6 operazioni per avere un sito WordPress in sicurezza
La sicurezza di un sito WordPress non è uno scherzo, non è un gioco da ragazzi. Nel senso che puoi avere problemi importanti se ignori le regole che ti consentono di dormire sonni tranquilli. Il web è un luogo ricco di opportunità e informazioni, ma è anche fonte di guai per le tue pagine web.
Spam, furto di dati, forzature, malintenzionati che cercano di bucare il sito. Le minacce sono diverse ma non è questo un buon motivo per dubitare del CMS in questione. WordPress è sicuro? Certo, è una delle realtà open source più elaborate e meglio sviluppate del web. Ci sono i migliori tecnici all’opera quando si tratta di potenziare e ottimizzare questo CMS. Poi tutto è migliorabile.
Molto dipende da te, dall’utente finale che deve lavorare in una direzione precisa. Non devi essere per forza un tecnico per mettere in sicurezza WordPress e per limitare i danni di eventuali azioni che spingono verso azioni malevole. Allora, vuoi aumentare la sicurezza di un sito WordPress in modo efficace? Ecco una manciata di consigli, semplici da applicare, per ottenere un buon risultato.
Argomenti trattati in questo post
Aggiornare sempre plugin, tema e CMS
La base di partenza è questa: devi aggiornare tutto, devi fare in modo che il tuo blog sia sempre in linea con gli sviluppi proposti dai plugin. O dalla community di WordPress. Il motivo è semplice: spesso nei miglioramenti ci sono le risposte a eventuali bug o falle del sistema. In questo modo puoi evitare che, attraverso queste crepe, sorgano problemi di sicurezza per il tuo sito web.
Avere un blog allineato è il primo passo per migliorare la sicurezza di un sito WordPress. Se l’update è particolarmente impegnativo (ad esempio una versione nuova del CMS) puoi fare un backup del lavoro, ma la maggior parte dei servizi hosting hanno un ripristino giornaliero. Assicurati di questo passaggio e prendi le precauzioni necessarie per operare in sicurezza.
Per approfondire: come ottimizzare la tua pagina contatti
Non scaricare temi e plugin sospetti
La bellezza di un blog WordPress: puoi aggiungere un plugin e ottenere la funzione che preferisci. Ma attenzione a quello che fai, rischi di caricare sul tuo blog WordPress una porta aperta per i malintenzionati. Quando installi un plugin assicurati sempre che sia una versione recente, diffida da quelli che non vengono aggiornati da molto tempo e leggi le recensioni. Forse qualche utente ha già avuto problemi di sicurezza. Tutto questo vale anche per i temi WordPress.
Passa al protocollo SSL con HTTPS
Un’attenzione in più per il tuo sito web e per i tuoi utenti. Soprattutto se in qualche pagina devi inserire dei form che chiedono carte di credito e password. In realtà gli aggiornamenti di Google sono protesi verso un passaggio quasi obbligato: da ottobre, con la relative release di Google Chrome, i siti web che pretendono la digitazione di un qualsiasi testo verranno etichettati come non sicuri.
Questo se non c’è il protocollo SSL. Se vuoi mettere in sicurezza il blog WordPress questa può essere una buona soluzione: chiedi alla tua agenzia di fiducia o al web master di passare da HTTP a HTTPS. Non è un gioco da ragazzi, o meglio: ci sono strade per velocizzare e ottimizzare il tutto senza eccessivi problemi, ma il rischio di fare danni è elevato. Quindi fatti seguire da chi ha esperienza.
Di tutti i punti elencati questo è sicuramente il più complesso. Non è semplice gestire un passaggio da HTTP a HTTPS, però è indispensabile se vuoi ottenere una credibilità necessaria per vendere online, gestire prenotazioni, puntare verso business più importanti. Qui è necessario chiedere supporto a un webmaster? Bene, il risultato però è decisivo.
Usa password sicure
Sembra un punto banale, eppure è così: avere una password sicura vuol dire bloccare i tentativi di attacco al sito web. E rallentare sicuramente quelli più duri. Pensa che, nella maggior parte dei casi, su un blog WordPress basta aggiungere /wp-admin.php o /wp-login.php all’indirizzo per arrivare alla pagina di accesso. Il nome utente? Di solito è sempre admin, ma per scoprirlo basta digitare ?author=1 dopo l’URL. A questo punto cosa separa il ladro di accessi dal tuo blog? Solo la password.
Scegli un hosting di qualità
Acquistare un hosting WordPress qualitativamente superiore non significa solo guardare alle risorse di sistema. I passaggi riguardano la capacità del servizio in questione di garantire un blocco nei confronti dei pericoli che si nascondono tra le maglie del web. Ad esempio, quali sono le caratteristiche di un buon hosting secondo te? La presenza di Firewall e sistema per la scansione Malware sono la base, e una prevenzione Brute Force può far comodo.
Ricorda che le vulnerabilità dell’hosting sono tra le cause più evidenti di attacco, come sottolinea la grafica del sito www.wpwhitesecurity.com. È proprio qui che si nasconde la percentuale più alta di violazioni, senza dimenticare che buona parte dei problemi nascono da temi e plugin che non rispettano i principi della sicurezza online. Quindi presta attenzione al tuo hosting, e assicurati che offra un backup giornaliero. Nel peggiore dei casi può tornare utile.
Usa i plugin per la sicurezza di WordPress
La soluzione migliore per mettere al riparo il blog: usa i migliori plugin WordPress per ottimizzare la sicurezza e rendere il tuo blog una fortezza. In verità ci sarebbero altre azioni da fare, soprattutto alto codice. Ma se non hai la possibilità di modificare il blog in profondità non esitare. Puoi utilizzare le estensioni messe a disposizione dagli sviluppatori per ottenere ciò che ti serve. Ad esempio?
Consiglio di proteggere il blog con Akismet, uno dei migliori antispam in circolazione. In questo modo eviti attacchi da parte di commenti indesiderati, e per completare l’opera c’è Really Simple Capcha, un plugin che si abbina al già noto Contact Form 7 per inserire un campo di sicurezza in ogni passaggio. In alternativa c’è reCapcha, un’applicazione gestita da Google che consente di mettere in sicurezza qualsiasi form. Anche quello della newsletter.
Quello che ti serve, però, è una suite dedicata alla protezione. Un plugin capace di proteggere il blog da malware e di gestire a livello di database tutti i problemi. Perché tutto questo richiede competenze che non hai, però un plugin può fare questo per te. Ecco perché consiglio Wordfence Security, un plugin per la sicurezza di un sito WordPress che offre tutto in un’unica soluzione.
Da leggere: come creare una pagina su un blog WordPress
Sicurezza di un sito WordPress: tu cosa fai?
Questi sono i consigli utili per proteggere un sito WordPress, per rendere la vita difficile a chi cerca di danneggiare il lavoro altrui. A volte basta usare dei plugin per migliorare la sicurezza del CMS, a volte invece devi solo mettere in pratica delle regole semplici. Perfino banali. Ma che possono salvare la tua presenza online. Allora, tu cosa fai per mettere al sicuro WordPress? Quali passaggi segui? Lascia la tua esperienza personale nei commenti. Aiutaci a migliorare la sicurezza del sito.
DOVE SIAMO
Ciao Riccardo.
Questo è un tema caldissimo sul quale si potrebbe discutere delle ore.
Riguardo WordPress consiglio:
1) Avere sempre il software aggiornato (core + plugin)
2) Evitare di esporre la versione di WordPress e dei vari plugin e il sistema operativo su cui è ospitato. Conoscere la versione del software è un punto di partenza per iniziare un attacco. Per esempio, il tuo blog utilizza la versione 4.8.2 di WordPress, w3-total-cache – v0.9.5.4; ospitato su SO Red Hat Enterprise Linux 7 CPE
3) Dedicare una macchina al solo servizio http e non avere altri servizi attivi come: SMTP (Exim smtpd 4.89), IMAP, POP3, etc… La compromissione di uno dei servizi potrebbe compromettere anche il servizio di blog. Ogni servizio ha dei requisiti di sicurezza diversi.
4) Abilitare il protocollo SSL/TLS e accertarsi che sia in linea con le attuali best practices, coniglio di fare un test via https://www.ssllabs.com/ssltest/
5) Se fate sviluppare dei plugin ad hoc, accertarsi sempre che chi ha sviluppato il plugin abbia seguito le linee guida OWASP, fatto un analisi statica del codice ed eseguito dei penetration test
Quelli che ho esposto sono solamente alcuni dei punti essenziali che occorre tenere in mente.
Consiglio di farvi seguire da una persona esperta per mettere in sicurezza il vostro blog.
Ciao Antonio, ti ringrazio per l’aggiunta. In realtà questa è una guida base per iniziare a mettere in sicurezza il blog con azioni di base. Poi il resto, come dici, deve essere seguito da un professionista.