Se sei arrivato su questo articolo probabilmente hai avuto un problema di infezione del tuo sito web in WordPress oppure vuoi prevenire questo problema mettendo in sicurezza il tuo WordPress. Se invece hai il dubbio che il tuo sito sia infettato da un virus ti consigliamo di leggere prima questo articolo per scoprire se il tuo sito web è stato infettato o violato e come ripulirlo.
Mettere in sicurezza WordPress
A questo punto, se hai seguito la nostra guida, dovresti essere riuscito a rimuovere tutte le infezioni sul tuo sito e puoi passare a mettere in sicurezza di WordPress.
La prima cosa che ti consiglio è di configurare il firewall di Wordfence. Per fare questo clicca sul tasto in alto Click Here to Configure e segui le istruzioni a video. Inoltre clicca su Yes, enable auto-update per abilitare gli aggiornamenti automatici di Wordfence e tenerlo aggiornato.
Ora pensiamo alla sicurezza di WordPress e passiamo alla configurazione di Wordfence.
Proteggere WordPress configurando Wordfence
Nella sezione Wordfence Global Options apri la scheda General Wordfence Options e metti il segno di spunta su:
- Hide WordPress Version
- Disable Code Execution for Uploads directory
Proteggere WordPress da attacchi Brute Force
Nella sezione Firewall options apri la scheda Brute Force Protection e segui queste istruzioni:
- Assicurati che la protezione sia su ON
- Imposta Lock out after how many login failures e Lock out after how many forgot password attempts su 3
- Imposta Count failures over what time period e Amount of time a user is locked out su 1 Day.
Dopodiché abilita l’opzione Immediately lock out invalid usernames e inserisci i nomi utente che vengono comunemente usati per il brute forcing (uno per riga). Di seguito un piccolo elenco:
- root
- admin
- administrator
- anonymus
- anonymous
- god
- user
- users
Chiunque proverà ad effettuare un login con uno di questi nomi in elenco verrà immediatamente bloccato tramite indirizzo ip e non potrà più accedere al sito.
Proteggere WordPress da password leaking
Abilita anche l’opzione Prevent the use of passwords leaked in data breaches seleziona metti For admins only dal menù a tendina di fianco e abilita anche le seguenti opzioni:
- Enforce strong passwords (Force admins and publishers to use strong passwords (recommended))
- Force admins and publishers to use strong passwords (recommended)
- Don’t let WordPress reveal valid users in login errors
- Prevent users registering ‘admin’ username if it doesn’t exist
- Disable WordPress application passwords
- Check password strength on profile update
Ultime configurazioni di sicurezza per WordPress
Ora vai nella sezione Scan options e nella scheda General options seleziona tutte le opzioni tranne Scan files outside your WordPress installation.
In alcuni casi puoi mettere il segno di spunta anche su Scan files outside your WordPress installation, ma dipende dalla tua installazione di WordPress e del tuo server.
Hai bisogno di assistenza per mettere in sicurezza WordPress?
Compila il form di seguito!
