11 principali motivi per cui i siti WordPress vengono compromessi (e come prevenirlo)

Di recente, uno dei nostri lettori ci ha chiesto perché i siti WordPress vengono hackerati? È frustrante scoprire che il tuo sito WordPress è stato violato. In questo articolo, condivideremo i principali motivi per cui il sito WordPress viene violato, in modo da poter evitare questi errori e proteggere il tuo sito.


Perché i siti WordPress vengono hackerati?

Perché WordPress è mirato dagli hacker?

Innanzitutto, non è solo WordPress. Tutti i siti Web su Internet sono vulnerabili ai tentativi di pirateria informatica.

Il motivo per cui i siti WordPress sono un obiettivo comune è perché WordPress è il costruttore di siti Web più famoso al mondo. Alimenta oltre il 31% di tutti i siti Web, il che significa centinaia di milioni di siti Web in tutto il mondo.

Questa immensa popolarità offre agli hacker un modo semplice per trovare siti Web meno sicuri, in modo che possano sfruttarli.

Gli hacker hanno diversi tipi di motivi per hackerare un sito Web. Alcuni sono principianti che stanno solo imparando a sfruttare siti meno sicuri.

Alcuni hacker hanno intenti malevoli come la distribuzione di malware, l’utilizzo di un sito per attaccare altri siti Web o lo spamming di Internet.

Detto questo, diamo un’occhiata ad alcune delle principali cause di violazione dei siti WordPress e su come impedire che il tuo sito Web venga violato.

1. Web hosting non sicuro

Come tutti i siti Web, i siti WordPress sono ospitati su un server Web. Alcune società di hosting non proteggono correttamente la propria piattaforma di hosting. Ciò rende tutti i siti Web ospitati sui loro server vulnerabili ai tentativi di pirateria informatica.

Questo può essere facilmente evitato scegliendo il miglior provider di hosting WordPress per il tuo sito web. Assicura che il tuo sito sia ospitato su una piattaforma sicura. Server adeguatamente sicuri possono bloccare molti degli attacchi più comuni ai siti WordPress.

Se si desidera prendere ulteriori precauzioni, si consiglia di utilizzare un provider di hosting WordPress gestito.

2. Utilizzo di password deboli

Usando password deboli

Le password sono le chiavi del tuo sito WordPress. Devi assicurarti di utilizzare una password univoca sicura per ciascuno dei seguenti account perché possono tutti fornire a un hacker l’accesso completo al tuo sito Web.

  • Il tuo account amministratore di WordPress
  • Account del pannello di controllo dell’hosting Web
  • Account FTP
  • Database MySQL utilizzato per il tuo sito WordPress
  • Account di posta elettronica utilizzati per l’amministratore di WordPress o l’account di hosting

Tutti questi account sono protetti da password. L’uso di password deboli rende più facile per gli hacker decifrare le password utilizzando alcuni strumenti di hacking di base.

Puoi facilmente evitarlo usando password uniche e forti per ogni account. Consulta la nostra guida sul modo migliore per gestire le password per i principianti di WordPress per imparare a gestire tutte quelle password complesse.

3. Accesso non protetto all’amministratore di WordPress (directory wp-admin)

L’area di amministrazione di WordPress offre a un utente l’accesso per eseguire diverse azioni sul tuo sito WordPress. È anche l’area più comunemente attaccata di un sito WordPress.

Lasciarlo non protetto consente agli hacker di provare diversi approcci per craccare il tuo sito web. Puoi renderlo difficile aggiungendo livelli di autenticazione alla tua directory di amministrazione di WordPress.

Per prima cosa dovresti proteggere con password la tua area di amministrazione di WordPress. Ciò aggiunge un ulteriore livello di sicurezza e chiunque tenti di accedere all’amministratore di WordPress dovrà fornire una password aggiuntiva.

Se gestisci un sito WordPress multi-autore o multiutente, puoi applicare password complesse per tutti gli utenti del tuo sito. Puoi anche aggiungere un’autenticazione a due fattori per rendere ancora più difficile l’accesso degli hacker alla tua area di amministrazione di WordPress.

4. Autorizzazioni file errate

Autorizzazioni per i file

Le autorizzazioni per i file sono un insieme di regole utilizzate dal tuo server web. Queste autorizzazioni aiutano il tuo server web a controllare l’accesso ai file sul tuo sito. Autorizzazioni di file errate possono dare a un hacker l’accesso per scrivere e modificare questi file.

Tutti i tuoi file WordPress dovrebbero avere il valore 644 come permesso per i file. Tutte le cartelle sul tuo sito WordPress dovrebbero avere 755 come autorizzazione per i file.

Consulta la nostra guida su come risolvere il problema di caricamento delle immagini in WordPress per informazioni su come applicare queste autorizzazioni per i file.

5. Non aggiornare WordPress

Alcuni utenti di WordPress hanno paura di aggiornare i loro siti WordPress. Temono che così facendo si spezzerebbe il loro sito web.

Ogni nuova versione di WordPress corregge bug e vulnerabilità della sicurezza. Se non aggiorni WordPress, stai lasciando il tuo sito intenzionalmente vulnerabile.

Se hai paura che un aggiornamento interrompa il tuo sito Web, puoi creare un backup completo di WordPress prima di eseguire un aggiornamento. In questo modo, se qualcosa non funziona, puoi facilmente tornare alla versione precedente.

6. Non aggiornare plugin o tema

Proprio come il software principale di WordPress, l’aggiornamento del tema e dei plugin è altrettanto importante. L’uso di un plug-in o di un tema obsoleti può rendere vulnerabile il tuo sito.

Difetti e bug di sicurezza sono spesso scoperti nei plugin e nei temi di WordPress. Di solito, gli autori di temi e plugin sono pronti a risolverli. Tuttavia, se un utente non aggiorna il proprio tema o plug-in, non c’è nulla che possano fare al riguardo.

Assicurati di mantenere aggiornati il ​​tema e i plugin di WordPress.

7. Utilizzo di FTP semplice anziché SFTP / SSH

SFTP anziché FTP

Gli account FTP vengono utilizzati per caricare file sul tuo server Web utilizzando un client FTP. La maggior parte dei provider di hosting supporta connessioni FTP utilizzando protocolli diversi. Puoi connetterti usando FTP, SFTP o SSH semplici.

Quando ti connetti al tuo sito utilizzando FTP semplice, la tua password viene inviata al server senza crittografia. Può essere spiato e facilmente rubato. Invece di usare FTP, dovresti sempre usare SFTP o SSH.

Non avresti bisogno di cambiare il tuo client FTP. La maggior parte dei client FTP può connettersi al tuo sito Web su SFTP e SSH. Devi solo cambiare il protocollo in “SFTP – SSH” quando ti colleghi al tuo sito web.

8. Utilizzo dell’amministratore come nome utente di WordPress

L’uso di “admin” come nome utente di WordPress non è raccomandato. Se il tuo nome utente amministratore è admin, dovresti cambiarlo immediatamente con un nome utente diverso.

Per istruzioni dettagliate, consulta il nostro tutorial su come modificare il nome utente di WordPress.

9. Temi e plugin annullati

Malware

Ci sono molti siti Web su Internet che distribuiscono gratuitamente plugin e temi WordPress a pagamento. A volte è facile essere tentati di utilizzare quei plugin e temi annullati sul tuo sito.

Scaricare temi e plugin di WordPress da fonti inaffidabili è molto pericoloso. Non solo possono compromettere la sicurezza del tuo sito Web, ma possono anche essere utilizzati per rubare informazioni sensibili.

Dovresti sempre scaricare plug-in e temi WordPress da fonti affidabili come il sito Web degli sviluppatori di plugin / temi o i repository ufficiali di WordPress.

Se non puoi permetterti o non vuoi acquistare un plug-in o un tema premium, allora ci sono sempre alternative gratuite disponibili per quei prodotti. Questi plugin gratuiti potrebbero non essere buoni quanto le loro controparti pagate, ma faranno il loro lavoro e, cosa più importante, proteggeranno il tuo sito Web.

Puoi anche trovare sconti per molti dei popolari prodotti WordPress nella sezione offerte sul nostro sito web.

10. Non proteggere la configurazione di WordPress wp-config.php File

Il file di configurazione di WordPress wp-config.php contiene le credenziali di accesso al database di WordPress. Se è compromesso, rivelerà informazioni che potrebbero dare a un hacker l’accesso completo al tuo sito web.

È possibile aggiungere un ulteriore livello di protezione negando l’accesso al file wp-config utilizzando .htaccess. Aggiungi semplicemente questo piccolo codice al tuo file .htaccess.

l’ordine consente, nega
negato da tutti

11. Non modificare il prefisso della tabella di WordPress

Molti esperti consigliano di modificare il prefisso della tabella di WordPress predefinito. Per impostazione predefinita, WordPress utilizza wp_ come prefisso per le tabelle che crea nel database. Hai un’opzione per cambiarlo durante l’installazione.

Si consiglia di utilizzare un prefisso un po ‘più complicato. Ciò renderà più difficile per gli hacker indovinare i nomi delle tabelle del database.

Per istruzioni dettagliate, consulta la nostra guida su come modificare il prefisso del database WordPress per migliorare la sicurezza.

Pulizia di un sito WordPress compromesso

Pulire un sito WordPress compromesso può essere davvero doloroso. Tuttavia, può essere fatto.

Ecco alcune risorse per iniziare a ripulire un sito WordPress compromesso:

  • Guida per principianti alla correzione del tuo sito WordPress compromesso
  • Come scansionare il tuo sito WordPress per codice potenzialmente dannoso
  • come trovare una backdoor in un sito WordPress compromesso e risolverlo
  • Cosa fare quando si è bloccati dall’amministratore di WordPress (wp-admin)
  • Guida per principianti: come ripristinare WordPress dal backup

Suggerimento bonus

Per una solida sicurezza, usiamo Sucuri su tutti i nostri siti WordPress. Sucuri fornisce servizi di rilevamento e rimozione di malware e un firewall per siti Web che proteggerà il tuo sito Web dalle minacce più comuni.

Scopri come Sucuri ci ha aiutato a bloccare 450.000 attacchi WordPress in 3 mesi

Speriamo che questo articolo ti abbia aiutato a capire i motivi principali per cui il sito WordPress viene violato. Puoi anche consultare la nostra guida di sicurezza WordPress definitiva per proteggere il tuo sito WordPress.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map