Security Blog
Posted By Gregory

Come proteggere WordPress in modo efficace: una lista di cose da fare assolutamente.

English version: How to protect WordPress effectively: a must-do list


Una lista di cose da fare assolutamente per ottenere una protezione elevata e duratura per il tuo sito web.

Per sfruttare al meglio gli algoritmi di sicurezza di WP Cerber, è necessario configurare tutte le impostazioni seguenti. Fatelo con attenzione, poiché alcune impostazioni potrebbero entrare in conflitto con altri plugin o con le impostazioni del vostro server web. In caso di problemi, controllate il registro attività per individuare eventi correlati, come richieste rifiutate o indirizzi IP bloccati. Si prega di notare che alcune delle funzionalità descritte di seguito sono disponibili solo nella versione professionale .

1. Abilita gli aggiornamenti automatici

Aggiornare regolarmente WP Cerber è fondamentale per una solida sicurezza di WordPress, poiché miglioriamo costantemente i suoi algoritmi, implementiamo protezioni contro le minacce emergenti e correggiamo i bug del software. Puoi attivarli in pochi clic: Come attivare gli aggiornamenti automatici per WP Cerber .

2. Controlla le impostazioni principali

  1. Vai alla pagina "Impostazioni principali"

  2. Impostare " Carica motore di sicurezza" su "Modalità standard"

  3. Configura "URL di accesso personalizzato"

  4. Imposta "Elaborazione delle richieste di autenticazione wp-login.php" su "Blocca l'accesso a wp-login.php" oppure, opzione più avanzata, su "Nega l'autenticazione tramite wp-login.php".

  5. Abilita "Blocca immediatamente l'indirizzo IP quando si tenta di accedere con un nome utente inesistente"

  6. Abilita "Disabilita il reindirizzamento della dashboard"

  7. È possibile abilitare, facoltativamente, l'opzione "Blocca immediatamente l'IP dopo ogni richiesta a wp-login.php".

3. Attivare i criteri di sicurezza nella scheda Protezione

Ecco l'insieme minimo di impostazioni che devi abilitare nella sezione "Protezione di WordPress" :

  1. "Interrompi l'enumerazione degli utenti"

  2. "Impedire la scoperta del nome utente tramite oEmbed"

  3. "Impedisci l'individuazione del nome utente tramite le sitemap XML degli utenti"

  4. "Blocca l'accesso alle pagine utente tramite i loro nomi utente"

  5. "Blocca l'esecuzione degli script PHP nella cartella media di WordPress"

  6. "Disabilita la visualizzazione degli errori PHP"

  7. "Disabilita XML-RPC"

Si consiglia di abilitare le seguenti impostazioni nella sezione Accesso all'API REST di WordPress :

  1. "Interrompi l'enumerazione degli utenti / Blocca l'accesso ai dati degli utenti tramite API REST"

  2. "Disabilita l'API REST"

  3. "Consenti l'utilizzo delle API REST per gli utenti autentificati"

Per saperne di più: Limitare l'accesso all'API REST

4. Abilita il firewall Traffic Inspector

  1. Impostare "Abilita ispezione del traffico" su "Massima sicurezza"

  2. Impostare "Abilita protezione dagli errori" su "Massima sicurezza"

5. Abilita le scansioni antimalware programmate e la rimozione automatica del malware

Nella scheda Impostazioni , è necessario abilitare le seguenti impostazioni.

  1. "Scansiona la directory temporanea"

  2. "Cartella della sessione di scansione"

Nella scheda Pulizia :

  1. È necessario abilitare: "Elimina i file non presidiati", "Recupera i file di WordPress", "Recupera i file dei plugin"

  2. Tutte le caselle di controllo nelle impostazioni "File nella cartella di caricamento" devono essere selezionate

6. Attiva la protezione antispam anche se pensi di non averne bisogno

Nella scheda "Motore antispam" , consigliamo di abilitare le seguenti impostazioni:

  1. "Modulo commenti (Proteggi il modulo commenti con un motore di rilevamento bot)"

  2. "Modulo di registrazione (Proteggi il modulo di registrazione con un motore di rilevamento bot)"

  3. "Altri moduli (Proteggi tutti i moduli del sito web con un motore di rilevamento dei bot)"

7. Usa le regole GEO: blocca i paesi con cui non intendi raggiungere un accordo

Nella pagina di amministrazione delle Regole di sicurezza , configura le policy GEO per i paesi autorizzati a interagire con il tuo sito web: inviare moduli, accedere o registrarsi, ecc. Queste impostazioni non impediscono ai motori di ricerca di indicizzare il sito web.

8. Rinominare la cartella dei plugin di WordPress

Rinominare la cartella dei plugin è uno dei metodi più sottovalutati per rafforzare la protezione del tuo sito WordPress. Eppure è gratuito e semplice.

Per saperne di più: Come rinominare la cartella dei plugin di WordPress

9. Abilita l'autenticazione a due fattori

Per proteggere gli account utente, abilita l'autenticazione a due fattori (2FA). Questa offre un ulteriore livello di sicurezza, richiedendo un secondo fattore di identificazione oltre al nome utente e alla password.

Per saperne di più: Come abilitare l'autenticazione a due fattori per WordPress

I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments
There are currently no comments.