza di Cerber, dovresti configurare tutte le impostazioni di seguito. Fallo con attenzione perché alcune impostazioni potrebbero entrare in conflitto con un altro plug-in o con le impostazioni del tuo server web. In caso di problemi, controlla il Registro attività per eventi correlati come richieste rifiutate o indirizzi IP bloccati. Tieni presente che alcune delle funzionalità descritte di seguito sono disponibili solo nella versione professionale .
1. Controllare le impostazioni principali
- Imposta " Carica motore di sicurezza" su "Modalità standard"
- Configura "URL di accesso personalizzato" e attiva "Disabilita wp-login.php"
- Abilita "Blocca immediatamente l'IP quando tenti di accedere con un nome utente inesistente"
- Abilita "Disabilita reindirizzamento dashboard"
- Abilita "Blocca immediatamente l'IP dopo ogni richiesta a wp-login.php"
2. Attivare le politiche di sicurezza nella scheda Protezione avanzata
Il set minimo di impostazioni che devi abilitare nella sezione Hardening WordPress :
- "Interrompi enumerazione utenti"
- "Blocca l'esecuzione degli script PHP nella cartella multimediale di WordPress"
- "Disabilita XML-RPC"
- "Disabilita la visualizzazione degli errori PHP"
Si consiglia di abilitare le seguenti impostazioni nella sezione Accesso all'API REST di WordPress :
- "Arresta enumerazione utente/Blocca l'accesso ai dati utente tramite API REST"
- "Disattiva API REST"
- "Consenti API REST per gli utenti che hanno effettuato l'accesso"
Ulteriori informazioni: limitare l'accesso all'API REST
3. Abilitare le impostazioni del firewall di Traffic Inspector
- Imposta "Abilita ispezione traffico" su "Massima sicurezza"
- Imposta "Abilita protezione dagli errori" su "Massima sicurezza"
4. Abilita le scansioni malware pianificate e la rimozione automatica del malware
Nella scheda Impostazioni , devono essere abilitate le seguenti impostazioni
- "Scansiona directory temporanea"
- "Scansione directory sessione"
Nella scheda Pulizia :
- Devi abilitare: "Elimina file incustoditi", "Recupera file WordPress", "Recupera file plugin"
- Tutte le caselle di controllo nelle impostazioni "File nella cartella dei caricamenti" devono essere selezionate
5. Abilita la protezione anti-spam anche se pensi di non averne bisogno
Nella scheda Motore antispam , ti consigliamo di abilitare le seguenti impostazioni:
- "Modulo di commento (proteggi il modulo di commento con il motore di rilevamento dei bot)"
- "Modulo di registrazione (Proteggi modulo di registrazione con motore di rilevamento bot)"
- "Altri moduli (Proteggi tutti i moduli sul sito Web con il motore di rilevamento dei bot)"
6. Usa le regole GEO: blocca i paesi con cui non avrai accordi
Nella pagina di amministrazione delle regole di sicurezza , configura le politiche GEO per i paesi a cui è consentito interagire con il tuo sito web: invio di moduli, possibilità di accedere o registrarsi, ecc. Queste impostazioni non impediscono ai motori di ricerca di indicizzare il sito web.
7. Rinomina la cartella dei plugin
Cambiare il nome della cartella dei plugin è uno dei modi più sottovalutati per rafforzare la protezione di WordPress. Eppure è gratuito e facile.
Leggi di più: Come rinominare la cartella dei plugin di WordPress
8. Abilita l'autenticazione a due fattori
Per proteggere gli account utente abilitare l'autenticazione a due fattori. Fornisce un ulteriore livello di sicurezza che richiede un secondo fattore di identificazione oltre a un semplice nome utente e password.
Leggi di più: Come abilitare l'autenticazione a due fattori per WordPress