Vai al contenuto

Mettere WordPress in Sicurezza in pochi semplici passi : una guida rapida

Come mettere in sicurezza il tuo sito wordpress in pochi semplici passi

WordPress è uno dei CMS (Content Management System) più popolari al mondo, basti pensrea che ben oltre il 40% di tutti i siti web sono alimentati da WordPress. Per questo motivo e grazie alla sua popolarità, WordPress è diventato un bersaglio preferito per gli hacker e i cybercriminali.

Il tema della sicurezza informatica è sempre più attuale ed oggi ogni tentativo di hackere un sito internet è comunque legato al furto di dati e spesso può portare a conseguenze anche legali.

Il sistema su cui è basato WordPress è solido, ma nonostante ciò la vulnerabilità che spesso viene esposta non dipende direttamente dal CORE, bensì da un plugin o un tema non sicuro o non aggiornato all’ultima versione disponibile.

Questo avviene per pigrizia o per negligenza dello sviluppatore, in quanto mantenere agigornato il sito web non richiede una particolare abilità.

Mettere in sicurezza il tuo sito web WordPress è necessario per proteggere i tuoi dati, i dati dei tuoi utenti e la reputazione del tuo marchio e del tuo brand. Ecco alcuni semplici passi che puoi seguire per aumentare la sicurezza del tuo sito web WordPress evitando così di compromettere il tuo business.

Utilizza delle password forti e complesse

Le password deboli sono una delle cause più comuni legate alle violazioni della sicurezza sul web. Assicurati di utilizzare password difficili per tutti gli account del tuo sito web WordPress, compreso l’account amministratore. Utilizza una combinazione di lettere maiuscole e minuscole, numeri e caratteri speciali e cerca di evitare parole comuni o facili da indovinare come le classiche combinazioni nome+anno di nascita ad esempio.

Molte volte il sito wordpress viene compromesso anche perchè l’accesso di default per garantire il login è sempre collegato alla pagina www.nomesito.com/wp-admin

Questo percorso può anche essere modificato tramite dei plugin, ed impostare un URL di accesso differente può comunque aiutare in tal senso.

Usare un nome utente complesso e non semplice è un’altra cosa che consiglio spesso. Evitate di usare come nome utente solo un nome, come “mario”, “fabrizio”, preferite semmai un indirizzo email o un nome utente composto da nome e numeri.

Usare il classico username ADMIN è decisamente sconsigliato se vuoi mettere al sicuro il tuo account.

Maggiore è complessa la password di accesso ed il nome utente e minori saranno le possibilità che un hacker possa dedurle ed entrare con facilità.

Chiaramente questa informazione deve essere salvata e messa al sicuro, e non visibile sul sito in alcun modo.

Mantieni il tuo sito WordPress aggiornato

Le vulnerabilità di sicurezza sono spesso scoperte e risolte con gli aggiornamenti del software, la community di wordpress è molto attiva in tal senso. Assicurati di aggiornare regolarmente il tuo sito WordPress all’ultima versione, inclusi i temi e i plugin. L’aggiornamento del software WordPress è facile e veloce e può essere fatto direttamente dalla tua dashboard. L’ordine che si consiglia di seguire è CPT : Core, Plugins, Themes.

Perchè? Semplice : il CORE è il motore di WordPress, e deve essere sempre ben aggiornato, da esso dipendono i componenti come i plugins ed i temi, e non vogliamo certo che ci siano problemi di incompatibilità o di sicurezza.

I PLUGINS estendono il nostro sito wordpress, e devono essere aggiornati per supportare il CORE appunto, inoltre un plugin aggiornato è sicuro e difficile da hackerare.

I TEMI sono l’ultima cosa da aggiornare nella scala gerarchica, ed è presto detto perchè: aggiornare un tema prima di un plugin potrebbe fare in modo che il plugin, non essendo stato aggiornato, magari non riesca a integrarsi correttamente nel tema.

Seguendo lo schema CPT potrete avere più controllo anche su eventuali errori che potrebbero sopraggiungere magari a seguito di un plugin incompatibilt con gli altri o con il tema stesso.

Utilizza solo plugin e temi affidabili

Molti dei plugin e dei temi gratuiti disponibili online non sono stati sottoposti a controlli di sicurezza approfonditi.

Ci sono moltissimi temi e plugin validi anche su Envato Themeforest o Codecanyon, ma ti consiglio di verificare attentamente che siano sempre ben aggiornati ed evita quelli che non sono molto famosi.

Saper scegliere un tema affidabile e ben supportato e dei plugin validi ti permette di rendere il tuo sito web sicuro e protetto almeno da Bug o potenziali falle di sicurezza. Chiaramente è sempre possibile che un tentativo di entrare nel sito possa avere successo, ma seguendo queste semplici accortezze ti permetterà di mettere in sicurezza il sito.

Utilizza plugin e temi affidabili e ben recensiti, preferibilmente quelli disponibili su fonti affidabili come il repository ufficiale di WordPress o i siti web degli sviluppatori di plugin e temi diretti. Evita inoltre i GPL Vaults, in quanto molti plugins sono “puliti”, ma tanti contengono codice malevolo o potrebbero essere non aggiornati da tempo, esponendo la tua installazione ad un problema ben più grosso e potresti trovare il tuo sito hackerato o compromesso, ed il costo sia finanziario che in termini di immagine potrebbe diventare davvero salato.

Limita l’accesso ai file di WordPress

I file di WordPress sono la porta d’ingresso al tuo sito web, quindi è importante limitare l’accesso a questi file solo agli utenti autorizzati. Utilizza un’opzione di protezione come HTTP Authentication per limitare l’accesso a file importanti come wp-config.php e .htaccess oppure installa un plugin di sicurezza che possa controllare eventuali cambiamenti su questi files e bloccarli prima che vengano infettati.

Abilita l’autenticazione a due fattori

L’autenticazione a due fattori (2FA) fornisce un ulteriore livello di sicurezza per il tuo sito web WordPress. Con 2FA, gli utenti devono fornire una seconda forma di autenticazione oltre alla password, come un codice di verifica inviato tramite SMS o un’applicazione di autenticazione come Google Authenticator. Usare questo tipo di soluzione è ormai comune per moltissimi servizi web ed esistono plugin dedicati e molto semplici da configurare che ti permetteranno di aggiungere uno step in più per proteggere il tuo sito da utenti malintenzionati.

Esegui regolarmente backup del tuo sito web

I backup regolari del tuo sito web WordPress possono salvarti in caso di violazioni di sicurezza o malfunzionamenti del sito. Assicurati di eseguire regolarmente backup del tuo sito web e di conservarli in un luogo sicuro.

Puoi eseguire due tipi di backup, uno a livello host o server, ed uno tramite dei plugin dedicati come WPVivid. Entrambi sono delle soluzioni che ti consiglio di usare, in quanto in caso di crash o di compromissione del tuo sito, potrai con pochi click, tornare allo stato precedente e mettere in sicurezza il sito prima che si verifichi nuovamente il problema.

Scelgi un hosting di qualità o un server di alto profilo managed

Scegliere un hosting di qualità è ilprimo passo per poter comunque essere certo che l’infrastruttura del tuo sito sia solida e ben monitorata.

Se utilizzi una VPS o un Server Dedicato devi sapere che il costo del “mantenimento” può essere anche elevato, ma farà la differenza nel caso in cui ti trovassi a dover combattere contro hacker o attacchi DDoS. Utilizzare Cloudflare ad esempio è una buona soluzione ed i prezzi sono competitivissimi.

Quando avrai il tuo hosting ricorda sempre che qualora dovessi lavorare con terze parti potrai consentire l’accesso al tuo sito creando un utente temporaneo o un account che potrai bloccare non appena il rapporto si interromperà o l’intervento sarà completato.

Non condividere mai i dati primari di accesso, a meno che non si tratti di un Developer o Sviluppatore, che dovrà necessariamente accedere alla macchina in modo completo ed al tuo sito.

Quando scegli un host inoltre potrai scegliere quale versione di PHP installare, il mio consiglio è di verificare quale versione attualmente supporta e consiglia WordPress tramite il sito ufficiale, e non abilitare invece la più recente, a meno che non sia quella che loro consigliano.

Utilizza un servizio di sicurezza di terze parti

Ci sono molte soluzioni di sicurezza di terze parti disponibili per WordPress, che possono aiutarti a proteggere il tuo sito web da attacchi di hacker e malware. Cerca di utilizzare un servizio di sicurezza affidabile che offra funzionalità come scansione malware, firewall, monitoraggio del sito web e altro ancora. Anche se già a livello server esistono delle protezioni, è sempre meglio usare anche un Firewall Software dedicato.

Ci sono molte soluzioni che potrebbero aiutarti in tal senso, come ASTRA, VIRUSDIE o WP Login Lockdown, Wordfence o Sucuri, tanto per citarne solo alcuni.

Questi servizi ti permettono di bloccare l’eventuale utente malevolo quando tenta di forzare il tuo sito usando tecniche di data injection o di brute force.

In sintesi, mettere in sicurezza il tuo non è complesso, e potrai farlo seguendo questi semplici passi.

Se poi malaugurantamente ti trovassi in una situazione in cui il tuo sito sia stato compromesso, allora contattami pure e ti offrirò il mio servizio di consulenza per risolvere il problema e sistemare il sito in modo rapido ed efficace.