Plugin per la sicurezza WordPress che sono indispensabili per tenere lontani gli hacker

Rendere sicuro il tuo sito non è un’operazione che si può svolgere in una sola volta. Non esiste un interruttore che puoi impostare su “SICURO” e non preoccupartene più. La sicurezza web si sviluppa a strati e ogni livello ha lo scopo di rendere un po’ più difficile l’ingresso agli hacker. Il nostro obiettivo è creare un numero sufficiente di livelli in modo che essi si arrendano e passino a un sito con meno livelli.

Cos’è la “Sicurezza WordPress”?

Molti proprietari di siti con cui parlo pensano che la sicurezza WordPress sia data un plugin che installano o da un servizio che acquistano. Nulla potrebbe essere più lontano dalla verità. La sicurezza è una mentalità, non è una cosa specifica. È qualcosa a cui dovresti pensare ogni volta che prendi una decisione per il tuo sito web.

  • Vuoi un nuovo tema? Qual è la reputazione degli sviluppatori del tema in termini di sicurezza?
  • Vuoi aggiungere un nuovo plugin? Quanto è sicuro? Sono state segnalate vulnerabilità al suo interno?
  • Vuoi assumere una agenzia per il sito? Cosa hanno da dire gli altri sul suo lavoro? Il codice che sviluppa è sicuro?

Ogni decisione che prendi deve essere legata nella domanda “Come influirà questo sulla sicurezza del mio sito?” Se non puoi dire con certezza che la migliorerà o, almeno, che non la danneggerà, allora devi ripensare alla decisione.

L’altra analogia che uso spesso è che la sicurezza non è un’azione specifica, ma una serie di livelli che avvolgi attorno il tuo sito.

  • Il livello superiore è un firewall di rete
  • Poi c’è il firewall dell’applicazione (in WordPress, di solito è un plugin)
  • Le password complesse
  • L’autenticazione a due fattori
  • Cambiare il nome della directory wp-admin
  • Non utilizzare lo username “admin”
  • Disabilitare XML-RPC

Nessuna di queste cose da sola renderà il tuo sito sicuro. Tuttavia, tutte insieme possono rendere sicuro il tuo sito in modo che i gli hacker passino a un sito meno sicuro. Un’altra buona notizia è che al giorno d’oggi puoi proteggere facilmente il tuo sito ospitandolo su un hosting di alta qualità che si impegna a garantire la tua sicurezza.

Potresti notare che l’installazione di un certificato SSL non è nell’elenco sopra citato. Questo perché avere un certificato SSL è un’opzione considerata standard. Ciò significa che non è una misura di sicurezza, ma qualcosa da fare quando si configura qualsiasi sito web. Dal momento che è gratuito, non c’è assolutamente alcun motivo per cui un sito funzioni senza SSL. Inoltre, su SiteGround, installano certificati SSL Let’s Encrypt gratuiti subito dopo la creazione di ciascun sito, in modo che sia ancora più semplice per i clienti.

>>Se sei interessato a saperne di più sulla sicurezza di WordPress, scarica gratis il nostro eBook “21 Suggerimenti per rendere sicuro il tuo sito WordPress“<<

Quali sono i migliori plugin per la sicurezza WordPress per proteggere ogni livello del tuo sito?

Per impostare la sicurezza WordPress a più livelli sopra descritta, per la maggior parte delle persone ci vorrà un po’ di tempo. Oggigiorno quasi tutto può essere realizzato anche da chi non ha competenze tecniche ma, se non ti senti sicuro, assumi qualcuno di cui ti fidi per farlo per te.

Firewall di rete

Se stai utilizzando un hosting affidabile come SiteGround, il firewall viene configurato per te e non te ne devi preoccupare. Se non sei sicuro che il tuo hosting fornisca questo servizio, chiediglielo. Se non ricevi un chiaro “Sì, ti forniamo un firewall a livello di rete” considera un nuovo servizio di hosting.

Firewall dell’applicazione

Nell’ecosistema di WordPress, “Application Firewall” di solito significa avere un plugin. Ci sono molti buoni plugin tra cui scegliere. Di solito non consiglio plugin specifici perché non appena lo faccio, qualcuno mi scrive per dirmi che i miei consigli sono sbagliati. Tuttavia, poiché molti utenti mi hanno chiesto consigli sui plugin di sicurezza, infrangerò la mia regola e darò alcuni consigli. È importante notare che non sono in ordine di importanza.

A proposito, la maggior parte di questi plugin è molto di più di un semplice firewall per applicazione.

  • Scansione malware
  • Audit di sicurezza
  • Rafforzamento della sicurezza
  • Firewall del sito

Alcune delle aziende dietro questi plugin forniscono anche la rimozione di malware e la pulizia dei siti compromessi. Se stai cercando la massima tranquillità, questo è servizio fondamentale.

Jetpack

Jetpack è il plugin tutto-in-uno di Automattic. Ha molte funzionalità e la maggior parte non riguarda la sicurezza. Tuttavia, ha alcune funzionalità di sicurezza integrate. Se hai già installato Jetpack, considera l’acquisto delle funzionalità di sicurezza.

Se al momento non hai Jetpack installato e non hai bisogno di nessuna delle altre funzionalità, questa potrebbe non essere la soluzione migliore.

Sucuri Security

Sucuri è in circolazione da un po’ di tempo e gode di un’ottima reputazione. Oltre a offrire un firewall per applicazioni, Sucuri offre molte altre funzionalità:

  • Rimozione malware e pulizia da hacker
  • Mitigazione DDoS avanzata
  • Scansione malware e hacker frequente

Queste tre caratteristiche sono importanti e incluse nel livello base. Nel complesso, Sucuri è un’ottima offerta a tutto tondo che per la sicurezza di qualsiasi sito web.

iThemes Security Pro

Attualmente non lo sto usando ma quando lo utilizzavo era uno dei migliori, se non il migliore, sul mercato. (È importante notare che non penso che il plugin sia peggiorato in alcun modo, semplicemente le mie esigenze sono cambiate.)

Ricordo però che la sua pagina di amministrazione è complessa. Assicurati di ritagliarti del tempo per leggere e comprendere ogni opzione a tua disposizione in modo da poter prendere le decisioni giuste. Questo consiglio è ugualmente applicabile a tutti i plugin di sicurezza.

A differenza di altri plugin, iThemes ti offre tutte le funzionalità per ogni fascia di prezzo. La differenza di prezzo si basa sul numero di siti che vuoi proteggere.

Password forti

Sebbene siano disponibili plugin per questo, il supporto per password complesse è fortunatamente integrato nel core di WordPress. Ti suggerisco di imporre password complesse a qualsiasi utente che abbia un livello di sicurezza superiore a Guest o Subscriber. Se possono gestire qualcosa, dovrebbero avere almeno una password sicura.

WP 2FA

L’autenticazione a due fattori (2FA) è una delle tecnologie più recenti, ma è tra le più importanti. Gli accessi e le password possono essere rubati online, ma un telefono no. Aggiungendo la 2FA come livello di sicurezza, rendi impossibile a qualcuno di accedere al tuo sito solo perché ha avuto accesso al tuo login e password.

Un plugin che ho usato nel corso degli anni per implementare questa autenticazione è WP 2FA. Fa solo quello. Se hai già un firewall dell’applicazione che implementa l’autenticazione a due fattori usalo, altrimenti WP-2FA è una buona scelta.

Iscriviti per
altri fantastici contenuti!

Iscriviti per ricevere la nostra newsletter mensile con gli ultimi contenuti utili e le offerte SiteGround.

Grazie!

Per favore, controlla la tua email per confermare l’iscrizione.

…e il resto

Per gli altri livelli di sicurezza, tuttavia, hai ancora bisogno di aiuto. Ho provato combinazioni di dozzine di plugin diversi per implementarli e ogni volta qualcosa non è andato per il verso giusto. Non sempre i plugin funzionano bene tra loro e ti ritrovi con un pasticcio tra le mani.

Ecco perché ero entusiasta quando SiteGround ha rilasciato il suo plugin per la sicurezza WordPress. Esso include diversi livelli di sicurezza in un unico plugin.

SiteGround Security: il plugin tutto-in-uno per la sicurezza WordPress

Questo plugin è il nuovo arrivato del gruppo ma è già diventato il mio plugin di sicurezza preferito. L’ho già installato su 4 delle mie installazioni WordPress e solo una di queste è ospitata su SiteGround.

SiteGround Security è dotato di molte funzionalità di sicurezza. Ognuna di esse può essere attivata o disattivata senza disturbare il resto delle funzionalità. Le mie 4 funzionalità preferite del plugin sono le seguenti:

  • Autenticazione a due fattori
  • Disabilitazione di XML-RPC
  • Disabilitazione dello username “admin”
  • Blocca e proteggi le cartelle di sistema

Nel tempo, ho installato plugin singoli che facevano ognuna di queste cose. E ogni volta, finivo per rimuovere il plugin perché o non faceva il lavoro nel modo in cui volevo, o veniva abbandonato dai suoi sviluppatori e ostacolava l’aggiornamento del mio sistema.

SiteGround Security integra tutte e quattro queste importanti funzionalità in un unico plugin. Poiché è stato creato da SiteGround, so che non verrà mai abbandonato. Anzi, in realtà fa molto di più di queste 4 cose, quindi ti consiglio di installarlo sul tuo sito WordPress e provarlo direttamente. Non devi essere un cliente SiteGround per usarlo!

Conclusioni sulla sicurezza WordPress

Trascorrere del tempo a pensare a proteggere il tuo sito è sempre tempo ben investito. Essere sicuri di avere il sito sempre aggiornato e il più sicuro possibile, significa passare meno tempo a preoccuparsi del proprio sito e più tempo a concentrarsi sulle attività che ti interessano davvero.

Ricorda, il punto fondamentale sulla sicurezza non è bloccare il tuo sistema in modo che nessuno possa entrarci, perché poi… beh, nessuno può entrarci. Il punto è rendere il tuo sito difficile da attaccare, in modo che gli hacker si spostino su un sito in cui hanno più possibilità.

“La sicurezza è un viaggio, non una destinazione.”

— Cal Evans

author avatar
Cal Evans

PHP Evangelist

Una delle persone più amate della community PHP, ha dedicato oltre 16 anni allo sviluppo della straordinaria comunità PHP e al tutoring della nuova generazione di sviluppatori. Siamo estremamente onorati che sia anche un amico molto speciale di SiteGround.

Sicurezza

Inizia la discussione

Sei pronto a iniziare il tuo sito?

Scegli un piano di hosting, crea o trasferisci il tuo sito in pochi click e fai crescere la tua presenza online!

Inizia subito Parla con un esperto