{"id":7558,"date":"2022-01-21T10:48:00","date_gmt":"2022-01-21T10:48:00","guid":{"rendered":"https:\/\/supporthost.com\/it\/?p=7558"},"modified":"2025-11-27T09:20:32","modified_gmt":"2025-11-27T08:20:32","slug":"sicurezza-wordpress","status":"publish","type":"post","link":"https:\/\/supporthost.com\/it\/sicurezza-wordpress\/","title":{"rendered":"Migliorare la sicurezza di WordPress"},"content":{"rendered":"\n<p>Mettere in sicurezza WordPress dovrebbe essere una delle prime preoccupazioni per chiunque abbia un sito web. Ogni settimana Google mette nella sua blacklist 20.000 siti per malware e 50.000 per phishing. Se lavori con il tuo sito web devi porre attenzione alla sicurezza del tuo sito web. Oggi condivideremo con te i migliori sistemi per proteggere il tuo sito web WordPress contro attacchi hacker e malware.<\/p>\n\n\n\n<p>Il core di WordPress, a differenza di quello ch e tanti dicono, \u00e8 molto sicuro e viene rivisto costantemente da centinaia di sviluppatori. Di solito la maggiore vulnerabilit\u00e0 di WordPress \u00e8 proprio l&#8217;utente che a causa di pratiche errate crea dei problemi alla sicurezza di WordPress.<\/p>\n\n\n\n<p>In questo articolo andiamo a vedere cosa possiamo fare per evitare di creare vulnerabilit\u00e0 nel nostro sito WordPress e cosa possiamo fare per rendere la nostra installazione WordPress ancora pi\u00f9 sicura.<\/p>\n\n\n\n<div class=\"wp-block-rank-math-toc-block\" id=\"rank-math-toc\"><h2>Indice<\/h2><nav><ul><li><a href=\"#word-press-e-sicuro\">WordPress \u00e8 sicuro?<\/a><ul><li><a href=\"#perche-la-sicurezza-del-tuo-sito-word-press-e-importante\">Perch\u00e9 la sicurezza del tuo sito WordPress \u00e8 importante?<\/a><\/li><\/ul><\/li><li><a href=\"#cose-la-sicurezza\">Cos\u2019\u00e8 la sicurezza?<\/a><ul><li><a href=\"#concetti-base-sulla-sicurezza\">Concetti base sulla sicurezza<\/a><ul><li><a href=\"#least-privilege-principle\">Least Privilege Principle<\/a><\/li><li><a href=\"#difesa-in-profondita\">Difesa in Profondit\u00e0<\/a><\/li><li><a href=\"#sicurezza-sotto-controllo\">Sicurezza Sotto Controllo<\/a><\/li><li><a href=\"#lavora-in-un-ambiente-sicuro\">Lavora in un Ambiente Sicuro<\/a><\/li><\/ul><\/li><\/ul><\/li><li><a href=\"#tipi-di-vulnerabilita\">Tipi di Vulnerabilit\u00e0<\/a><ul><li><a href=\"#attacchi-brute-force\">Attacchi Brute Force<\/a><ul><li><a href=\"#prevenire-e-bloccare-questo-tipo-di-attacchi\">Prevenire e bloccare questo tipo di attacchi<\/a><\/li><\/ul><\/li><li><a href=\"#sql-injection\">SQL Injection<\/a><ul><li><a href=\"#prevenire-e-bloccare-questo-tipo-di-attacchi-1\">Prevenire e bloccare questo tipo di attacchi<\/a><\/li><\/ul><\/li><li><a href=\"#malware\">Malware<\/a><ul><li><a href=\"#prevenire-e-bloccare-questo-tipo-di-attacchi-2\">Prevenire e bloccare questo tipo di attacchi<\/a><\/li><\/ul><\/li><li><a href=\"#cross-site-scripting\">Cross-Site Scripting<\/a><ul><li><a href=\"#prevenire-e-bloccare-questo-tipo-di-attacchi-3\">Prevenire e bloccare questo tipo di attacchi<\/a><\/li><\/ul><\/li><li><a href=\"#d-dos-attack\">DDos Attack<\/a><ul><li><a href=\"#prevenire-e-bloccare-questo-tipo-di-attacchi-4\">Prevenire e bloccare questo tipo di attacchi<\/a><\/li><\/ul><\/li><li><a href=\"#versioni-obsolete-di-word-press-e-php\">Versioni Obsolete di WordPress e PHP<\/a><ul><li><a href=\"#prevenire-problemi-di-questo-tipo\">Prevenire problemi di questo tipo<\/a><\/li><\/ul><\/li><\/ul><\/li><li><a href=\"#hosting-e-sicurezza\">Hosting e Sicurezza<\/a><ul><li><a href=\"#protezione-anti-d-do-s\">Protezione Anti-DDoS<\/a><ul><li><a href=\"#cose-un-attacco-d-do-s\">Cos&#8217;\u00e8 un attacco DDoS?<\/a><\/li><li><a href=\"#come-funziona-un-attacco-d-do-s\">Come funziona un attacco DDoS<\/a><\/li><li><a href=\"#la-soluzione-di-support-host-agli-attacchi-d-do-s\">La soluzione di SupportHost agli attacchi DDoS<\/a><\/li><li><a href=\"#riconoscimento-automatico-dei-pattern-di-attacco\">Riconoscimento automatico dei pattern di attacco<\/a><\/li><li><a href=\"#filtraggio-del-traffico-in-base-ai-pattern-di-attacco-conosciuti\">Filtraggio del traffico in base ai pattern di attacco conosciuti<\/a><\/li><li><a href=\"#challenge-response-authentication-e-filtraggio-dinamico-del-traffico\">Challenge-Response Authentication e filtraggio dinamico del traffico<\/a><\/li><li><a href=\"#cosa-comporta-per-i-clienti\">Cosa comporta per i clienti<\/a><\/li><\/ul><\/li><li><a href=\"#antivirus\">Antivirus<\/a><\/li><li><a href=\"#anti-malware\">Anti-Malware<\/a><\/li><li><a href=\"#antispam\">Antispam<\/a><\/li><li><a href=\"#firewall\">Firewall<\/a><\/li><li><a href=\"#intrusion-detection-system\">Intrusion Detection System<\/a><\/li><li><a href=\"#isolamento-totale-degli-account\">Isolamento Totale degli Account<\/a><\/li><\/ul><\/li><li><a href=\"#proteggere-word-press\">Proteggere WordPress<\/a><ul><li><a href=\"#mantieni-word-press-aggiornato\">Mantieni WordPress Aggiornato<\/a><\/li><li><a href=\"#installa-una-soluzione-di-backup\">Installa una Soluzione di Backup<\/a><\/li><li><a href=\"#cambia-il-prefisso-del-database\">Cambia il Prefisso del Database<\/a><\/li><li><a href=\"#cambia-le-chiavi-di-sicurezza\">Cambia le Chiavi di Sicurezza<\/a><\/li><li><a href=\"#blindare-la-parte-amministratore\">Blindare la parte amministratore<\/a><ul><li><a href=\"#come-cambiare-lurl-di-login\">Come cambiare l\u2019url di login<\/a><\/li><li><a href=\"#come-limitare-i-tentativi-di-login\">Come limitare i tentativi di login<\/a><\/li><li><a href=\"#usare-una-autenticazione-http\">Usare una autenticazione HTTP<\/a><\/li><li><a href=\"#usare-un-web-application-firewall\">Usare un Web Application Firewall<\/a><\/li><\/ul><\/li><li><a href=\"#scegli-plugin-e-temi-affidabili\">Scegli Plugin e Temi Affidabili<\/a><\/li><\/ul><\/li><li><a href=\"#proteggi-il-login\">Proteggi il Login<\/a><ul><li><a href=\"#scegliere-il-nome-utente\">Scegliere il Nome Utente<\/a><\/li><li><a href=\"#usa-una-password-non-comune\">Usa una Password non Comune<\/a><\/li><li><a href=\"#usare-l-autenticazione-a-due-fattori\">Usare l\u2019Autenticazione a due Fattori<\/a><\/li><li><a href=\"#disconnetti-in-automatico-gli-utenti-inattivi\">Disconnetti in automatico gli utenti inattivi<\/a><\/li><li><a href=\"#disabilita-i-suggerimenti-al-login\">Disabilita i Suggerimenti al Login<\/a><\/li><\/ul><\/li><li><a href=\"#proteggi-files-e-funzioni\">Proteggi Files e Funzioni<\/a><ul><li><a href=\"#nascondi-wp-config-php-e-htaccess\">Nascondi wp-config.php e .htaccess<\/a><\/li><li><a href=\"#nascondi-la-versione-di-word-press\">Nascondi la Versione di WordPress<\/a><\/li><li><a href=\"#disabilita-il-file-editing\">Disabilita il File Editing<\/a><\/li><li><a href=\"#disabilita-lesecuzione-di-files-php-in-alcune-cartelle\">Disabilita l\u2019esecuzione di files PHP in alcune cartelle<\/a><\/li><li><a href=\"#disabilita-il-directory-index\">Disabilita il Directory index<\/a><\/li><li><a href=\"#disabilita-xml-rpc\">Disabilita XML-RPC<\/a><\/li><li><a href=\"#disabilita-le-rest-api\">Disabilita le REST API<\/a><\/li><\/ul><\/li><li><a href=\"#ulteriori-misure-per-mettere-in-sicurezza-word-press\">Ulteriori Misure per mettere in sicurezza WordPress<\/a><ul><li><a href=\"#https-certificato-ssl\">HTTPS, Certificato SSL<\/a><ul><li><a href=\"#sicurezza\">Sicurezza<\/a><\/li><li><a href=\"#seo\">SEO<\/a><\/li><li><a href=\"#fiducia-e-credibilita\">Fiducia e Credibilit\u00e0<\/a><\/li><li><a href=\"#avvisi-di-chrome\">Avvisi di Chrome<\/a><\/li><li><a href=\"#performance\">Performance<\/a><\/li><\/ul><\/li><li><a href=\"#aggiungi-gli-headers-http-per-la-sicurezza\">Aggiungi gli Headers HTTP per la Sicurezza<\/a><ul><li><a href=\"#content-security-policy\">Content-Security Policy<\/a><\/li><li><a href=\"#x-xss-protection\">X-XSS-Protection<\/a><\/li><li><a href=\"#strict-transport-security\">Strict-Transport-Security<\/a><\/li><li><a href=\"#x-frame-options\">X-Frame-Options<\/a><\/li><li><a href=\"#public-key-pins\">Public-Key-Pins<\/a><\/li><li><a href=\"#x-content-type\">X-Content-Type<\/a><\/li><\/ul><\/li><li><a href=\"#permessi-dei-files-sul-server\">Permessi dei Files sul Server<\/a><\/li><li><a href=\"#previeni-lhotlinking\">Previeni l\u2019hotlinking<\/a><\/li><li><a href=\"#nascondi-avvisi-e-notifiche-php\">Nascondi Avvisi e Notifiche PHP<\/a><\/li><li><a href=\"#nascondi-le-informazioni-su-apache-e-php\">Nascondi le Informazioni su Apache e PHP<\/a><\/li><\/ul><\/li><li><a href=\"#mantieni-tutto-separato\">Mantieni tutto separato<\/a><\/li><li><a href=\"#conclusioni\">Conclusioni<\/a><\/li><\/ul><\/nav><\/div>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"word-press-e-sicuro\">WordPress \u00e8 sicuro?<\/h2>\n\n\n\n<p>Stando alle statistiche di sucuri, un\u2019azienda che lavora nel campo della sicurezza online, l\u201983% dei siti infetti con cui loro hanno lavorato sono siti WordPress.<\/p>\n\n\n\n<p>Certo dobbiamo tenere in conto che <a aria-label=\"WordPress (opens in a new tab)\" class=\"rank-math-link\" href=\"https:\/\/supporthost.com\/it\/cose-wordpress-come-funziona\/\" target=\"_blank\" rel=\"noreferrer noopener\">WordPress<\/a> \u00e8 la base usata per la realizzazione del 33% dei siti web presenti su internet. Inoltre non \u00e8 una sorpresa che esistano delle vulnerabilit\u00e0 dal momento che ci sono sul mercato migliaia di <a aria-label=\"temi WordPress (opens in a new tab)\" class=\"rank-math-link\" href=\"https:\/\/supporthost.com\/it\/temi-wordpress\/\" target=\"_blank\" rel=\"noreferrer noopener\">temi WordPress<\/a> e plugin.<\/p>\n\n\n\n<p>La community di WordPress \u00e8 molto attiva e il \u201cWordPress Security Team\u201d conta 50 esperti di sicurezza che lavorano costantemente per mantenere sicuro il famoso CMS.<\/p>\n\n\n\n<p>I problemi pi\u00f9 comuni che portano un sito ad essere hackerata sono solitamente dovuti a cattive pratiche da parte dell\u2019utente o dell\u2019hosting. In uno dei seguenti punti vedremo cosa fa SupportHost per proteggere al massimo il tuo sito web.<\/p>\n\n\n\n<p>Tra queste pratiche citiamo:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>utilizzo di vecchie versioni di WordPress con vulnerabilit\u00e0 conosciute<\/li>\n\n\n\n<li>utilizzo di temi e plugin nulled<\/li>\n\n\n\n<li>amministrazione di sistema fatta in modo errato<\/li>\n\n\n\n<li>cattiva <a href=\"https:\/\/supporthost.com\/it\/gestione-password\/\" data-type=\"post\" data-id=\"43161\">gestione delle password<\/a><\/li>\n\n\n\n<li>scarse conoscenze tecniche da parte dell\u2019utente che lo porta a compiere errori banali<\/li>\n<\/ul>\n\n\n\n<p class=\"note\">Controlla anche il nostro articolo sulle <a href=\"https:\/\/supporthost.com\/it\/statistiche-wordpress\/\" data-type=\"post\" data-id=\"52633\">statistiche di WordPress<\/a> (aggiornate al 2023) per conoscere quante vulnerabilit\u00e0 sono state identificate negli ultimi anni.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"perche-la-sicurezza-del-tuo-sito-word-press-e-importante\">Perch\u00e9 la sicurezza del tuo sito WordPress \u00e8 importante?<\/h3>\n\n\n\n<p>Se il tuo sito viene hackerato la tua attivit\u00e0 ne risente, ma anche la tua reputazione. Gli <a href=\"https:\/\/supporthost.com\/it\/sito-wordpress-attacco-hacker\/\" target=\"_blank\" aria-label=\"hacker (opens in a new tab)\" rel=\"noreferrer noopener\" class=\"rank-math-link\">hacker<\/a> possono rubare informazioni sui tuoi utenti\/clienti, rubare le password, installare software malevolo o distribuire malware ai tuoi utenti.<\/p>\n\n\n\n<p>In qualche caso potresti ritrovarti a dover pagare un hacker per poter ottenere nuovamente accesso al tuo sito web.<\/p>\n\n\n\n<p>Alla luce dei numeri di cui ho parlato qui sopra, se il tuo sito rappresenta la tua azienda e lo usi per creare un reddito devi prestare una particolare attenzione alla sicurezza della tua installazione WordPress.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"cose-la-sicurezza\">Cos\u2019\u00e8 la sicurezza?<\/h2>\n\n\n\n<p>La sicurezza non \u00e8 un concetto assoluto ma un processo continuo, e deve essere targato come tale. Non \u00e8 possibile eliminare il rischio, questo non sar\u00e0 mai nullo, ma possiamo ridurlo.<\/p>\n\n\n\n<p>La sicurezza non si riferisce soltanto a WordPress, ma devi rendere sicuri anche il tuo ambiente locale, i processi che usi e quello che fai online. La sicurezza si divide in tre settori: persone, processi e tecnologie. Questi tre settori devono lavorare in sinergia per garantire il massimo della sicurezza.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"concetti-base-sulla-sicurezza\">Concetti base sulla sicurezza<\/h3>\n\n\n\n<p>Ci sono dei concetti base sulla sicurezza di cui dovresti essere a conoscenza prima di avventurarti nell&#8217;argomento che stiamo per trattare nel dettaglio: la sicurezza di WordPress. Questi concetti sono di importanza critica per capire ed implementare i passi descritti in questa guida.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"least-privilege-principle\">Least Privilege Principle<\/h4>\n\n\n\n<p>Quando si configura un\u2019applicazione web, nel nostro caso specifico WordPress, ogni applicazione o utente deve poter acceder soltanto alle risorse necessarie, e niente di pi\u00f9. In altre parole non dobbiamo dare dei permessi maggiori rispetto a quelli necessari ad un utente. Ad esempio se un utente del tuo blog deve soltanto modificare i post non ha senso dargli i privilegi di amministratore.<\/p>\n\n\n\n<figure class=\"wp-block-image aligncenter size-large is-resized\"><img loading=\"lazy\" decoding=\"async\" width=\"865\" height=\"924\" src=\"https:\/\/supporthost.com\/it\/wp-content\/uploads\/sites\/2\/2021\/03\/accesso-negato.png\" alt=\"Accesso Negato\" class=\"wp-image-17835\" srcset=\"https:\/\/supporthost.com\/it\/wp-content\/uploads\/sites\/2\/2021\/03\/accesso-negato.png 865w, https:\/\/supporthost.com\/it\/wp-content\/uploads\/sites\/2\/2021\/03\/accesso-negato-281x300.png 281w, https:\/\/supporthost.com\/it\/wp-content\/uploads\/sites\/2\/2021\/03\/accesso-negato-768x820.png 768w, https:\/\/supporthost.com\/it\/wp-content\/uploads\/sites\/2\/2021\/03\/accesso-negato-59x63.png 59w\" sizes=\"auto, (max-width: 865px) 100vw, 865px\" \/><\/figure>\n\n\n\n<p>Il Least Privilege Principle prevede di fornire alle persone l\u2019accesso minimo richiesto per svolgere la loro funzione e solo per il tempo necessario a compiere il loro lavoro. Una volta completato il lavoro l\u2019accesso deve essere riportato ad un livello appropriato. WordPress ha gi\u00e0 dei <a href=\"https:\/\/supporthost.com\/it\/ruoli-wordpress\/\" data-type=\"post\" data-id=\"75740\">ruoli utente<\/a> di default, ognuno con permessi diversi, facilitandoti il compito di assegnare ad ogni utente i privilegi necessari.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"difesa-in-profondita\">Difesa in Profondit\u00e0<\/h4>\n\n\n\n<p>Questa idea si basa sul fatto che non esiste una sola soluzione per tutti i problemi di sicurezza. Si propone quindi l\u2019uso di un approccio a livelli complementari tra loro, disegnati per coprire i deficit dell\u2019altro livello. Usando livelli multipli di sicurezza se una di queste misure di sicurezza viene superata l\u2019attacco viene fermato al livello successivo, o almeno viene rallentato e scoperto in tempo.<\/p>\n\n\n\n<p>Usare una sicurezza a livelli di questo tipo si traduce in una soluzione del tipo: utilizzo di un <a href=\"https:\/\/supporthost.com\/it\/firewall\/\" data-type=\"post\" data-id=\"57360\">firewall<\/a> per mitigare gli attacchi esterni, usare una scansione di sicurezza per individuare e bloccare quegli attacchi che superano il firewall, usare diversi tipi di autenticazione.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"sicurezza-sotto-controllo\">Sicurezza Sotto Controllo<\/h4>\n\n\n\n<p>Andiamo oltre i concetti teorici e usiamo questi controlli nella pratica. Per proteggere il nostro sito mettendo in sicurezza WordPress ci atterremo ai seguenti punti:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Limita l\u2019accesso:<\/strong>&nbsp;riduci al minimo il numero di persone che hanno accesso amministrativo al tuo sito web. Dovresti anche ridurre al minimo il numero di \u201centry point\u201d, ovvero eliminare tutte le applicazioni web che non usi e rimuovere temi e plugin che non utilizzi.<\/li>\n\n\n\n<li><strong>Isolamento funzionale:<\/strong>&nbsp;il tuo sistema deve essere impostato in modo da ridurre al massimo il danno che pu\u00f2 essere causato in caso venga compromesso. Con SupportHost tutti gli account sono isolati, quindi non \u00e8 possibile attaccare un altro account partendo da un account infetto. \u00c8 consigliabile evitare di usare diverse applicazioni sullo stesso account hosting (ad esempio noi abbiamo l\u2019area clienti su un dominio diverso, in questo modo se il nostro sito WordPress venisse bucato i dati dei nostri sono al sicuro altrove). Se usi un account hosting per sito il danno sarebbe limitato ad un solo sito web.<\/li>\n\n\n\n<li><strong>Backups:<\/strong>&nbsp;mantieni dei backup aggiornati per il tuo sito web. Con SupportHost sei al sicuro dal momento che manteniamo 30 backup giornalieri per ogni account. \u00c8 importante avere un piano per recuperare il tuo sito web nel caso in questo venga compromesso.<\/li>\n\n\n\n<li><strong>Mantieni tutto all\u2019ultima versione:<\/strong>&nbsp;devi fare il possibile per mantenere tutto aggiornato all\u2019ultima versione. Stiamo parlando del core di WordPress, i temi ed i plugin che usi, ma anche assicurarti che il tuo provider mantenga aggiornati all\u2019ultima versione il sistema operativo del server e tutti i pannelli di controllo.<\/li>\n\n\n\n<li><strong>Fonti di fiducia:<\/strong>&nbsp;non scaricare temi o plugin nulled o da fonti di cui non puoi fidarti al 100%. Usare un plugin nulled \u00e8 la ricetta per un disastro. Ci sono persone che di lavoro distribuiscono plugin e temi nulled con malware allo scopo di penetrare nel tuo sito e usarlo a loro piacimento.<\/li>\n\n\n\n<li><strong>Aggiornamenti di Sicurezza e Notizie:<\/strong>&nbsp;le falle di sicurezza sono un problema in qualsiasi software e WordPress non ne \u00e8 immune. Resta aggiornato iscrivendoti al database delle vulnerabilit\u00e0 di WordPress mantenuto da&nbsp;<a href=\"https:\/\/wpvulndb.com\/\" rel=\"noopener\">WPVulnDB.com<\/a>&nbsp;oppure seguendo la&nbsp;<a href=\"https:\/\/wordpress.org\/news\/category\/security\/\" class=\"rank-math-link\" rel=\"noopener\">categoria sicurezza del blog di WordPress<\/a>.<\/li>\n<\/ul>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"lavora-in-un-ambiente-sicuro\">Lavora in un Ambiente Sicuro<\/h4>\n\n\n\n<p>Devi inoltre essere certo che l\u2019ambiente in cui lavori \u00e8 sicuro. Mantieni il software del tuo computer, browser e router all\u2019ultima versione, e controllalo periodicamente con software apposito alla ricerca di virus, malware o spyware. Considera l\u2019utilizzo di una VPN sicura per criptare tutte le tue comunicazioni online quando usi delle connessioni pubbliche.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"tipi-di-vulnerabilita\">Tipi di Vulnerabilit\u00e0<\/h2>\n\n\n\n<p>Dal momento che WordPress \u00e8 una piattaforma open source, chiunque pu\u00f2 contribuire al suo sviluppo. Questo rende semplice trovare sviluppatori per la creazioni di temi e plugin e offre sempre maggiori funzionalit\u00e0 agli utenti.<\/p>\n\n\n\n<p>Ma \u00e8 proprio questa apertura che porta a problemi di sicurezza che non possono essere ignorati. Ogni plugin ed ogni tema che viene creato pu\u00f2 contenere delle vulnerabilit\u00e0. Esistono diversi tipi di vulnerabilit\u00e0. Vediamole una ad una.<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Attacchi Brute Force<\/li>\n\n\n\n<li>SQL Injection<\/li>\n\n\n\n<li>Malware<\/li>\n\n\n\n<li>Cross-Site Scripting<\/li>\n\n\n\n<li>DDos Attack<\/li>\n\n\n\n<li>Versioni obsolete di WordPress e PHP<\/li>\n<\/ul>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"attacchi-brute-force\">Attacchi Brute Force<\/h3>\n\n\n\n<p>Un attacco Brute Force non \u00e8 n\u00e9 pi\u00f9 n\u00e9 meno che una serie di tentativi per scoprire una password. In pratica un bot prova diverse combinazioni fino a trovare l\u2019utente e la password corretti. Solitamente vengono usati degli algoritmi e dei dizionari per cercare di indovinare le password pi\u00f9 comuni.<\/p>\n\n\n\n<p>Questo tipo di attacco \u00e8 difficile da eseguire ma rimane comune. WordPress non blocca ripetuti tentativi di login quindi un bot pu\u00f2 provare migliaia di combinazioni al secondo. Su SupportHost abbiamo un sistema di sicurezza per proteggere i nostri utenti da questo tipo di attacco, di cui parleremo nel prossimo capitolo.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"prevenire-e-bloccare-questo-tipo-di-attacchi\">Prevenire e bloccare questo tipo di attacchi<\/h4>\n\n\n\n<p>Per evitare questo tipo di attacchi (oltre alle nostre protezioni) \u00e8 consigliabile usare <strong>password lunghe<\/strong> che contengano maiuscole, minuscole, numeri e simboli, usando ad esempio i <a aria-label=\"caratteri speciali (opens in a new tab)\" href=\"https:\/\/supporthost.com\/it\/caratteri-speciali-tastiera\/\" target=\"_blank\" rel=\"noreferrer noopener\" class=\"rank-math-link\">caratteri speciali<\/a> della tastiera. Un\u2019altra buona norma \u00e8 quella di usare un nome utente diverso da <em>admin <\/em>per il login, questo \u00e8 il nome utente pi\u00f9 comune e quello che viene principalmente usato per questo tipo di attacchi.<\/p>\n\n\n\n<p>Se vogliamo mettere in sicurezza WordPress un\u2019altra buona pratica \u00e8 di usare un\u2019<a href=\"https:\/\/supporthost.com\/it\/autenticazione-due-fattori-wordpress\/\" data-type=\"link\" data-id=\"https:\/\/supporthost.com\/it\/autenticazione-due-fattori-wordpress\/\">autenticazione a due fattori<\/a>, di cui parleremo con maggiori dettagli in seguito.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"sql-injection\">SQL Injection<\/h3>\n\n\n\n<p>Questo \u00e8 uno dei metodi pi\u00f9 vecchi per hackerare un sito e consiste nell\u2019iniettare una query SQL usando un form, allo scopo di corrompere il database.<\/p>\n\n\n\n<p>Dopo aver effettuato l\u2019intrusione l\u2019attaccante pu\u00f2 manipolare il database MySQL ed ottenere l\u2019accesso come admin o cambiare le credenziali di accesso. Questo tipo di attacco \u00e8 di solito eseguito da hacker amatoriali che vogliono testare le loro capacit\u00e0.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"prevenire-e-bloccare-questo-tipo-di-attacchi-1\">Prevenire e bloccare questo tipo di attacchi<\/h4>\n\n\n\n<p>Puoi usare un plugin per controllare se il tuo sito \u00e8 stato vittima di questo tipo di attacco. Due ottimi plugin per fare un controllo di questo tipo sono&nbsp;<a class=\"rank-math-link\" href=\"https:\/\/wpscan.com\/wordpress-security-scanner\" rel=\"noopener\">WPScan<\/a>&nbsp;e&nbsp;<a href=\"https:\/\/sitecheck.sucuri.net\/\" rel=\"noopener\">Sucuri SiteCheck<\/a>.<\/p>\n\n\n\n<p>Su SupportHost usiamo <a href=\"https:\/\/supporthost.com\/it\/tutorial\/imunify-360\/\" data-type=\"bwl_kb\" data-id=\"21255\">Imunify 360<\/a> che permette una scansione a pari livello, senza influire sulle prestazioni del sito. I <a href=\"https:\/\/supporthost.com\/it\/plugin-sicurezza-wordpress\/\" data-type=\"post\" data-id=\"41834\">plugin di sicurezza<\/a>, infatti, sono tra i <a href=\"https:\/\/supporthost.com\/it\/plugin-che-rallentano-wordpress\/\" data-type=\"post\" data-id=\"10712\">plugin che rallentano WordPress<\/a>. Questi plugin andrebbero evitati perch\u00e9 hanno un impatto piuttosto importante sulle prestazioni, e fanno un lavoro che il server, se ben gestito e con i software corretti, esegue in modo pi\u00f9 efficiente.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"malware\">Malware<\/h3>\n\n\n\n<p>In questo caso viene iniettato del codice malevolo nella tua installazione WordPress usando un tema infettato, o una versione vecchia di un plugin. Questo malware pu\u00f2 essere usato per estrarre dei dati dal tuo sito oppure per inserire del contenuto facendolo passare inosservato.<\/p>\n\n\n\n<p>I malware possono causare danni di vario tipo, da aggiungere dei link al contenuto del tuo sito fino ad infettare il core della tua installazione WordPress<\/p>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"prevenire-e-bloccare-questo-tipo-di-attacchi-2\">Prevenire e bloccare questo tipo di attacchi<\/h4>\n\n\n\n<p>Usualmente \u00e8 lo stesso utente ad infettare il suo sito usando <a href=\"https:\/\/supporthost.com\/it\/nulled\/\" data-type=\"post\" data-id=\"23541\">temi e plugin nulled<\/a> (crackati). Una regola d&#8217;oro per mettere in sicurezza WordPress e proteggere il tuo sito \u00e8 quella di assicurarsi di scaricare i temi e plugin per il tuo sito web soltanto da fonti sicure. Esistono persone che comprano i temi e plugin premium e li distribuiscono gratis dopo aver introdotto un malware al loro interno.<\/p>\n\n\n\n<p>Plugins come&nbsp;<a href=\"https:\/\/it.wordpress.org\/plugins\/sucuri-scanner\/\" rel=\"noopener\">Sucuri<\/a>&nbsp;o&nbsp;<a href=\"https:\/\/it.wordpress.org\/plugins\/wordfence\/\" rel=\"noopener\">WordFence<\/a>&nbsp;possono eseguire una <a href=\"https:\/\/supporthost.com\/it\/scansione-sito\/\" data-type=\"post\" data-id=\"30660\">scansione<\/a> e scoprire i malware.<\/p>\n\n\n\n<p>Nel prossimo capitolo vedremo come proteggiamo i clienti di SupportHost da questo tipo di minaccia.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"cross-site-scripting\">Cross-Site Scripting<\/h3>\n\n\n\n<p>Uno degli attacchi pi\u00f9 comuni \u00e8 il Cross-Site Scripting conosciuto anche come attacco XSS. In questo caso l\u2019attaccante carica un codice JavaScript che quando viene eseguito dal browser del cliente raccoglie i dati e in alcuni casi esegue un redirect ad un sito malevolo.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"prevenire-e-bloccare-questo-tipo-di-attacchi-3\">Prevenire e bloccare questo tipo di attacchi<\/h4>\n\n\n\n<p>Per evitare questo tipo di attacchi devi validare i dati che vengono inseriti nel tuo sito WordPress tramite la sanitizzazione. Questo viene eseguito direttamente dai temi e plugin, la sanitizzazione viene fatta tramite codice. Puoi usare un plugin come&nbsp;<a href=\"https:\/\/wordpress.org\/plugins\/prevent-xss-vulnerability\/\" rel=\"noopener\">Prevent XSS Vulnerability<\/a>&nbsp;per proteggerti.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"d-dos-attack\">DDos Attack<\/h3>\n\n\n\n<p>Un attacco&nbsp;<strong>Distributed Denial of Service (DDoS)<\/strong>&nbsp;\u00e8 una versione pi\u00f9 evoluta di un attacco&nbsp;<strong>Denial of Service (DoS)<\/strong>. Questo tipo di attacco prevede che vengano eseguite una quantit\u00e0 di richieste tali da causare problemi al server web.<\/p>\n\n\n\n<p>Mentre gli attacchi DoS usano una solo sorgente (e sono quindi pi\u00f9 facili da bloccare) gli <a href=\"https:\/\/supporthost.com\/it\/ddos\/\" data-type=\"post\" data-id=\"30811\">attacchi DDoS<\/a> vengono lanciati da diverse postazioni (centinaia o migliaia di IP che visitano in modo simultaneo) e risultano quindi pi\u00f9 difficili da bloccare.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"prevenire-e-bloccare-questo-tipo-di-attacchi-4\">Prevenire e bloccare questo tipo di attacchi<\/h4>\n\n\n\n<p>Su SupportHost abbiamo una protezione DDoS avanzata di cui parleremo nei dettagli nel prossimo capitolo. Per prevenire questo tipo di attacchi c\u2019\u00e8 ben poco che puoi fare tu stesso per mettere in sicurezza WordPress, ma devi fidarti delle misure messe in atto da tuo hosting provider.<\/p>\n\n\n\n<p>Proprio recentemente un famoso provider italiano \u00e8 finito sotto attacco DDoS lasciando tutti i suoi utenti offline per giorni, una situazione che si sarebbe potuto evitare se avessero avuto in uso delle protezioni avanzate per questo tipo di attacco.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"versioni-obsolete-di-word-press-e-php\">Versioni Obsolete di WordPress e PHP<\/h3>\n\n\n\n<p>Le vecchie versioni di WordPress sono facili da hackerare in quanto contengono delle vulnerabilit\u00e0 conosciute. WordPress rilascia continuamente delle versioni con aggiornamenti di sicurezza proprio a tale scopo.<\/p>\n\n\n\n<figure class=\"wp-block-image aligncenter size-large is-resized\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"865\" src=\"https:\/\/supporthost.com\/it\/wp-content\/uploads\/sites\/2\/2021\/04\/sicurezza-1024x865.png\" alt=\"Sicurezza\" class=\"wp-image-18234\" srcset=\"https:\/\/supporthost.com\/it\/wp-content\/uploads\/sites\/2\/2021\/04\/sicurezza-1024x865.png 1024w, https:\/\/supporthost.com\/it\/wp-content\/uploads\/sites\/2\/2021\/04\/sicurezza-300x253.png 300w, https:\/\/supporthost.com\/it\/wp-content\/uploads\/sites\/2\/2021\/04\/sicurezza-768x649.png 768w, https:\/\/supporthost.com\/it\/wp-content\/uploads\/sites\/2\/2021\/04\/sicurezza-75x63.png 75w, https:\/\/supporthost.com\/it\/wp-content\/uploads\/sites\/2\/2021\/04\/sicurezza.png 1094w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<p>Lo stesso pu\u00f2 succedere se usi una vecchia versione di PHP, che pu\u00f2 avere delle falle di sicurezza, oppure causare dei problemi di incompatibilit\u00e0. Dal momento che WordPress usa PHP ha bisogno di una versione di PHP aggiornata per funzionare senza problemi.<\/p>\n\n\n\n<p>Stando alle statistiche ufficiali di WordPress il 42,6% degli utenti usa un vecchia versione di WordPress e solo il 2,3% dei siti in WordPress usa l\u2019ultima versione di PHP, che in questo momento \u00e8 la 7.2.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"prevenire-problemi-di-questo-tipo\">Prevenire problemi di questo tipo<\/h4>\n\n\n\n<p>Questo \u00e8 molto semplice. Per evitare vulnerabilit\u00e0 di questo genere devi stare alla larga dalle versioni obsolete, ci\u00f2 significa che per mettere in sicurezza WordPress e mantenerlo tale, non devi far altro che mantenere WordPress, i plugin ed i temi che usi all\u2019ultima versione.<\/p>\n\n\n\n<p>Per quanto riguarda PHP e tutto il software sul server non devi far niente, dal momento che ci pensa il tuo provider. Con SupportHost puoi scegliere quale versione di PHP usare, e manteniamo tutto il software sul server sempre all\u2019ultima versione per garantire il massimo della sicurezza.<\/p>\n\n\n\n<p>Non dovrai far altro che seguire il nostro tutorial per cambiare la&nbsp;<a href=\"https:\/\/supporthost.com\/it\/tutorial\/versione-php\/\" target=\"_blank\" aria-label=\" (opens in a new tab)\" rel=\"noreferrer noopener\" class=\"rank-math-link\">versione di PHP<\/a>&nbsp;dopo esserti accertato che i plugin e temi che usi sono compatibili con l\u2019ultima versione disponibile.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"hosting-e-sicurezza\">Hosting e Sicurezza<\/h2>\n\n\n\n<p>Il primo livello di sicurezza deve essere fornito dal provider. Non importa cosa fai, se il tuo provider non riesce a mantenere un ambiente sicuro per il tuo sito web e non \u00e8 in grado di proteggerti dagli attacchi pi\u00f9 comuni non riuscirai mai ad avere un sito sicuro e ogni tentativo di mettere in sicurezza WordPress sar\u00e0 vano.<\/p>\n\n\n\n<p>Nel nostro&nbsp;<a href=\"https:\/\/supporthost.com\/it\/hosting-wordpress\/\">hosting WordPress<\/a>&nbsp;abbiamo diversi sistemi atti a proteggere i siti dei nostri clienti, vediamoli nel dettaglio.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"protezione-anti-d-do-s\">Protezione Anti-DDoS<\/h3>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"cose-un-attacco-d-do-s\">Cos&#8217;\u00e8 un attacco DDoS?<\/h4>\n\n\n\n<p>Un attacco DDoS (distributed denial-of-service) \u00e8 un tipo di attacco che consiste nel sovraccaricare un server, servizio o network con un&#8217;ondata di traffico proveniente da diverse sorgenti. Gli attacchi DDoS traggono la loro efficienza dall&#8217;utilizzo di sorgenti di traffico multiple, sorgenti che sono state precedentemente compromesse a questo scopo. Un attacco DDoS \u00e8 come un&#8217;autostrada trafficata, tanto trafficata da non permettere al normale traffico di arrivare a destinazione.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"come-funziona-un-attacco-d-do-s\">Come funziona un attacco DDoS<\/h4>\n\n\n\n<p>Il primo requisito di un attacco DDoS \u00e8 che l&#8217;attaccante abbia il controllo di una rete di macchine online per poter dirigere l&#8217;attacco. Queste vengono infettate con un malware in modo da poter essere usate come un bot. L&#8217;attaccante ha quindi il controllo su queste macchine (bots), questa rete viene chiamata botnet.<\/p>\n\n\n\n<p>Una volta creata la botnet l&#8217;attaccante fornisce le istruzioni per l&#8217;attacco da remoto. Una volta che l&#8217;IP della vittima viene deciso ogni bot invia delle richieste causando un sovraccarico che risulta in una impossibilit\u00e0 di offrire il servizio&nbsp;al normale traffico. Dal momento che ogni bot appare come normale traffico \u00e8 difficile separare gli attaccanti dal normale traffico.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"la-soluzione-di-support-host-agli-attacchi-d-do-s\">La soluzione di SupportHost agli attacchi DDoS<\/h4>\n\n\n\n<p>SupportHost usa degli strumenti automatici per proteggere le applicazioni, i siti ed i server dei clienti da questo tipo di minaccia. Il nostro sistema automatico di prevenzione riconosce quasi tutti questi attacchi in anticipo, permettendoci di bloccarli sul nascere e sventare questo tipo di attacchi prima che possano creare disservizi ai nostri clienti. Proteggiamo i nostri clienti con harware Arbor e Juniper.<\/p>\n\n\n\n<figure class=\"wp-block-image aligncenter size-full\"><img loading=\"lazy\" decoding=\"async\" width=\"500\" height=\"111\" src=\"https:\/\/supporthost.com\/it\/wp-content\/uploads\/sites\/2\/2020\/05\/trasmissione-dei-dati-in-condizioni-normali.png\" alt=\"Trasmissione Dei Dati In Condizioni Normali\" class=\"wp-image-11674\" srcset=\"https:\/\/supporthost.com\/it\/wp-content\/uploads\/sites\/2\/2020\/05\/trasmissione-dei-dati-in-condizioni-normali.png 500w, https:\/\/supporthost.com\/it\/wp-content\/uploads\/sites\/2\/2020\/05\/trasmissione-dei-dati-in-condizioni-normali-300x67.png 300w, https:\/\/supporthost.com\/it\/wp-content\/uploads\/sites\/2\/2020\/05\/trasmissione-dei-dati-in-condizioni-normali-120x27.png 120w\" sizes=\"auto, (max-width: 500px) 100vw, 500px\" \/><figcaption class=\"wp-element-caption\">Trasmissione dei dati in condizioni normali<\/figcaption><\/figure>\n\n\n\n<figure class=\"wp-block-image aligncenter size-full\"><img loading=\"lazy\" decoding=\"async\" width=\"500\" height=\"196\" src=\"https:\/\/supporthost.com\/it\/wp-content\/uploads\/sites\/2\/2020\/05\/trasmissione-dei-dati-durante-un-attacco-ddos.png\" alt=\"Trasmissione Dei Dati Durante Un Attacco Ddos\" class=\"wp-image-11675\" srcset=\"https:\/\/supporthost.com\/it\/wp-content\/uploads\/sites\/2\/2020\/05\/trasmissione-dei-dati-durante-un-attacco-ddos.png 500w, https:\/\/supporthost.com\/it\/wp-content\/uploads\/sites\/2\/2020\/05\/trasmissione-dei-dati-durante-un-attacco-ddos-300x118.png 300w, https:\/\/supporthost.com\/it\/wp-content\/uploads\/sites\/2\/2020\/05\/trasmissione-dei-dati-durante-un-attacco-ddos-120x47.png 120w\" sizes=\"auto, (max-width: 500px) 100vw, 500px\" \/><figcaption class=\"wp-element-caption\">Trasmissione dei dati durante un attacco DDoS<\/figcaption><\/figure>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"riconoscimento-automatico-dei-pattern-di-attacco\">Riconoscimento automatico dei pattern di attacco<\/h4>\n\n\n\n<p>Oltre a riconoscere l&#8217;attacco basandoci sulla quantit\u00e0 di traffico ricevuto, SupportHost \u00e8 in grado di definire il tipo di attacco e reagire in modo adeguato ad ogni tipo di attacco per prevenirlo.<\/p>\n\n\n\n<p>Per esempio un UDP flood con 500k pps non crea alcun problema al server, mentre un pacchetto 500k SYN potrebbe creare problemi. La nostra protezione DDoS pu\u00f2 individuare la differenza tra i due e reagire di conseguenza.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"filtraggio-del-traffico-in-base-ai-pattern-di-attacco-conosciuti\">Filtraggio del traffico in base ai pattern di attacco conosciuti<\/h4>\n\n\n\n<p>Questo metodo ci permette di filtrare in modo automatico i metodi di attacco gi\u00e0 conosciuti e far passare questo traffico tramite i nostri filtri. Questo metodo \u00e8 particolarmente efficace per i seguenti tipi di attacco: DNS reflection, NTP reflection, e UDP floods sulla porta 80.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"challenge-response-authentication-e-filtraggio-dinamico-del-traffico\">Challenge-Response Authentication e filtraggio dinamico del traffico<\/h4>\n\n\n\n<p>In questo ultimo livello filtriamo gli attacchi SYN floods, DNS floods e pacchetti invalidi. Siamo inoltre in grado di adattarci in modo flessibile ad altri tipi di attacchi per poterli mitigare. Queste tecnologie ci permettono un alto livello di automazione, automazione che viene costantemente aggiornata ed ottimizzata. Miglioriamo costantemente il sistema in modo da ottimizzare i filtri e le risposte.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"cosa-comporta-per-i-clienti\">Cosa comporta per i clienti<\/h4>\n\n\n\n<p>La nostra protezione DDoS non incide sui prezzi che offriamo ai nostri clienti. Il nostro sistema riconosce gli attacchi DDoS e la sua abilit\u00e0 di riconoscerli migliora nel tempo. Una volta che l&#8217;attacco viene riconosciuto, la nostra protezione DDoS dinamica entra in azione filtrando l&#8217;attacco. Il tuo traffico non sar\u00e0 influenzato dalle nostre protezioni dinamiche atte a mitigare l&#8217;attacco.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"antivirus\">Antivirus<\/h3>\n\n\n\n<p>ClamAV \u00e8 un software antivirus open source che serve ad identificare trojans, virus, malware ed altre minacce appoggiandosi a dati aggiornati automaticamente tramite internet.<\/p>\n\n\n\n<p>Usiamo ClamAV per eseguire una scansione di tutte le email in entrata ed in uscita sui nostri server, per assicurarci che non puoi n\u00e9 inviare n\u00e9 ricevere virus o altro tramite il nostro servizio.<\/p>\n\n\n\n<p>Inoltre puoi eseguire in completa autonomia una&nbsp;<a href=\"https:\/\/supporthost.com\/it\/tutorial\/scansione-antivirus\/\">scansione antivirus<\/a>&nbsp;del tuo account seguendo il nostro tutorial.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"anti-malware\">Anti-Malware<\/h3>\n\n\n\n<p>Eseguiamo automaticamente una scansione Anti-malware su tutti i files nel momento in cui vengono caricati sul server.<\/p>\n\n\n\n<p>Il software che usiamo a tale scopo \u00e8 imunify 360. La scansione attiva dei file pu\u00f2 aiutare a prevenire lo sfruttamento di un account da parte di malware, eliminando o spostando i file sospetti in quarantena prima che diventino attivi. Pu\u00f2 anche impedire il caricamento di script PHP e di shell perl, comunemente usati per lanciare pi\u00f9 attacchi dannosi e per inviare spam.<\/p>\n\n\n\n<p>Imunify 360 consente inoltre di eseguire scansioni on-demand di file, directory e account utente per sospetti exploit, virus e risorse sospette (file, directory, symlinks, sockets). \u00c8 possibile eseguire scansioni di dati utente esistenti per verificare se gli exploit sono stati caricati in passato o tramite metodi non coperti dalla scansione attiva.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"antispam\">Antispam<\/h3>\n\n\n\n<p>Su tutti i server SupportHost \u00e8 configurato SpamAssassin. Questo \u00e8 un software antispam che filtra le mail di spam in ricezione usando regole basate sul contesto ma anche regole basate su DNS, checksum e filtraggio statistico.<\/p>\n\n\n\n<p>SpamAssassin \u00e8 considerato uno dei filtri antispam pi\u00f9 efficaci, specialmente nel nostro caso dal momento che lo usiamo congiuntamente con un database antispam.<\/p>\n\n\n\n<p>Per la maggior parte degli utenti una semplice comparazione testuale \u00e8 sufficiente per filtrare la maggior parte della posta ricevuta.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"firewall\">Firewall<\/h3>\n\n\n\n<p>Su tutti i server di SupportHost abbiamo installato un Firewall. ConfigServer Firewall, noto anche come CSF, \u00e8 uno script di configurazione del firewall creato per fornire una maggiore sicurezza per il server. CSF configura il firewall del server per bloccare l&#8217;accesso pubblico ai servizi e consentire solo alcune connessioni, come l&#8217;accesso a FTP, il controllo delle e-mail o il caricamento di siti web.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"intrusion-detection-system\">Intrusion Detection System<\/h3>\n\n\n\n<p>ConfigServer Firewall viene fornito con un servizio chiamato Login Failure Daemon, o LFD. LFD controlla l&#8217;attivit\u00e0 dell&#8217;utente per errori di login eccessivi che sono comunemente osservati durante gli attacchi di brute force. Se un gran numero di errori di login provengono dallo stesso indirizzo IP, quell&#8217;IP sar\u00e0 immediatamente bloccato temporaneamente da tutti i servizi sul vostro server. Questi <a href=\"https:\/\/supporthost.com\/it\/tutorial\/bloccare-indirizzo-ip\/\" data-type=\"bwl_kb\" data-id=\"20888\">blocchi IP<\/a> scadranno automaticamente, ma possono essere rimossi manualmente dai nostri operatori. Oltre a rimuovere gli IP, CSF consente anche di inserire manualmente nella whitelist o <a href=\"https:\/\/supporthost.com\/it\/blacklist-check\/\" data-type=\"post\" data-id=\"29750\">blacklist<\/a> IP nel firewall, in questo modo possiamo evitare che alcuni particolari IP dei nostri clienti vengano boccati dal firewall.<\/p>\n\n\n\n<p>Abbiamo inoltre impostato delle regole proprietarie per mitigare gli attacchi brute force pi\u00f9 comuni ai maggiori CMS. Ad esempio se cerchi di eseguire il login a WordPress ripetute volte con dati errati il tuo <a href=\"https:\/\/supporthost.com\/it\/tutorial\/indirizzo-ip-bloccato\/\" data-type=\"bwl_kb\" data-id=\"21288\">indirizzo IP sar\u00e0 bloccato<\/a> per mezzora. Questo ci aiuta a proteggere al massimo i nostri utenti dagli attacchi brute force mantenendo in sicurezza WordPress o gli altri CMS che utilizzano.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"isolamento-totale-degli-account\">Isolamento Totale degli Account<\/h3>\n\n\n\n<p>Uno dei modi che usiamo per mantenere la massima sicurezza degli account dei nostri clienti \u00e8 il completo isolamento di ogni singolo account. Puoi pensare che l&#8217;<a class=\"rank-math-link\" href=\"https:\/\/supporthost.com\/it\/hosting-condiviso\/\">hosting condiviso<\/a> nella maggior parte dei servizi sia sicuro e che l&#8217;accesso al tuo account sia solo tuo. Purtroppo nella maggioranza dei casi non \u00e8 cos\u00ec.<\/p>\n\n\n\n<p>I provider di hosting condiviso hanno spesso dei problemi di sicurezza che possono causare problemi all&#8217;intero server, e questo succede perch\u00e9 semplicemente uno degli account su quel server ha una applicazione non sicura. La maggioranza dei software open-source, come&nbsp;Joomla, WordPress e molte altre applicazioni sono i target preferiti dagli hacker. Su un server condiviso standard quando uno di questi account vulnerabili viene attaccato, l&#8217;hacker pu\u00f2 attaccare con semplicit\u00e0 tutti gli altri account sul medesimo server, o addirittura portare offline l&#8217;intero server.<\/p>\n\n\n\n<p>Riceviamo infinite richieste di potenziali clienti che ci richiedono se il nostro servizio \u00e8 sicuro perch\u00e9 il loro account \u00e8 stato hackerato pi\u00f9 volte con un altro provider.<\/p>\n\n\n\n<figure class=\"wp-block-image size-full is-resized\"><img loading=\"lazy\" decoding=\"async\" width=\"645\" height=\"350\" src=\"https:\/\/supporthost.com\/it\/wp-content\/uploads\/sites\/2\/2024\/05\/supporthost-hosting-sicuro-spiegato.png\" alt=\"Supporthost Hosting Sicuro Spiegato\" class=\"wp-image-64428\" style=\"width:991px;height:auto\" srcset=\"https:\/\/supporthost.com\/it\/wp-content\/uploads\/sites\/2\/2024\/05\/supporthost-hosting-sicuro-spiegato.png 645w, https:\/\/supporthost.com\/it\/wp-content\/uploads\/sites\/2\/2024\/05\/supporthost-hosting-sicuro-spiegato-300x163.png 300w, https:\/\/supporthost.com\/it\/wp-content\/uploads\/sites\/2\/2024\/05\/supporthost-hosting-sicuro-spiegato-116x63.png 116w\" sizes=\"auto, (max-width: 645px) 100vw, 645px\" \/><\/figure>\n\n\n\n<p>Sul nostro&nbsp;<strong>hosting sicuro<\/strong>&nbsp;usiamo un chroot isolation technology personalizzato. Con la nostra soluzione anche se un account non \u00e8 sicuro, gli altri account sul medesimo server non possono essere attaccati tramite il web server o il cron come in un normale ambiente condiviso.<\/p>\n\n\n\n<p>Questo ci fa diventare uno degli hosting pi\u00f9 sicuri, puoi dormire sonni tranquilli sapendo che il tuo sito \u00e8 su una delle piattaforme pi\u00f9 sicure sul mercato.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"proteggere-word-press\">Proteggere WordPress<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"mantieni-word-press-aggiornato\">Mantieni WordPress Aggiornato<\/h3>\n\n\n\n<p>Quando si parla di mettere in sicurezza WordPress questo \u00e8 forse il consiglio che va per la maggiore, e c&#8217;\u00e8 un motivo se \u00e8 cos\u00ec. Automaticc (l\u2019azienda che sta dietro WordPress) e gli sviluppatori di plugin e temi rilasciano periodicamente nuove versioni allo scopo di chiudere quelle falle di sicurezza che vengono periodicamente scoperte. WordPress pu\u00f2 aggiornarsi automaticamente per quanto riguarda gli aggiornamenti di sicurezza, mentre richiede l\u2019<a href=\"https:\/\/supporthost.com\/it\/aggiornare-wordpress\/\" data-type=\"post\" data-id=\"23425\">aggiornamento<\/a> manuale per gli aggiornamenti maggiori che potrebbero causare incompatibilit\u00e0 coi i plugin.<\/p>\n\n\n\n<p>Lo stesso vale per temi e plugin. Un tema o plugin non aggiornato pu\u00f2 costituire un punto debole che consente ad un hacker un facile \u201cingresso\u201d.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"installa-una-soluzione-di-backup\">Installa una Soluzione di Backup<\/h3>\n\n\n\n<p>I backup sono la tua prima difesa contro un attacco hacker. Ricorda che niente \u00e8 sicuro al 100% e se i siti governativi e i siti delle banche vengono bucati anche il tuo pu\u00f2 essere bucato. I backup ti permettono di ripristinare il tuo sito ad una versione precedente senza perdere niente nel caso succeda qualcosa.<\/p>\n\n\n\n<figure class=\"wp-block-image aligncenter size-large is-resized\"><img loading=\"lazy\" decoding=\"async\" width=\"974\" height=\"862\" src=\"https:\/\/supporthost.com\/it\/wp-content\/uploads\/sites\/2\/2021\/03\/backup.png\" alt=\"Backup\" class=\"wp-image-17721\" srcset=\"https:\/\/supporthost.com\/it\/wp-content\/uploads\/sites\/2\/2021\/03\/backup.png 974w, https:\/\/supporthost.com\/it\/wp-content\/uploads\/sites\/2\/2021\/03\/backup-300x266.png 300w, https:\/\/supporthost.com\/it\/wp-content\/uploads\/sites\/2\/2021\/03\/backup-768x680.png 768w, https:\/\/supporthost.com\/it\/wp-content\/uploads\/sites\/2\/2021\/03\/backup-71x63.png 71w\" sizes=\"auto, (max-width: 974px) 100vw, 974px\" \/><\/figure>\n\n\n\n<p>Non tutti i servizi hosting offrono una soluzione di backup professionale ed utilizzabile. Con SupportHost hai a disposizione 30 backup giornalieri in qualsiasi momento. Vale a dire che se il tuo sito \u00e8 stato bucato puoi scegliere fra 30 diversi backup per il ripristino.<\/p>\n\n\n\n<p>Se il tuo hosting non fornisce un servizio backup adeguato esistono svariati <a href=\"https:\/\/supporthost.com\/it\/plugin-backup-wordpress\/\" data-type=\"post\" data-id=\"42204\">plugin di backup<\/a> che ti permettono di creare una copia del sito e salvarla su un server esterno. Noi consigliamo&nbsp;<a href=\"https:\/\/supporthost.com\/it\/updraftplus\/\" data-type=\"post\" data-id=\"23839\">UpdraftPlus<\/a>&nbsp;anche se sarebbe pi\u00f9 intelligente cambiare hosting passando ad provider che offra una soluzione professionale per i backups.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"cambia-il-prefisso-del-database\">Cambia il Prefisso del Database<\/h3>\n\n\n\n<p>La stragrande maggioranza delle installazioni WordPress usa il prefisso \u201cwp_\u201d prima del nome di ogni tabella. Se anche il tuo sito usa questo prefisso stai rendendo facile la vita agli hacker che possono indovinare il prefisso delle tue tabelle. Vediamo subito come cambiarlo ci aiuta a mettere in sicurezza WordPress.<\/p>\n\n\n\n<p>Se effettui una nuova installazione puoi scegliere un prefisso diverso durante il processo di installazione, nella schermata in cui ti vengono chiesti i <a href=\"https:\/\/supporthost.com\/it\/tutorial\/dati-di-accesso-database\/\" target=\"_blank\" aria-label=\"dati di accesso al database (opens in a new tab)\" rel=\"noreferrer noopener\" class=\"rank-math-link\">dati di accesso al database<\/a>.<\/p>\n\n\n\n<p>Se invece hai gi\u00e0 installato WordPress e vuoi cambiare il prefisso delle tue tabelle ci sar\u00e0 un po\u2019 di lavoro manuale da fare. In alternativa puoi usare un plugin come \u201c<a class=\"rank-math-link\" href=\"https:\/\/it.wordpress.org\/plugins\/change-table-prefix\/\" rel=\"noopener\">Change Table Prefix<\/a>\u201d. Ricorda sempre di eseguire un backup del tuo sito web prima di procedere con operazioni di questo tipo, in modo da poter tornare indietro nel caso ci fosse qualche problema con le modifiche.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"cambia-le-chiavi-di-sicurezza\">Cambia le Chiavi di Sicurezza<\/h3>\n\n\n\n<p>WordPress utilizza delle chiavi di sicurezza, che sono memorizzate nel file wp-config.php, per crittare i dati della sessione che vengono memorizzati nei cookie nel browser. Queste chiavi sono chiamate Keys e Salt.<\/p>\n\n\n\n<p>Puoi cambiare queste chiavi in qualsiasi momento. \u00c8 consigliabile cambiarle prima dell&#8217;installazione e poi cambiarle periodicamente. Cambiare queste chiavi regolarmente ti permette di invalidare le sessioni attive e costringere tutti i tuoi utenti ad eseguire nuovamente l&#8217;accesso. Puoi generare manualmente le chiavi, ma consigliamo di usare il&nbsp;<a href=\"https:\/\/api.wordpress.org\/secret-key\/1.1\/salt\/\" class=\"rank-math-link\" rel=\"noopener\">servizio ufficiale di WordPress<\/a>&nbsp;per sostituire le chiavi con quelle gi\u00e0 presenti nel file wp-config.php.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"blindare-la-parte-amministratore\">Blindare la parte amministratore<\/h3>\n\n\n\n<p>Esiste una strategia per la sicurezza che si chiama security by oscurity. Questa strategia \u00e8 molto efficace per un sito medio. Se gli hacker non riescono a trovare la tua pagina di login \u00e8 pi\u00f9 difficile che possano tentare un attacco.<\/p>\n\n\n\n<figure class=\"wp-block-image aligncenter size-large is-resized\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"726\" src=\"https:\/\/supporthost.com\/it\/wp-content\/uploads\/sites\/2\/2021\/04\/login-1024x726.png\" alt=\"Login\" class=\"wp-image-18235\" srcset=\"https:\/\/supporthost.com\/it\/wp-content\/uploads\/sites\/2\/2021\/04\/login-1024x726.png 1024w, https:\/\/supporthost.com\/it\/wp-content\/uploads\/sites\/2\/2021\/04\/login-300x213.png 300w, https:\/\/supporthost.com\/it\/wp-content\/uploads\/sites\/2\/2021\/04\/login-768x545.png 768w, https:\/\/supporthost.com\/it\/wp-content\/uploads\/sites\/2\/2021\/04\/login-89x63.png 89w, https:\/\/supporthost.com\/it\/wp-content\/uploads\/sites\/2\/2021\/04\/login.png 1200w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<p>Per ottenere questa blindatura procederemo modificando l\u2019url di login e limitando il numero di tentativi di login. Come spiegavo prima su SupportHost limitiamo con delle regole proprietarie il numero di login per i principali script, e quindi queste regole valgono anche per aiutarti a mettere in sicurezza WordPress. Se per\u00f2 decidi di cambiare l\u2019url di login il nostro sistema smetter\u00e0 di funzionare e dovrai usare un sistema differente.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"come-cambiare-lurl-di-login\">Come cambiare l\u2019url di login<\/h4>\n\n\n\n<p>Di default la tua area amministratore si trova all\u2019indirizzo dominio.it\/wp-admin mentre la pagina di login si trova all\u2019indirizzo dominio.it\/wp-login.php.<\/p>\n\n\n\n<p>Il problema con questo sistema \u00e8 che anche gli hacker ed i bot lo sanno. Cambiando l&#8217;url rendi la vita pi\u00f9 difficile a chi vuole attaccarti, \u00e8 difficile lanciare un attacco brute force se non si conosce l\u2019url di login.<\/p>\n\n\n\n<p>Per eseguire questa operazione ti consigliamo il plugin&nbsp;<a href=\"https:\/\/wordpress.org\/plugins\/wps-hide-login\/\" rel=\"noopener\">WPS Hide login<\/a>. Puoi modificare l\u2019url di login in modo semplice dalle impostazioni, ma ricordati di scegliere un nome che non \u00e8 gi\u00e0 nella lista che i bot o gli hacker potrebbero trovare.<\/p>\n\n\n\n<p>In questo caso sar\u00e0 necessario usare un plugin per impostare un limite di tentativi di accesso. Vediamo come <a href=\"https:\/\/supporthost.com\/it\/limitare-tentativi-accesso-wordpress\/\">limitare gli accessi<\/a> fissando un limite massimo di tentativi e mettere cos\u00ec in sicurezza WordPress.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"come-limitare-i-tentativi-di-login\">Come limitare i tentativi di login<\/h4>\n\n\n\n<p>A questo punto la nostra protezione non funzioner\u00e0 pi\u00f9 proteggerti dagli attacchi hacker. Le nostre regole per limitare i tentativi di accesso usano le url, quindi se cambi indirizzo non saremo in grado di identificare e bloccare un attacco.<\/p>\n\n\n\n<p>In questo caso sar\u00e0 necessario usare un plugin per impostare un limite di tentativi di accesso. Il plugin gratuito&nbsp;<a href=\"https:\/\/wordpress.org\/plugins\/wp-cerber\/\" rel=\"noopener\">Cerber Limit Login Attempts<\/a>&nbsp;\u00e8 ottimo per impostare la durata del blocco, il numero massimo di tentativi di login e creare delle whitelist e blacklist di IP.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"usare-una-autenticazione-http\">Usare una autenticazione HTTP<\/h4>\n\n\n\n<p>Un altro modo per proteggere la tua area riservata e mettere in sicurezza WordPress consiste nell\u2019usare una protezione HTTP. Con questo tipo di protezione ti viene richiesto un username e password ancora prima di accedere alla pagina di <a href=\"https:\/\/supporthost.com\/it\/login-wordpress\/\" data-type=\"post\" data-id=\"64170\">login di WordPress<\/a>. Questo tipo di protezione non pu\u00f2 essere usata in siti che permettono l\u2019accesso agli utenti all\u2019area riservata (altrimenti dovremo dare a tutti un doppio login) ma \u00e8 un ottimo sistema per ridurre il numero di \u201chits\u201d da parte di bot.<\/p>\n\n\n\n<p>Su SupportHost puoi aggiungere questo tipo di protezione direttamente dal cPanel. Per proteggere una cartella con password puoi seguire il nostro tutorial su come implementare la protezione <a href=\"https:\/\/supporthost.com\/it\/tutorial\/htaccess-password\/\" data-type=\"bwl_kb\" data-id=\"21081\">htaccess password<\/a> con cPanel.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"usare-un-web-application-firewall\">Usare un Web Application Firewall<\/h4>\n\n\n\n<p>Se usi CloudFlare o Sucuri puoi bloccare un url. In pratica puoi impostare un regola in modo che soltanto il tuo indirizzo IP possa accedere all\u2019area amministratore. Anche questa soluzione non pu\u00f2 essere usata in siti che permettono l\u2019accesso agli utenti all\u2019area riservata.<\/p>\n\n\n\n<p>CloudFlare offre&nbsp;<a href=\"https:\/\/support.cloudflare.com\/hc\/en-us\/articles\/115001595131-How-do-I-Lockdown-URLs-in-Cloudflare\/\" rel=\"noopener\">questo servizio<\/a>&nbsp;nei suoi account Pro o livelli superiori grazie al quale puoi impostare una regola per ogni url.<\/p>\n\n\n\n<p>Sucuri offre una funzione chiamata&nbsp;<a href=\"https:\/\/docs.sucuri.net\/website-firewall\/whitelist-and-blacklist\/blacklist-an-url-path\/\" class=\"rank-math-link\" rel=\"noopener\">Blacklist URL path feature<\/a>, e puoi quindi impostare il tuo IP in whitelist.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"scegli-plugin-e-temi-affidabili\">Scegli Plugin e Temi Affidabili<\/h3>\n\n\n\n<p>I plugin ti aiutano ad estendere le funzionalit\u00e0 di WordPress mentre i temi ti aiutano a modificare a tuo piacimento l&#8217;interfaccia grafica del tuo sito web. Esistono centinaia di migliaia di plugin e temi, puoi trovarli nella repository ufficiale e in centinaia di altri posti.<\/p>\n\n\n\n<p>Spesso si installano plugin e temi con una certa leggerezza, ma questi possono portare a problemi di sicurezza. Come ho spiegato nella sezione&nbsp;<a class=\"rank-math-link\" href=\"https:\/\/supporthost.com\/it\/sicurezza-wordpress\/#sicurezza-sotto-controllo\">Sicurezza Sotto Controllo<\/a>&nbsp;scaricare un plugin nulled pu\u00f2 comportare problemi, ci sono persone che di lavoro distribuiscono plugin e temi nulled con malware allo scopo di penetrare nel tuo sito e usarlo a loro piacimento.<\/p>\n\n\n\n<p>Ma oltre a questi casi intenzionali, puoi scaricare un plugin che ha una falla di sicurezza, proprio per questo motivo vengono rilasciati continui aggiornamenti per plugin e temi, per chiudere queste falle di sicurezza quando vengono trovate. <\/p>\n\n\n\n<figure class=\"wp-block-image aligncenter size-large is-resized\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"584\" src=\"https:\/\/supporthost.com\/it\/wp-content\/uploads\/sites\/2\/2021\/04\/wordpress-1024x584.png\" alt=\"Wordpress\" class=\"wp-image-18236\" srcset=\"https:\/\/supporthost.com\/it\/wp-content\/uploads\/sites\/2\/2021\/04\/wordpress-1024x584.png 1024w, https:\/\/supporthost.com\/it\/wp-content\/uploads\/sites\/2\/2021\/04\/wordpress-300x171.png 300w, https:\/\/supporthost.com\/it\/wp-content\/uploads\/sites\/2\/2021\/04\/wordpress-768x438.png 768w, https:\/\/supporthost.com\/it\/wp-content\/uploads\/sites\/2\/2021\/04\/wordpress-111x63.png 111w, https:\/\/supporthost.com\/it\/wp-content\/uploads\/sites\/2\/2021\/04\/wordpress.png 1200w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<p>Mettere in sicurezza WordPress significa prestare attenzione anche a qualsiasi falla, per questo \u00e8 di fondamentale importanza scaricare soltanto plugin e temi dalla repository ufficiale di WordPress oppure da siti web affidabili. Prima di scegliere un tema o plugin dovresti sempre seguire questi passaggi:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Controlla le recensioni, il numero di downloads ed i commenti<\/li>\n\n\n\n<li>Controlla la data dell&#8217;ultimo aggiornamento per capire se il software \u00e8 ancora attivo o \u00e8 stato abbandonato<\/li>\n\n\n\n<li>Fai una ricerca in base all&#8217;autore e vedi quali altri temi o plugin sono attivi nella repository<\/li>\n\n\n\n<li>Controlla se il tema o plugin \u00e8 compatibile con la versione di WordPress che usi.<\/li>\n<\/ul>\n\n\n\n<p>Ovviamente esegui sempre un backup dei files del tuo sito web e del tuo database prima di procedere con l&#8217;installazione. In questo modo se ci fossero problemi potrai sempre tornare indietro in modo semplice.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"proteggi-il-login\">Proteggi il Login<\/h2>\n\n\n\n<p>Come abbiamo visto un tipo di attacco molto comune \u00e8 l&#8217;attacco Brute Force. Vediamo cosa possiamo fare per mettere in sicurezza WordPress e proteggere il nostro sito da questo tipo di attacchi.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"scegliere-il-nome-utente\">Scegliere il Nome Utente<\/h3>\n\n\n\n<p>In primis, se stai usando \u201cadmin\u201d come username per il tuo account amministratore cambialo subito con qualsiasi altro nome. La maggior parte degli attacchi brute force usano proprio questo nome utente per cercare di accedere con password casuali.<\/p>\n\n\n\n<p>Inoltre dovresti assicurarti che il tuo nome utente sia diverso dal nome visualizzato. L\u2019idea qui \u00e8 di non far sapere a chi vuole attaccare il tuo sito web qual \u00e8 il tuo nome utente amministratore. Se pubblichi articoli col tuo nome, e lo stesso nome \u00e8 l\u2019utente amministratore hai appena fornito un\u2019informazione utile a chi vuole minare la sicurezza del tuo sito web.<\/p>\n\n\n\n<p>In questo caso le cose che puoi fare sono due:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Usare un nome utente diverso dal nome con cui pubblichi gli articoli, ma tieni presente che sar\u00e0 sempre possibile vedere il tuo username nel link della author page<\/li>\n\n\n\n<li>Creare un account editore che userai soltanto per postare sul tuo sito web. In questo modo anche se dovessero entrare usando il tuo account editore non potranno far molto dal momento che non avranno i permessi necessari.<\/li>\n<\/ul>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"usa-una-password-non-comune\">Usa una Password non Comune<\/h3>\n\n\n\n<p>Da una ricerca le password pi\u00f9 usate sono \u2018123456\u2019, \u2018qwerty\u2019, \u2018letmein\u2019. Nel 2015 \u2018starwars\u2019 era nella lista delle 25 password pi\u00f9 usate. Usare una password simile equivale a scrivere il numero pin sulla tua carta di credito.<\/p>\n\n\n\n<p>Dovresti usare una password lunga, complessa ed unica. Quindi che contenga 16-20 caratteri, maiuscole, minuscole, numeri e simboli e non possa essere scoperta a tentativi controllando su un vocabolario.<\/p>\n\n\n\n<p>Esistono dei tools online che creano per te una password sicura. Dovrai poi ovviamente salvarla, ad esempio nel browser oppure usando tools come LastPass o 1Password.<\/p>\n\n\n\n<p>Tieni presente che le nostre regole proprietarie mitigano gli attacchi brute force, ma questo non vol dire che tu debba usare una password debole e facile da scoprire per un attaccante.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"usare-l-autenticazione-a-due-fattori\">Usare l\u2019Autenticazione a due Fattori<\/h3>\n\n\n\n<p>Anche se non stai usando \u2018admin\u2019 come nome utente e la tua password \u00e8 lunga e complessa, potresti comunque essere vittima di un attacco brute force. Noi limitiamo i tentativi di login ai principali CMS a 5 ogni mezzora, ma se l\u2019attaccante dispone di diversi IP potrebbe comunque scoprire i tuoi dati di accesso.<\/p>\n\n\n\n<p>Per limitare al massimo questo tipo di problemi in certi casi (ad esempio se gestisci dati sensibili dei tuoi clienti) pu\u00f2 aver senso abilitare una <a href=\"https:\/\/supporthost.com\/it\/tutorial\/autenticazione-a-due-fattori\/\" data-type=\"bwl_kb\" data-id=\"21218\">autenticazione a due fattori<\/a>.<\/p>\n\n\n\n<figure class=\"wp-block-image aligncenter size-large is-resized\"><img loading=\"lazy\" decoding=\"async\" width=\"745\" height=\"757\" src=\"https:\/\/supporthost.com\/it\/wp-content\/uploads\/sites\/2\/2021\/04\/autenticazione-da-telefono.png\" alt=\"Autenticazione Da Telefono\" class=\"wp-image-18237\" srcset=\"https:\/\/supporthost.com\/it\/wp-content\/uploads\/sites\/2\/2021\/04\/autenticazione-da-telefono.png 745w, https:\/\/supporthost.com\/it\/wp-content\/uploads\/sites\/2\/2021\/04\/autenticazione-da-telefono-295x300.png 295w, https:\/\/supporthost.com\/it\/wp-content\/uploads\/sites\/2\/2021\/04\/autenticazione-da-telefono-62x63.png 62w\" sizes=\"auto, (max-width: 745px) 100vw, 745px\" \/><\/figure>\n\n\n\n<p>Sappiamo quanto \u00e8 noiosa l\u2019autenticazione a due fattori, ma in alcuni casi \u00e8 necessaria. Certo se hai un blog semplice e nessun dato dei tuoi clienti viene memorizzato \u00e8 una sicurezza aggiuntiva ma non necessaria in questo caso.<\/p>\n\n\n\n<p>Esiste un plugin per mettere in sicurezza WordPress con l&#8217;autenticazione a due fattori:&nbsp;<a href=\"https:\/\/wordpress.org\/plugins\/google-authenticator\/\" rel=\"noopener\">Google Authenticator<\/a>.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"disconnetti-in-automatico-gli-utenti-inattivi\">Disconnetti in automatico gli utenti inattivi<\/h3>\n\n\n\n<p>Gli utenti loggati possono allontanarsi dallo schermo e questo potrebbe comportare un rischio. Qualcuno pu\u00f2 entrare usando un metodo chiamato \u201csession hijack\u201d e cambiare la password dell\u2019utente o eseguire modifiche sul suo account.<\/p>\n\n\n\n<p>Proprio per questo motivo la maggior parte dei siti sui quali si gestiscono dei soldi (PayPal, siti bancari) disconnettono automaticamente gli utenti inattivi dopo un certo lasso di tempo. Puoi implementare una funzionalit\u00e0 simile per mettere in sicurezza WordPress.<\/p>\n\n\n\n<p>Puoi usare il plugin&nbsp;<a href=\"https:\/\/wordpress.org\/plugins\/inactive-logout\/\" rel=\"noopener\">Inactive Logout<\/a>&nbsp;e dopo averlo attivato impostare il messaggio per gli utenti ed il tempo massimo di inattivit\u00e0 per eseguire il logout degli utenti inattivi.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"disabilita-i-suggerimenti-al-login\">Disabilita i Suggerimenti al Login<\/h3>\n\n\n\n<p>Quando esegui il login con dati errati WordPress restituisce un errore nella pagina di login, indicando se il nome utente esiste o meno o se il problema \u00e8 dovuto alla password errata.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"688\" height=\"370\" src=\"https:\/\/supporthost.com\/it\/wp-content\/uploads\/sites\/2\/2021\/06\/sicurezza-wordpress-suggerimenti-di-login.png\" alt=\"Sicurezza WordPress Suggerimenti Di Login\" class=\"wp-image-18964\" srcset=\"https:\/\/supporthost.com\/it\/wp-content\/uploads\/sites\/2\/2021\/06\/sicurezza-wordpress-suggerimenti-di-login.png 688w, https:\/\/supporthost.com\/it\/wp-content\/uploads\/sites\/2\/2021\/06\/sicurezza-wordpress-suggerimenti-di-login-300x161.png 300w, https:\/\/supporthost.com\/it\/wp-content\/uploads\/sites\/2\/2021\/06\/sicurezza-wordpress-suggerimenti-di-login-117x63.png 117w\" sizes=\"auto, (max-width: 688px) 100vw, 688px\" \/><\/figure>\n\n\n\n<p>Il problema in questo caso \u00e8 che stiamo fornendo delle informazioni importanti a chi vuole attaccare il nostro sito web. Gli stiamo dicendo infatti che l&#8217;username con cui stanno provando ad entrare esiste o meno. Di conseguenza chi ci attacca continuer\u00e0 ad usare quel nome utente oppure ne prover\u00e0 un altro.<\/p>\n\n\n\n<p>\u00c8 opportuno eliminare questi avvisi per il principio di cui abbiamo parlato prima: &#8220;security by obscurity&#8221;. Cercheremo quindi di dare il minor numero di informazioni possibili a chi ci attacca nascondendo questi avvisi.<\/p>\n\n\n\n<p>Per nascondere questi avvisi dobbiamo aggiungere una funzione all&#8217;interno del file functions.php:<\/p>\n\n\n\n<pre class=\"wp-block-preformatted\">function hide_wordpress_login_errors(){\nreturn 'Gli errori di login sono stati nascosti per ragioni di sicurezza';\n}\nadd_filter( 'login_errors', hide_wordpress_login_errors );\n<\/pre>\n\n\n\n<p>Ovviamente puoi personalizzare il testo dell&#8217;errore come preferisci.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"proteggi-files-e-funzioni\">Proteggi Files e Funzioni<\/h2>\n\n\n\n<p>WordPress ha alcune funzioni che non tutti conoscono, e quindi non tutti usano come ad esempio il File Editing (puoi modificare il tema ed i plugin direttamente dall&#8217;interfaccia amministratore) o XML-RPC che serve a gestire WordPress da remoto e pu\u00f2 essere potenzialmente dannoso.<\/p>\n\n\n\n<p>Inoltre alcune funzioni dell&#8217;hosting vanno disabilitate. Vedremo come evitare di eseguire i files php caricati all&#8217;interno della cartella uploads e come nascondere alcuni files per proteggerli al massimo e riuscire cos\u00ec a mettere in sicurezza WordPress.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"nascondi-wp-config-php-e-htaccess\">Nascondi wp-config.php e .htaccess<\/h3>\n\n\n\n<p>Questa operazione \u00e8 molto semplice da eseguire, ma se fai qualche errore il tuo sito pu\u00f2 diventare inaccessibile. Quindi come sempre, prima di eseguire questa operazione esegui un backup.<\/p>\n\n\n\n<p>Devi modificare il tuo file .htaccess aggiungendo questo codice per nascondere il file wp-config.php:<\/p>\n\n\n\n<pre class=\"wp-block-preformatted\">&lt;Files wp-config.php&gt;\norder allow,deny deny from all\n&lt;\/Files&gt;<\/pre>\n\n\n\n<p>In questo modo stai bloccando l\u2019accesso al file. Puoi usare un codice simile per nascondere lo stesso file .htaccess:<\/p>\n\n\n\n<pre class=\"wp-block-preformatted\">&lt;Files .htaccess&gt;\norder allow,deny deny from all\n&lt;\/Files&gt;<\/pre>\n\n\n\n<p>Sarebbe anche opportuno bloccare i files di installazione per una maggiore sicurezza:<\/p>\n\n\n\n<pre class=\"wp-block-preformatted\">#Blocca file di installazione\n&lt;files install.php&gt;\nOrder allow,deny\nDeny from all\n&lt;\/files&gt;\n&lt;files setup-config.php&gt;\nOrder allow,deny\nDeny from all\n&lt;\/files&gt;\n<\/pre>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"nascondi-la-versione-di-word-press\">Nascondi la Versione di WordPress<\/h3>\n\n\n\n<p>Nascondere la versione di WordPress segue il principio \u201csecurity by obscurity\u201d di cui abbiamo parlato prima. Meno si sa del tuo sito e delle tue configurazioni, meglio \u00e8. Se dal codice si vede che stai usando una vecchia versione di WordPress, \u00e8 come dare il benvenuto agli hacker. Ovviamente \u00e8 consigliabile mantenere WordPress aggiornato all\u2019ultima versione, ma nascondere la versione resta una buona pratica per mettere in sicurezza WordPress.<\/p>\n\n\n\n<p>Per nascondere la versione di WordPress ti basta aggiungere la seguente funzione al file functions.php del tema di WordPress che stai utilizzando:<\/p>\n\n\n\n<pre class=\"wp-block-preformatted\">function wp_version_remove_version() {\nreturn '';\n}\nadd_filter('the_generator', 'wp_version_remove_version');<\/pre>\n\n\n\n<p>Un\u2019altro posto dove puoi vedere la versione \u00e8 il file readme.html che viene mostrato nella root della tua installazione WordPress. Questo files \u00e8 incluso in tutte le versioni di WordPress e lo puoi eliminare senza problemi tramite FTP o dal <a href=\"https:\/\/supporthost.com\/it\/tutorial\/file-manager\/\" target=\"_blank\" aria-label=\"file manager (opens in a new tab)\" rel=\"noreferrer noopener\" class=\"rank-math-link\">file manager<\/a> del cPanel.<\/p>\n\n\n\n<p>Se usi WordPress 5.0 o una versione superiore non \u00e8 necessario cancellare questo file dal momento che il numero della versione non \u00e8 pi\u00f9 incluso nel file readme.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"disabilita-il-file-editing\">Disabilita il File Editing<\/h3>\n\n\n\n<p>WordPress ha di default un code editor che ti permette di modificare i files di plugin e temi direttamente dall\u2019interfaccia admin. Questo pu\u00f2 costituire un problema dal momento che chiunque abbia accesso come amministratore potr\u00e0 aggiungere del codice php.<\/p>\n\n\n\n<p>Puoi disabilitare facilmente questa funzione aggiungendo questo codice al file wp-config.php sul tuo account:<\/p>\n\n\n\n<pre class=\"wp-block-preformatted\">\/\/ Disallow file edit\ndefine( 'DISALLOW_FILE_EDIT', true );<\/pre>\n\n\n\n<p>Se vuoi restringere ancora di pi\u00f9 i permessi, puoi evitare che gli utenti possano installare temi e plugin aggiungendo la seguente riga nel file di configurazione wp-config.php:<\/p>\n\n\n\n<pre class=\"wp-block-preformatted\">define('DISALLOW_FILE_MODS',true);\n<\/pre>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"disabilita-lesecuzione-di-files-php-in-alcune-cartelle\">Disabilita l\u2019esecuzione di files PHP in alcune cartelle<\/h3>\n\n\n\n<p>Alcune cartelle non hanno bisogno di eseguire files php, come ad esempio \/wp-content\/uploads\/. Puoi creare un file .htaccess e caricarlo all\u2019interno della cartella per la quale non vuoi che i files php vengano eseguiti col seguente codice:<\/p>\n\n\n\n<pre class=\"wp-block-preformatted\">&lt;Files *.php&gt;\ndeny from all\n&lt;\/Files&gt;<\/pre>\n\n\n\n<p>Ti consigliamo di inserire lo stesso file .htaccess anche all&#8217;interno di \/wp-content\/plugins e \/wp-content\/themes.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"disabilita-il-directory-index\">Disabilita il Directory index<\/h3>\n\n\n\n<p>Alcuni servizi di hosting permettono il directory browsing, questo permette ad un hacker di vedere il contenuto della cartella. Per disabilitare questa opzione non devi far altro che inserire una riga di codice alla fine del file .htaccess situato nella cartella dove \u00e8 installato WordPress:<\/p>\n\n\n\n<pre class=\"wp-block-preformatted\">Options -Indexes<\/pre>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"disabilita-xml-rpc\">Disabilita XML-RPC<\/h3>\n\n\n\n<p>Alcuni hosting disabilitano di default il file XML-RPC per motivi di sicurezza. Su SupportHost per ragioni di sicurezza XML-RPC \u00e8 bloccato di default, ed accessibile soltanto da <a href=\"https:\/\/supporthost.com\/it\/jetpack\/\" data-type=\"post\" data-id=\"36861\">Jetpack<\/a>. Se hai bisogno di usare altri servizi puoi contattare il nostro supporto per sbloccare l\u2019accesso in base alle tue esigenze. Se questo non \u00e8 il caso nel servizio di hosting che utilizzi non devi far altro che inserire il seguente codice nel file .htaccess del tuo sito web:<\/p>\n\n\n\n<pre class=\"wp-block-preformatted\"># Block WordPress xmlrpc.php requests\n&lt;Files xmlrpc.php&gt;\norder deny,allow\ndeny from all\nallow from 123.123.123.123\nallow from 124.124.124.124\n&lt;\/Files&gt;<\/pre>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"disabilita-le-rest-api\">Disabilita le REST API<\/h3>\n\n\n\n<p>Dalla versione 4.4 le REST API sono incluse nel core di WordPress consentendo ad ogni sviluppatore di interagire col sito. Questo ha consentito a tanti sviluppatori di interagire con WordPress, ma ha anche aperto nuove possibilit\u00e0 di attacco al tuo sito web, in particolare gli attacchi DDoS.<\/p>\n\n\n\n<p>Se nessuno dei tuoi plugin usa le REST API puoi disattivarle con facilit\u00e0 aggiungendo due righe di codice al file functions.php del tuo tema:<\/p>\n\n\n\n<pre class=\"wp-block-preformatted\">add_filter('json_enabled', '__return_false');\nadd_filter('json_jsonp_enabled', '__return_false');<\/pre>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"ulteriori-misure-per-mettere-in-sicurezza-word-press\">Ulteriori Misure per mettere in sicurezza WordPress<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"https-certificato-ssl\">HTTPS, Certificato SSL<\/h3>\n\n\n\n<p>La soluzione pi\u00f9 trascurata per proteggere WordPress consiste nell\u2019installare un certificato SSL e mostrare il tuo sito con il protocollo HTTPS. Un\u2019idea sbagliata molto comune \u00e8 che hai bisogno di un certificato SSL soltanto se processi le carte di credito sul tuo sito web. La connessione cifrata HTTPS permette di connettere il tuo browser o la tua applicazione in modo sicuro a un sito web.<\/p>\n\n\n\n<p>Se il tuo sito WordPress usa solo la connessione http controlla la nostra guida <a href=\"https:\/\/supporthost.com\/it\/wordpress-https\/\" data-type=\"post\" data-id=\"1853\">WordPress https<\/a> per fare il passaggio in pochi minuti. Nell&#8217;articolo potrai anche trovare un video da seguire passo passo.<\/p>\n\n\n\n<p>Vediamo di spiegare perch\u00e9 la connessione HTTPS \u00e8 importante anche se il tuo sito web non \u00e8 un <a href=\"https:\/\/supporthost.com\/it\/ecommerce\/\" class=\"rank-math-link\">eCommerce<\/a>. Molti host, tra cui SupportHost offrono il certificato SSL di Let\u2019s Encrypt gratuitamente.<\/p>\n\n\n\n<p>\u00c8 necessario forzare la connessione HTTPS modificando il file .htaccess aggiungendo queste righe di codice all&#8217;interno del file:<\/p>\n\n\n\n<pre class=\"wp-block-preformatted\">RewriteCond %{HTTPS} off\nRewriteRule (.*)$ https:\/\/www.dominio.it\/$1 [L,R=301]\n<\/pre>\n\n\n\n<p>Esistono dei plugin per forzare HTTPS, ma riteniamo inutile utilizzare un plugin invece di aggiungere due righe di codice all&#8217;interno di un file.<\/p>\n\n\n\n<p>Dovrai inoltre forzare ogni nuova sessione in modo da fargli usare la connessione sicura HTTPS inserendo le seguenti righe dentro il file wp-config.php:<\/p>\n\n\n\n<pre class=\"wp-block-preformatted\">define('FORCE_SSL_LOGIN', true);\ndefine('FORCE_SSL_ADMIN', true);<\/pre>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"sicurezza\">Sicurezza<\/h4>\n\n\n\n<p>Ovviamente il primo fattore per cui usare un certificato SSL \u00e8 la sicurezza. Quanto sono importanti le informazioni di login del tuo sito web? HTTPS \u00e8 di assoluta importanza per usare una connessione cifrata e non passare alcun dato in chiaro. In questo modo puoi prevenire che un hacker possa ottenere accesso al tuo sito web.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"seo\">SEO<\/h4>\n\n\n\n<p>Gi\u00e0 da tempo Google ha inserito la connessione HTTPS come uno dei fattori di ranking. Anche se si tratta di un fattore che ha poco peso, non ha senso ignorarlo completamente.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"fiducia-e-credibilita\">Fiducia e Credibilit\u00e0<\/h4>\n\n\n\n<p>Stando ad un sondaggio di GlobalSign quasi il 30% dei visitatori si aspetta di vedere la barra del browser verde. Il 77% dei visitatori ha paura che i dati possano essere intercettati durante le transazioni. Vedere il lucchetto verde nella barra dell\u2019indirizzo d\u00e0 subito una sensazione di fiducia agli utenti.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"avvisi-di-chrome\">Avvisi di Chrome<\/h4>\n\n\n\n<p>Dalla versione 68 Google Chrome ha iniziato a segnalare come non sicuri tutti i siti che non usano una connessione cifrata HTTPS, indipendentemente dal fatto che stiano memorizzando i dati degli utenti o meno.<\/p>\n\n\n\n<p>Questo diventa particolarmente importante se la maggior parte del traffico ti arriva da utenti che usano Google Chrome.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"performance\">Performance<\/h4>\n\n\n\n<p>HTTPS supporta il protocollo HTTP\/2 che comporta un miglioramento delle prestazioni. L\u2019aumento delle prestazioni \u00e8 dovuto a diversi fattori: multiplexing, parallelismo, compressione HPACK con codifica Huffman e l\u2019estensione ALPN.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"aggiungi-gli-headers-http-per-la-sicurezza\">Aggiungi gli Headers HTTP per la Sicurezza<\/h3>\n\n\n\n<p>Una sicurezza importante per il tuo sito WordPress sono gli header HTTP. Questi sono generalmente configurati a livello di server e dicono al browser come comportarsi col contenuto del tuo sito web. Esistono diversi tipi di header, i pi\u00f9 importanti sono:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Content-Security Policy<\/li>\n\n\n\n<li>X-XSS-Protection<\/li>\n\n\n\n<li>Strict-Transport-Security<\/li>\n\n\n\n<li>X-Frame-Options<\/li>\n\n\n\n<li>Public-Key-Pins<\/li>\n\n\n\n<li>X-Content-Type<\/li>\n<\/ul>\n\n\n\n<p>Puoi controllare quali headers sono in uso in questo momento sul tuo sito web con gli strumenti per developer di Google Chrome oppure usare il tool&nbsp;<a href=\"https:\/\/securityheaders.com\/\" class=\"rank-math-link\" rel=\"noopener\">securityheaders.com<\/a>. Se non sai come implementarli chiedi al tuo provider hosting, oppure se sei nostro cliente&nbsp;<a href=\"https:\/\/my.supporthost.com\/submitticket.php?step=2&amp;deptid=14&amp;language=italian\">apri un ticket di supporto<\/a>.<\/p>\n\n\n\n<figure class=\"wp-block-image aligncenter size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"219\" src=\"https:\/\/supporthost.com\/it\/wp-content\/uploads\/sites\/2\/2024\/05\/scan-results-for-https-securityheaders-com-1024x219.png\" alt=\"Scan Results For Https Securityheaders Com\" class=\"wp-image-64462\" srcset=\"https:\/\/supporthost.com\/it\/wp-content\/uploads\/sites\/2\/2024\/05\/scan-results-for-https-securityheaders-com-1024x219.png 1024w, https:\/\/supporthost.com\/it\/wp-content\/uploads\/sites\/2\/2024\/05\/scan-results-for-https-securityheaders-com-300x64.png 300w, https:\/\/supporthost.com\/it\/wp-content\/uploads\/sites\/2\/2024\/05\/scan-results-for-https-securityheaders-com-768x164.png 768w, https:\/\/supporthost.com\/it\/wp-content\/uploads\/sites\/2\/2024\/05\/scan-results-for-https-securityheaders-com-120x26.png 120w, https:\/\/supporthost.com\/it\/wp-content\/uploads\/sites\/2\/2024\/05\/scan-results-for-https-securityheaders-com.png 1216w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"content-security-policy\">Content-Security Policy<\/h4>\n\n\n\n<p>L&#8217;header Content-Security Policy serve a ridurre il rischio di XSS specificando quali contenuti del sito web o contenuti di terze parti posso essere caricati in maniera dinamica. Ad esempio se vuoi caricare soltanto dei contenuti provenienti dallo stesso dominio dovrai aggiungere la seguente riga al tuo file .htaccess:<\/p>\n\n\n\n<pre class=\"wp-block-preformatted\">Header set Content-Security-Policy \"default-src 'self';\"<\/pre>\n\n\n\n<p>In modo da bloccare tutti gli script da fonti esterne. Se invece vuoi consentire gli script da Google Analytics aggiungi questa riga:<\/p>\n\n\n\n<pre class=\"wp-block-preformatted\">header set Content-Security-Policy \"script-src 'self' www.google-analytics.com;\"<\/pre>\n\n\n\n<p>\u00c8 necessario fare attenzione quando si inseriscono intestazioni di questo tipo perch\u00e9 \u00e8 facile bloccare delle risorse senza volere e creare quindi dei problemi. \u00c8 sempre consigliabile eseguire dei test per assicurarsi che tutto funzioni come dovuto e che non stiamo bloccando delle risorse necessarie.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"x-xss-protection\">X-XSS-Protection<\/h4>\n\n\n\n<p>Sempre allo scopo di ridurre il rischio di attacchi XSS puoi usare l&#8217;header X-XSS-Protection, che ti aiuta a proteggerti da questo tipo di attacchi sui browser meno recenti. Aggiungi questa riga al tuo file .htaccess:<\/p>\n\n\n\n<pre class=\"wp-block-preformatted\">Header set X-XSS-Protection \"1; mode=block\"<\/pre>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"strict-transport-security\">Strict-Transport-Security<\/h4>\n\n\n\n<p>Questo header serve ad utilizzare HTTP Strict Transport Security (HSTS) che \u00e8 un meccanismo per proteggere le connessioni HTTPS contro gli attacchi &#8220;man in the middle&#8221; e l&#8217;hijacking delle sessioni.<\/p>\n\n\n\n<p>Con l&#8217;header Strict-Transport-Security diciamo al browser che il sito pu\u00f2 essere richiamato soltanto per mezzo della crittografia SSL\/TLS.<\/p>\n\n\n\n<p>Per abilitarlo \u00e8 necessario aggiungere la seguente riga al file .htaccess:<\/p>\n\n\n\n<pre class=\"wp-block-preformatted\">Header set Strict-Transport-Security \"max-age=31536000\" env=HTTPS<\/pre>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"x-frame-options\">X-Frame-Options<\/h4>\n\n\n\n<p>L&#8217;header&nbsp;X-Frame-Options impedisce l&#8217;apertura del tuo sito in un frame o iframe impendendo cos\u00ec gli&nbsp;<a class=\"rank-math-link\" href=\"https:\/\/it.wikipedia.org\/wiki\/Clickjacking\" rel=\"noopener\">attacchi clickjacking<\/a>&nbsp;sul tuo sito web. Questo tipo di attacchi potrebbe rivelare i dati riservati degli utenti su un sito apparentemente normale. Inserendo la seguente riga all&#8217;interno del tuo file .htaccess indichi al browser che i frame possono essere aperti soltanto dallo stesso dominio o dalla stessa origine:<\/p>\n\n\n\n<pre class=\"wp-block-preformatted\">Header set X-Frame-Options SAMEORIGIN<\/pre>\n\n\n\n<p>Se il tuo sito usa servizi di terze parti puoi specificare i domini consentiti, negando l&#8217;accesso a tutti gli altri, ad esempio:<\/p>\n\n\n\n<pre class=\"wp-block-preformatted\">Header set X-Frame-Options \"ALLOW-FROM https:\/\/sitoconsentito.com\/\"<\/pre>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"public-key-pins\">Public-Key-Pins<\/h4>\n\n\n\n<p>HTTP Public Key Pinning (HPKP) \u00e8 un meccanismo di sicurezza volto a proteggere i siti web dall&#8217;impersonificazione utilizzando certificati fraudolenti rilasciati da autorit\u00e0 di certificazione corrotte o compromesse.<\/p>\n\n\n\n<p>Al primo tentativo di connessione il client apprende quali sono le chiavi pubbliche sicure per connettersi ad un determinato host. Al momento della connessione il client verifica se&nbsp;la catena di certificazione per la trasmissione SSL\/TLS contiene una&nbsp;<strong>chiave pubblica<\/strong>&nbsp;precedentemente ricevuta tramite HPKP. In caso negativo si ottiene un messaggio di errore e la connessione non viene stabilita.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"x-content-type\">X-Content-Type<\/h4>\n\n\n\n<p>L&#8217;ultimo header che puoi aggiungere al tuo sito web \u00e8 X-Content-Type che serve a proteggere il tuo sito web dal caricamento di fogli di stile e script indesiderati. Per usare questo header aggiungi la seguente riga di codice al tuo file .htaccess:<\/p>\n\n\n\n<pre class=\"wp-block-preformatted\">Header set X-Content-Type-Options \"nosniff\"<\/pre>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"permessi-dei-files-sul-server\">Permessi dei Files sul Server<\/h3>\n\n\n\n<p>I permessi dei files della tua installazione (e di tutti i files sul server, ma in un ambiente condiviso tu hai accesso soltanto ai files del tuo account) sono di cruciale importanza per mettere in sicurezza WordPress. <\/p>\n\n\n\n<p>Se i permessi sono troppo \u201clarghi\u201d chiunque pu\u00f2 accedere ai tuoi files ed entrare nel tuo sito web. Se sono troppo restrittivi il tuo sito non funzioner\u00e0. Per questo motivo \u00e8 importante impostare i permessi giusti per ogni file o cartella.<\/p>\n\n\n\n<figure class=\"wp-block-image aligncenter size-large is-resized\"><img loading=\"lazy\" decoding=\"async\" width=\"998\" height=\"755\" src=\"https:\/\/supporthost.com\/it\/wp-content\/uploads\/sites\/2\/2021\/04\/file-e-cartelle.png\" alt=\"File E Cartelle\" class=\"wp-image-18238\" style=\"width:499px;height:378px\" srcset=\"https:\/\/supporthost.com\/it\/wp-content\/uploads\/sites\/2\/2021\/04\/file-e-cartelle.png 998w, https:\/\/supporthost.com\/it\/wp-content\/uploads\/sites\/2\/2021\/04\/file-e-cartelle-300x227.png 300w, https:\/\/supporthost.com\/it\/wp-content\/uploads\/sites\/2\/2021\/04\/file-e-cartelle-768x581.png 768w, https:\/\/supporthost.com\/it\/wp-content\/uploads\/sites\/2\/2021\/04\/file-e-cartelle-83x63.png 83w\" sizes=\"auto, (max-width: 998px) 100vw, 998px\" \/><\/figure>\n\n\n\n<p>Puoi usare un plugin gratuito come&nbsp;<a href=\"https:\/\/wordpress.org\/plugins\/better-wp-security\/\" rel=\"noopener\">iThemes Security<\/a>&nbsp;per eseguire una scansione dei permessi dei files del tuo sito WordPress.<\/p>\n\n\n\n<p>In linea di massima tutti i files dovrebbero avere i permessi impostati a 644 o 640 a eccezione di wp-config.php che dovrebbe essere impostato a 440 o 400<\/p>\n\n\n\n<p>Tutte le cartelle dovrebbero avere i permessi impostati a 755 o 750. Nessun cartella dovrebbe avere i permessi impostati a 777.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"previeni-lhotlinking\">Previeni l\u2019hotlinking<\/h3>\n\n\n\n<p>Hotlinking \u00e8 quando usi sul tuo sito un\u2019immagine, ma questa immagine \u00e8 ospitata su un altro sito web. In pratica usi l\u2019url di un\u2019immagine trovata online invece che caricare l\u2019immagine sul tuo account. Questo processo ruba traffico al sito che ospita l\u2019immagine. Pu\u00f2 non sembrare un grande problema, ma pu\u00f2 generare dei grandi costi a chi ospita l\u2019immagine.<\/p>\n\n\n\n<p>Ad esempio se un sito con tante visite fa un hotlinking a delle tue immagini pu\u00f2 generarti dei grandi costi o finire il traffico mensile a tua disposizione e mandare il tuo account offline.<\/p>\n\n\n\n<p>Per prevenire l\u2019hotlinking in apache non devi far altro che inserire questo codice in .htaccess:<\/p>\n\n\n\n<pre class=\"wp-block-preformatted\">RewriteEngine on\nRewriteCond %{HTTP_REFERER} !^$\nRewriteCond %{HTTP_REFERER} !^http(s)?:\/\/(www\\.)?yourdomain.com [NC]\nRewriteRule \\.(jpg|jpeg|png|gif)$ https:\/\/dropbox.com\/hotlink-placeholder.jpg [NC,R,L]<\/pre>\n\n\n\n<p>Nel codice qui sopra dovresti sostituire yourdomain.com col nome del tuo dominio ed al posto dell\u2019url di dropbox inserire un url (esterna al tuo account) di una immagine che vuoi mostrare al posto dell\u2019immagine del tuo sito web.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"nascondi-avvisi-e-notifiche-php\">Nascondi Avvisi e Notifiche PHP<\/h3>\n\n\n\n<p>Seguendo il principio &#8220;Security by Obscurity&#8221; \u00e8 una buona idea quella di nascondere gli <a href=\"https:\/\/supporthost.com\/it\/errori-php\/\" data-type=\"post\" data-id=\"23503\">errori PHP<\/a>. Questi errori possono fornire delle indicazioni utili ad un hacker che intende attaccare il tuo sito web.<\/p>\n\n\n\n<p>In ambiente di sviluppo questi errori sono utili per convalidare il tuo lavoro e scoprire errori nel codice, ma su un sito web in produzione questi devono essere disattivati in modo da nascondere percorsi, versioni, nomi di file e quant&#8217;altro.<\/p>\n\n\n\n<p>Per disabilitare questi errori non devi fare altro che aggiungere queste due righe al file wp-config.php della tua installazione WordPress:<\/p>\n\n\n\n<pre class=\"wp-block-preformatted\">error_reporting( 0 );\nini_set( 'display_errors', 0 );<\/pre>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"nascondi-le-informazioni-su-apache-e-php\">Nascondi le Informazioni su Apache e PHP<\/h3>\n\n\n\n<p>Spesso tra le informazioni che il server invia nelle intestazioni sono incluse informazioni sul software installato sul server e la versione PHP utilizzata.<\/p>\n\n\n\n<p>Puoi evitare di mostrare le informazioni condivise sul server aggiungendo la seguente riga nel file .htaccess della cartella principale del tuo sito web:<\/p>\n\n\n\n<pre class=\"wp-block-preformatted\">ServerSignature Off<\/pre>\n\n\n\n<p>Per non mostrare la versione PHP devi invece inserire questa riga all&#8217;interno del tuo file .htaccess:<\/p>\n\n\n\n<pre class=\"wp-block-preformatted\">Header unset X-Powered-By<\/pre>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"mantieni-tutto-separato\">Mantieni tutto separato<\/h2>\n\n\n\n<p>Nonostante vendiamo dei piani multidominio, come ad esempio l&#8217;<a href=\"https:\/\/supporthost.com\/it\/hosting-wordpress\/\" data-type=\"page\" data-id=\"17278\">hosting WordPress<\/a> e l&#8217;<a href=\"https:\/\/supporthost.com\/it\/hosting-semidedicato\/\" data-type=\"page\" data-id=\"17275\">hosting semidedicato<\/a>, ti consigliamo di mantenere il pi\u00f9 possibile i tuoi siti separati.<\/p>\n\n\n\n<p>I siti ospitati sullo stesso account sono soggetti a una vulnerabilit\u00e0 particolare: se uno dei tuoi siti viene bucato \u00e8 facilissimo bucare tutti gli altri siti sullo stesso account, una cosa che succede spesso.<\/p>\n\n\n\n<p>Se i tuoi sono invece su account diversi, le nostre protezioni impediscono che questo possa succedere, in questo modo se uno dei tuoi siti viene bucato tutti gli altri restano al sicuro.<\/p>\n\n\n\n<p>A questo punto ti stai sicuramente chiedendo che scopo ha un piano multidominio. Consigliamo di tenere tutti i siti insieme in questi casi:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>hai tanti piccoli siti e cerchi un risparmio<\/li>\n\n\n\n<li>si tratta di siti in staging, magari non raggiungibili dall&#8217;esterno senza la modifica del <a href=\"https:\/\/supporthost.com\/it\/file-hosts\/\" data-type=\"post\" data-id=\"16250\">file hosts<\/a><\/li>\n\n\n\n<li>sei una persona esperta e sicura che i tuoi siti non verranno bucati, e se succedesse sai come pulirli e sistemare in tempi brevi<\/li>\n<\/ul>\n\n\n\n<p>In linea di massima, se hai un sito importante, il nostro consiglio \u00e8 di ospitarlo su un piano a s\u00e9 per questioni di sicurezza. <\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"conclusioni\">Conclusioni<\/h2>\n\n\n\n<p>Se hai seguito la nostra guida avrai capito che mettere in sicurezza WordPress \u00e8 un processo che prevede un impegno continuo. Mantenere tutto aggiornato, limitare gli accessi e modificare con regolarit\u00e0 le password sono solo alcune delle operazioni che devi compiere per proteggere il tuo sito.<\/p>\n\n\n\n<p>Gli attacchi sono sempre in agguato, per cui oltre a cercare di mantenere sempre tutto sotto controllo assicurati anche di avere sempre a disposizione un backup in modo da poter ripristinare il sito nel caso in cui un hacker lo abbia compromesso.<\/p>\n\n\n\n<p>E tu quali misure utilizzi per proteggere il tuo sito? Fammi sapere con un commento.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Mettere in sicurezza WordPress dovrebbe essere una delle prime preoccupazioni per chiunque abbia un sito web. Ogni settimana Google mette nella sua blacklist 20.000 siti per malware e 50.000 per phishing. Se lavori con il tuo sito web devi porre attenzione alla sicurezza del tuo sito web. Oggi condivideremo con te i migliori sistemi per [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":63938,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"inline_featured_image":false,"footnotes":""},"categories":[29],"tags":[],"class_list":["post-7558","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-sicurezza"],"acf":[],"_links":{"self":[{"href":"https:\/\/supporthost.com\/it\/wp-json\/wp\/v2\/posts\/7558","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/supporthost.com\/it\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/supporthost.com\/it\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/supporthost.com\/it\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/supporthost.com\/it\/wp-json\/wp\/v2\/comments?post=7558"}],"version-history":[{"count":9,"href":"https:\/\/supporthost.com\/it\/wp-json\/wp\/v2\/posts\/7558\/revisions"}],"predecessor-version":[{"id":134852,"href":"https:\/\/supporthost.com\/it\/wp-json\/wp\/v2\/posts\/7558\/revisions\/134852"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/supporthost.com\/it\/wp-json\/wp\/v2\/media\/63938"}],"wp:attachment":[{"href":"https:\/\/supporthost.com\/it\/wp-json\/wp\/v2\/media?parent=7558"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/supporthost.com\/it\/wp-json\/wp\/v2\/categories?post=7558"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/supporthost.com\/it\/wp-json\/wp\/v2\/tags?post=7558"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}