WordPress è il CMS (sistema di gestione dei contenuti) con la maggior quantità di installazioni nel mondo.
Essere il più grande significa avere un incredibile ecosistema di sviluppatori che contribuisce all'estensibilità del Web aperto.
Significa anche che la sicurezza del sito Web è di fondamentale importanza quando si utilizza WordPress perché il software rappresenta la maggior parte dei siti Web vulnerabili su Internet.
In altre parole, la stessa cosa che rende impressionante WordPress (plug-in e temi di terze parti) lo rende anche un enorme bersaglio per hacker e aggressori e gli hack possono essere un problema costoso.
Negli Stati Uniti, il costo medio di una violazione dei dati per una società statunitense è di $ 7,91 milioni (dollari USA).
Con un cartellino del prezzo del genere, la sicurezza di WordPress è incredibilmente importante sia che tu esegua il tuo sito di e-commerce WordPress o che costruisci siti per conto di altri.
Fortunatamente, gli sviluppatori che lavorano sul nucleo di WordPress hanno fatto di tutto per mantenere un software sicuro.
Poiché vengono introdotte variabili come hosting, plug-in, temi e gateway di pagamento, ci sono più considerazioni per la sicurezza di WordPress che non rientrano nella competenza degli ingegneri di base di WordPress.
In questo articolo, ti guiderò attraverso ulteriori misure di sicurezza che puoi adottare per minimizzare il rischio di attacchi. Daremo anche un'occhiata ad alcuni plugin che sono specificamente progettati per aiutare a ridurre i rischi per la sicurezza e mantenere i dati dei clienti fuori pericolo.
Suggerimenti per la sicurezza di WordPress che puoi implementare in questo momento
Creare un sito Web WordPress più sicuro non richiede molto tempo, ma vorrete sapere cosa cercare mentre state proteggendo il vostro sito.
Ecco alcune cose veloci che puoi fare mentre inizi a concentrarti sulle basi di sicurezza di WordPress.
1. Proteggi il tuo sito con SSL.
SSL (secure socket layer) è un protocollo che aiuta a crittografare e proteggere le comunicazioni da e verso il tuo sito di e-commerce.
Questo protocollo aiuta anche a proteggere le informazioni private che i tuoi clienti inviano al tuo sito web e / o ai processori di pagamento.
E, naturalmente, ti protegge dai ficcanaso che cercano di prendere il nome utente e la password dell'amministratore mentre accedi per amministrare il tuo sito di e-commerce WordPress.
SSL è così importante per la sicurezza di siti Web e WordPress che i browser Web come Google Chrome mostrano avvisi per i siti Web che non sono crittografati utilizzando un certificato sicuro.
E, quando si tratta di classifiche di ricerca, SSL è anche un indicatore di ricerca che aiuta a determinare quanto in alto un sito web verrà visualizzato nelle inserzioni di ricerca di Google.
Mentre il SSL era un'opzione, ora è necessario per avere un sito Web completamente disponibile e sicuro su Internet.
2. Serrare le password.
Impostare e seguire una politica di password per i tuoi utenti è più importante della semplice password sicura.
Dopotutto, è possibile che in futuro fornirai l'accesso amministrativo a fornitori, partner o clienti e che qualsiasi di questi account utente potrebbe essere utilizzato per compromettere l'intero sito Web e rubare informazioni.
Al giorno d'oggi non è sufficiente che una password sia difficile da indovinare.
Poiché gli hacker di grandi istituzioni e altri siti Web sono diventati più comuni (e i database di password rubate sono condivisi sul Web scuro), riutilizzare una password sul tuo sito è un modo semplice per un hacker potenziale di trovare la propria strada nelle parti private del tuo sito di e-commerce.
Per quanto riguarda la modalità di creazione di una password sicura, le minacce alla sicurezza di WordPress cambiano continuamente, così come le best practice per le password.
Krebs è una grande risorsa per imparare le cose da fare e da non fare nella creazione di una password sicura.
3. Limita le autorizzazioni quando necessario.
Pensa all'accesso al tuo sito Web di back-end come a qualcosa che devi sapere.
La sicurezza del tuo sito Web dipende in ultima analisi da come le persone che hanno accesso al sistema esercitano il loro accesso. Pensa a ciascun tipo di utente che ha bisogno di accedere al tuo sito Web e valuta il tipo di accesso di cui hanno bisogno.
I clienti devono conoscere le informazioni su prodotti e servizi (di solito informazioni pubblicamente disponibili) ma non hanno bisogno di sapere che aspetto ha il back-end del sito Web o come accedere al proprio account di hosting.
Gli editori devono sapere come accedere al tuo sito web per modificare i post e creare nuovi articoli, ma non è necessario sapere come è configurato il tuo sito di e-commerce o come accedere al tuo account di hosting.
Probabilmente gli amministratori hanno più bisogno di accesso, ma alcuni amministratori potrebbero aver bisogno di accedere solo per un breve periodo mentre risolvono un problema o lavorano su un progetto speciale.
Considera il fatto che anche tu potrebbe voler rinunciare all'accesso amministrativo dopo aver consegnato un sito Web a un cliente se il contratto termina con tale consegna.
Scegli e documenta un criterio di accesso e in che modo limiti le autorizzazioni (e il periodo di tempo a cui un utente avrà l'accesso assegnato) per ciascun tipo di utente.
E ricorda sempre che, una volta che un utente interrompe l'esecuzione del lavoro sul sito Web, il suo profilo utente deve essere rimosso completamente e il contenuto associato deve essere spostato su un altro utente.
4. Mantenere aggiornato WordPress.
Quando i sistemi di gestione dei contenuti venivano creati per la prima volta, era difficile mantenere aggiornato un sito web.
C'erano azioni manuali che dovevano essere eseguite, modifiche tecniche e cambiamenti nel software che spesso rompevano le vecchie versioni del codice di terze parti.
Al giorno d'oggi, WordPress si è evoluto in uno dei sistemi di gestione dei contenuti più aggiornabili al mondo. Poiché il software con vulnerabilità è spesso la causa dei problemi di sicurezza di WordPress, mantenere aggiornato il software di base di WordPress e i relativi plugin e temi è la chiave per vincere la lotta contro i potenziali hacker.
Anche se potrebbe sembrare spaventoso, considera i plugin per l'aggiornamento automatico e le versioni minori del software WordPress per mantenere il tuo sito di e-commerce in perfetta forma.
Un errore causato da un aggiornamento è in genere sempre migliore di un errore causato da un sito compromesso.
Se non si preferisce aggiornare automaticamente il sito Web di e-commerce, creare un programma di aggiornamento regolare in cui gli aggiornamenti vengono testati e applicati a intervalli regolari (settimanali o mensili). Inoltre, includere un'eccezione per gli aggiornamenti critici che potrebbero dover essere apportati rapidamente per evitare problemi di sicurezza catastrofici.
5. Assicurati che il tuo hosting sia sicuro.
Se il tuo hosting non è sicuro, tutti gli altri tentativi di proteggere il tuo software del sito web potrebbero non esserlo.
Grandi provider come WPEngine, GoDaddy e LiquidWeb sono focalizzati sulla sicurezza di WordPress e si occupano di proteggere gli account di hosting dei clienti, i loro server e gli account utente di hosting.
Se stai lavorando con un sito di e-commerce su un provider più piccolo o autonomo, considera di spostare il sito su un provider più grande se le specifiche del sito non richiedono hosting estremamente specializzato. Spesso i provider più grandi dispongono di più risorse da dedicare alla sicurezza della rete e del software.
6. Effettua il backup del tuo sito.
Nessuna misura di sicurezza di WordPress è meglio che avere un backup pulito del tuo sito web. Se il tuo sito web subisce un attacco, avere un backup renderà molto più facile recuperare il tuo duro lavoro, e di solito ti salverà dal dover costruire un nuovo sito da zero.
Mentre decidi dove e con quale frequenza eseguirai il backup del tuo sito web, assicurati di tenere il backup fuori sede (eseguito il backup in un luogo diverso dal tuo sito web o host web) in modo da poterlo ripristinare facilmente se qualcosa va storto.
Ci sono un sacco di servizi che aiutano a facilitare il processo di automatizzazione dei backup. Ecco alcuni prodotti che semplificano i backup off-site!
-
Rewind.io – Backup automatici con la possibilità di ripristinare il tuo negozio in un determinato momento (e il servizio è progettato per funzionare con BigCommerce)
-
ManageWP: backup automatici off-site giornalieri per i file del tuo sito Web a molti servizi di backup più diffusi, tra cui Google Drive e DropBox.
-
BackupBuddy – Un'altra grande soluzione per backup automatici off-site per i file del tuo sito Web che funzionano perfettamente con servizi come BackupBuddy Stash, Amazon S3, Google Drive e Dropbox.
7. Proteggi il tuo amministratore di WordPress.
Mentre un hacker esperto può probabilmente capire dove si trova l'area admin del tuo sito web, sarà più difficile hackerare se prendi alcune precauzioni di base per convalidare che si tratta di un tentativo umano di accedere.
Considera di rendere più difficile per gli hacker limitando il numero di tentativi di accesso e aggiungendo un CAPTCHA al modulo di accesso stesso.
Queste sono entrambe tattiche che rendono più difficile l'accesso a un robot e ti danno più tempo per notare l'accesso continuo da parte di una terza parte sospetta.
8. Aggiungi autenticazione a due fattori.
È consigliabile utilizzare l'autenticazione a due fattori ogni volta che l'opzione è disponibile (un corso accelerato rapido su 2FA). È la stessa tecnologia utilizzata dalle banche e dai siti di shopping online ed è qualcosa che dovrebbe essere implementato anche sul tuo sito web.
L'idea alla base dell'autenticazione a due fattori è che l'accesso a una risorsa richiederà due cose: qualcosa che conosci e qualcosa che hai.
Ad esempio, se ti viene richiesto di immettere un numero univoco tramite SMS / SMS oltre alla password di amministratore per accedere a un sito Web, devi avere accesso al tuo telefono cellulare.
È una cosa che un hacker probabilmente non avrebbe, quindi sarebbe quasi impossibile per un hacker accedere al tuo sito web usando il processo di login a due fattori.
L'autenticazione a due fattori ti dà anche la certezza che se la tua password non è abbastanza forte, c'è un'altra linea di difesa contro i tentativi di hacking.
BigCommerce per WordPress: una volta Ecommerce
Ogni tanto, un plugin o una soluzione è sviluppata per WordPress che risolve più punti critici nel percorso verso la creazione di un fantastico sito di e-commerce.
Il plugin BigCommerce per WordPress non solo migliora la sicurezza di WordPress, ma consente anche di scaricare l'elaborazione e rende la gestione dei negozi più rapida e semplice.
1. BigCommerce è il tuo backend commerciale.
La gestione dei negozi è molto più semplice con BigCommerce per WordPress, specialmente se gestisci più negozi.
Da un unico pannello di controllo, è possibile gestire il catalogo, gli ordini e le spedizioni dietro a un account gestito in modo sicuro e a un'infrastruttura di accesso.
2. Aggiorna cataloghi e ordini da parte nostra.
Gestione non include solo rapporti in esecuzione e visualizzazione delle informazioni sul prodotto. Con il plugin WordCommerce di BigCommerce puoi anche modificare e aggiornare ordini e cataloghi direttamente dall'interfaccia di BigCommerce.
3. Ottieni supporto esperto.
Occasionalmente, accade l'imprevisto, ed è allora che è ora di chiamare gli esperti di e-commerce.
Fortunatamente, BigCommerce fornisce un supporto esperto per aiutare a implementare e mantenere BigCommerce all'interno di WordPress.
4. Sicurezza e-commerce migliorata e tranquillità.
BigCommerce per WordPress può aumentare la conversione e la sicurezza con il checkout completamente integrato di BigCommerce. Il nostro plug-in offre un checkout rapido e reattivo per migliorare l'esperienza utente riducendo il peso della conformità PCI.
Solo sicurezza Plugin per qualsiasi sito di e-commerce WordPress
Poiché la sicurezza di WordPress è una parte così importante del mantenimento di un sito Web di e-commerce in buona salute, molti sviluppatori hanno contribuito a creare soluzioni gratuite ea pagamento per creare best practice sulla sicurezza nel tuo sito web.
1. Sicurezza Sucuri
Pensi che la sicurezza di WordPress stia solo difendendo il tuo sito web da potenziali aggressori?
L'implementazione di Sucuri Security può anche portare a guadagni in termini di prestazioni tramite il loro CDN (Content Delivery Network).
I CDN sono un ottimo modo per aumentare la velocità del tuo sito web, specialmente per quelli situati più lontano da dove è ospitato il tuo sito.
Gestire il tuo sito web attraverso i server di Sucuri significa anche prendere dei tentativi di hacking prima che causino un problema usando la loro tecnologia WAF (web application firewall).
Il WAF può anche aiutare a mantenere le vulnerabilità zero day dall'impatto sul tuo sito web. Ed ecco la parte migliore: se Sucuri rileva un compromesso mentre monitora continuamente il tuo sito web, offre anche rimozioni di malware illimitate per cui non devi preoccuparti di pulire un sito infetto.
2. Sicurezza di iThemes
iThemes Security è una soluzione di sicurezza WordPress ad ampio spettro che aggiunge protezione brute force, applicazione della password e blocchi di utenti non autorizzati (solo per nominare alcune funzionalità) sul tuo sito web.
In tutto, ci sono oltre 30 modi in cui iThemes Security lavora per mantenere il tuo sito di e-commerce WordPress al sicuro dagli hacker.
3. Jetpack
Le funzionalità di sicurezza Jetpack aiutano a tenere lontane le persone malvagie (protezione brute force) e lo spamming (protezione antispam).
Il plug-in offre anche altri elementi essenziali per la sicurezza come gli aggiornamenti dei plug-in gestiti, il monitoraggio dei tempi di inattività e i backup automatici.
Sebbene queste funzionalità possano sembrare fondamentali, queste sono alcune delle modifiche più efficaci che puoi implementare sul tuo sito di e-commerce proprio adesso per mitigare la maggior parte degli attacchi.
4. BBQ: blocca query non valide
Spesso, prima di un attacco, un hacker proverà a capire in che modo un sito web è vulnerabile prima di uccidere.
Queste "analisi" vengono eseguite utilizzando le richieste URL su un sito Web vulnerabile.
Normalmente le richieste non sono un grosso problema, ma perché fornire a un hacker informazioni aggiuntive sul tuo sito web?
BBQ tiene lontani i malintenzionati che mirano a sondare o compromettere il tuo sito web rifiutando silenziosamente queste richieste di URL.
5. Il mio sito privato
Se stai cercando la sicurezza dei contenuti, My Private Site ti aiuterà a bloccare l'intero sito Web in modo che solo i membri con login e password possano visualizzare contenuti o prodotti.
Questa è la soluzione perfetta per un semplice sito di appartenenza o un sito Web in cui prodotti, servizi e / o contenuti devono essere disponibili solo per un pubblico limitato e verificato.
6. Il framework GDPR
Sebbene non sia direttamente correlato agli attacchi contrastanti, GDPR è una politica che affronta il modo in cui le informazioni sui clienti e sui visitatori vengono raccolte e conservate.
Con un sacco di ottime funzionalità, il plug-in GDPR Framework ti aiuterà a raggiungere la piena conformità GDPR in pochissimo tempo.
Con il modello di privacy policy, la gestione del consenso e la gestione anonima dei dati, questo è un potente plugin per implementare rapidamente il framework GDPR su un sito Web WordPress.
Rendere i clienti più sicuri
Parte della sicurezza di WordPress consiste nell'aiutare i clienti a sentirsi più sicuri. I clienti informati conoscono la differenza tra un sito Web sicuro e insicuro e i tassi di conversione trarranno vantaggio dall'avere un sito più sicuro.
Ecco alcuni modi per garantire che il viaggio del cliente attraverso il tuo sito Web sia sicuro e fornisca il massimo consenso e visibilità possibile.
1. Resta conforme a GDPR.
Mentre l'Unione Europea è l'entità che ha promulgato il Regolamento generale sulla protezione dei dati (GDPR), è importante che tutti i siti di e-commerce in tutto il mondo prendano in considerazione l'implementazione del GDPR per conformarsi al diritto dell'Unione europea e offrano i massimi vantaggi per la sicurezza e la privacy agli utenti.
2. Spiega ai clienti cosa stai monitorando.
A nessuno piace avere informazioni personali raccolte senza il loro consenso.
È importante che mentre un utente si muove attraverso il tuo sito e-commerce che tu gli comunichi quando raccogli le loro informazioni e come verranno utilizzate le informazioni.
I regolamenti GDPR vanno ancora oltre richiedendo all'utente di optare per la raccolta di dati se i dati vengono effettivamente raccolti, quindi lavorare per implementare un simile opt-in sarebbe un grande obiettivo.
3. Limitare le capacità di registrazione della sessione.
Quando si esegue un sito Web di e-commerce, è fondamentale sapere in che modo le persone interagiscono con i prodotti e i contenuti e quali azioni (o gruppi di azioni) portano alle vendite. Mentre estrai il tuo sito per ottenere informazioni, è una buona idea conservare solo le informazioni necessarie per l'analisi.
Man mano che le informazioni diventano più personali (come l'indirizzo e le informazioni di pagamento durante il checkout), guarda attentamente se le informazioni devono essere archiviate o meno per l'analisi.
Se le informazioni non sono necessarie per formare una conclusione significativa sulle interazioni dell'utente, interrompere la registrazione delle informazioni dell'utente.
È inoltre consigliabile creare un criterio per eliminare automaticamente le informazioni che non sono più utilizzabili dopo un determinato periodo di tempo.
4. Utilizzare sistemi di pagamento forti.
I sistemi di pagamento sicuri riconosciuti dal settore dovrebbero sempre essere utilizzati quando si effettuano pagamenti online.
Aziende come Stripe e PayPal impiegano enormi risorse per creare sistemi che mantengono le informazioni fluide attraverso canali crittografati e che gestiscono le informazioni in base alle best practice del settore dei pagamenti.
5. Se si dispone di account utente, abilitare alcune misure di sicurezza.
Password complesse, CAPTCHA e autenticazione a due fattori sono tutti modi importanti per proteggere l'accesso da parte degli amministratori, e quelle stesse misure dovrebbero essere adottate anche per proteggere gli account degli utenti.
È un grosso problema se l'account di un utente viene compromesso e non tutti gli utenti considerano le stesse cose quando pensano a come proteggere i loro account online.
Aiuta i tuoi utenti a trovare la strada per un'esperienza più sicura sul tuo sito web richiedendo password più potenti e autenticazione a due fattori.
Sintesi:
Qui ci sono 4 appuntamenti da inserire nel tuo calendario che aumenteranno la sicurezza del tuo sito di e-commerce WordPress in pochissimo tempo.
Nel giorno successivo: Installa e abilita un plug-in di backup offsite.
Domani: assicurati che plugin, temi e file core di WordPress siano aggiornati.
Nella prossima settimana: abilitare uno dei plugin di sicurezza a cui si fa riferimento in questo articolo.
Nel mese successivo: rivedere e implementare i regolamenti GDPR.
