Security Blog
Posted By Gregory

Come proteggere WordPress in modo efficace: un must-do list


English version: How to protect WordPress effectively: a must-do list


Un elenco di cose da fare che fornisce protezione ad alta sicurezza e duratura per il tuo sito web.

Vogliamo che tu ottenga il massimo dai nostri algoritmi di sicurezza. Ecco perché ti incoraggiamo a configurare tutte le impostazioni di seguito. Fallo in modo ponderato perché alcune impostazioni potrebbero entrare in conflitto con un altro plug-in o con le impostazioni del tuo server web. In caso di problemi, controllare il registro delle attività per eventi correlati quali richieste respinte o indirizzi IP bloccati.

1. Controllare le impostazioni principali

  1. Imposta " Carica motore di sicurezza" su "Modalità standard"
  2. Configura "URL di accesso personalizzato" e attiva "Disabilita wp-login.php"
  3. Abilita "Blocca immediatamente IP quando tenti di accedere con un nome utente non esistente"
  4. Abilita "Disattiva reindirizzamento dashboard"
  5. Abilita "Blocca immediatamente IP dopo ogni richiesta a wp-login.php"

2. Attivare le politiche di sicurezza nella scheda Protezione avanzata

Il set minimo delle impostazioni che devi abilitare nella sezione WordPress di Hardening :

  1. "Interrompi l'enumerazione degli utenti"
  2. "Blocca l'esecuzione di script PHP nella cartella media di WordPress"
  3. "Disabilita XML-RPC"
  4. "Disabilita la visualizzazione dell'errore PHP"

Le seguenti impostazioni sono consigliate per essere abilitate nella sezione API Access REST di WordPress :

  1. "Arresta l'enumerazione utente / Blocca l'accesso ai dati utente tramite l'API REST"
  2. "Disabilita API REST"
  3. "Consenti API REST per gli utenti registrati"

Ulteriori informazioni: Limita l'accesso all'API REST

3. Abilita le impostazioni del firewall di Traffic Inspector

  1. Imposta "Abilita ispezione traffico" su "Massima sicurezza"
  2. Impostare "Abilita schermatura errore" su "Massima sicurezza"

4. Abilitare le scansioni malware pianificate e la rimozione automatica del malware

Nella scheda Impostazioni , le seguenti impostazioni devono essere abilitate

  1. "Scansione directory temporanea"
  2. "Directory della sessione di scansione"

Nella scheda Pulizia :

  1. L'impostazione "Unattended files" deve essere abilitata
  2. Tutte le caselle di controllo nella cartella "File nella cartella dei caricamenti" sono selezionate

5. Abilita la protezione anti-spam anche se pensi di non averne bisogno

Nella scheda del motore Antispam , si consiglia di abilitare le seguenti impostazioni:

  1. "Modulo di commento (modulo di protezione dei commenti con motore di rilevamento dei bot)"
  2. "Modulo di registrazione (modulo di registrazione Protect con motore di rilevamento dei bot)"
  3. "Altre forme (Proteggi tutti i moduli sul sito web con il motore di rilevamento dei bot)"

6. Usa le regole GEO: blocca i paesi con i quali non avrai un accordo

Nella pagina di amministrazione Regole di sicurezza , configura le norme GEO per i paesi che possono interagire con il tuo sito Web: invio di moduli, accesso o registrazione, ecc. Queste impostazioni non impediscono ai motori di ricerca di indicizzare il sito web.

7. Rinominare la cartella dei plugin

Cambiare il nome della cartella dei plugin è uno dei modi più sottovalutati per rendere più forte la protezione di WordPress. Eppure è gratuito e facile.

Ulteriori informazioni: Come rinominare la cartella dei plugin di WordPress


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments
There are currently no comments.