Web Design
WordPress, YunikonID

Sicurezza WordPress: come rendere sicuro il tuo sito in 10 passi

Sicurezza WordPress sito web

Il tema della Sicurezza WordPress è un argomento che fa salire l’ansietta anche ai più serafici dei possessori di un sito web.

L’argomento è complesso, metto subito le mani avanti, ma molte operazioni in realtà sono semplici da portare a termine, anche se non sei un web designer o un esperto.

In questa live fornisco i miei 10 consigli, dettati dalla mia esperienza. Per comodità li riepilogo qui sotto, ma se vuoi approfondire ti rimando alla live del video.

In questa live rispondo a una serie di domande che mi sono posta ma che si sono posti pure tutti quei clienti (o possibili tali) alle prese con un ecommerce.

Sicurezza WordPress: come rendere sicuro un sito web?

1. Scegli un hosting WordPress professionale
2. Aggiorna puntualmente WordPress e i plugin
3. Usa l’https e il certificato SSL
4. Programma dei backup periodici del sito
5. Usa la versione più recente di PHP
6. Usa password sicure
7. Nascondi la pagina wp-admin.php
8. Nascondi la versione di WordPress
9. Usa l’autenticazione a due fattori
10. Usa Wordfence

1. Scegli un hosting WordPress professionale

I server che ospitano WordPress dovrebbero essere aggiornati con il sistema operativo e il software (di sicurezza) più recenti, ed essere accuratamente testati e scansionati alla ricerca di vulnerabilità e malware.

Ok, ma come scelgo un provider serio? Leggi le recensioni, informati da chi ci è già passato: se puoi, non risparmiare sull’acquisto dell’hosting. Trust me.

2. Aggiorna puntualmente WordPress e i plugin

WordPress è sempre più scelto dagli utenti: questo purtroppo significa anche diventare sempre più l’obiettivo di hacker. Il CMS è presente su 1/4 dei siti web online: questo senza dubbio attira l’attenzione di tutti quelli che vogliano inserire codice dannoso o rubare i dati. Ma la dimensione stessa di WordPress, e della sua community, è anche un vantaggio. Le vulnerabilità legate alla sicurezza vengono individuate e affrontate rapidamente. Ciò vale sia per il core di WordPress, sia per i plugin premium.

Puoi aggiornare WP, i plugin e i temi dal backoffice del tuo sito, da Bacheca > Aggiornamenti, oppure puoi farlo manualmente tramite FTP.

3. Usa l’https e il certificato SSL

Occhio al lucchetto! Il certificato SSL protegge le informazioni della carta di credito e altre informazioni che non vengono intercettate da soggetti non autorizzati. È indispensabile quindi se il tuo sito è un ecommerce. L’HTTPS consente al browser o all’applicazione web di collegarsi in modo sicuro a un sito web. L’https è una combinazione del protocollo HTTP con SSL/TLS. Viene usato per l’identificazione sicura di un server, in modo che nessun intermediario possa intercettare facilmente i dati. L’SSL invece garantisce che tutti i dati passati tra il server e il client rimangano privati e protetti.

4. Programma dei backup periodici del sito

Che cos’è? Il backup è una copia o meglio, più copie di dati, che ti possono letteralmente salvare la vita (o quantomeno il lavoro!) se dovessi ripristinare il sito in caso di necessità. Come si fa? Alcuni provider offrono gratuitamente questo servizio, altri lo fanno a pagamento. Puoi programmarlo in autonomia dal tuo cpanel, oppure puoi farlo manualmente o, infine, usare un plugin (es: UnDraft). Ogni quanto fare un backup? Giornalmente o settimanalmente, in ogni caso ogni volta che prevedi modifiche importanti al sito.

5. Usa la versione più recente di PHP

PHP è la spina dorsale di un sito WordPress e quindi utilizzare l’ultima versione di PHP sul server è molto importante. Ogni release di PHP è in genere supportata per 2 anni dal momento del suo rilascio. Durante questo periodo, i bug e i problemi di sicurezza sono corretti e aggiornati regolarmente. A partire da ora, chiunque abbia una versione di PHP 7.0 o inferiore non ha più supporto per la sicurezza ed è esposto a vulnerabilità prive di patch.

6. Usa password sicure

Sembra banale (e lo è!) ma uno dei modi migliori per aumentare la sicurezza di WordPress è semplicemente quello di utilizzare nomi utente e password intelligenti. Eppure, secondo uno studio effettuato da NordPass, la password più utilizzata è: 123456. Uno strumento che ti consiglio per non perdere le tue password è LastPass.

7. Nascondi la pagina wp-admin.php

Di default, l’URL di accesso del sito WordPress è www.tuosito.com/wp-admin/. Uno dei problemi che questo può comportare è che tutti i bot, gli hacker e gli script in circolazione lo sanno. Modificando l’URL renderai il sito meno visibile agli attacchi brute force. Questa non è una soluzione per tutti i problemi, è semplicemente un trucchetto che può essere utile nel proteggere il tuo sito. Per cambiare l’URL di accesso a WordPress, prova il plugin gratuito WPS Hide Login.

8. Nascondi la versione di WordPress

Meno persone conoscono la tua configurazione di WordPress, meglio è. Un’installazione non aggiornata di WordPress potrebbe essere un benvenuto per gli intrusi. Di default, la versione di WordPress viene visualizzata nell’intestazione del codice sorgente del sito (). Assicurati, di nuovo, che l’installazione di WordPress sia sempre aggiornata. Facendo così, non dovresti preoccuparti di nascondere la versione.

AGGIUNGI AL FILE FUNCTIONS.PHP DEL TUO TEMA:
function remove_wp_version() { return ''; } 
add_filter('the_generator', 'remove_wp_version'); 

9. Usa l’autenticazione a due fattori

Puoi usare Google Authenticator App (che è gratuito): è un generatore di codici da impiegare per completare il processo di autenticazione a due fattori, o verifica in due passaggi, supportata da un sempre crescente numero di siti e servizi Web.

Puoi impostare un secondo codice per molte cose: l’accesso al tuo account Google, a Facebook, o ancora, nel nostro caso, per il tuo sito web.

Dopo aver aggiunto tra gli account anche il tuo sito web, dovrai usare un plugin per rendere effettiva l’autenticazione a due fattori. In circolazione ne esistono molti, io ti consiglio miniOrange’s Google Authenticator (gratuito). Una volta completata la configurazione, ogni volta che accederai al sito, oltre alla password, dovrai inserire un codice a tempo fornito dall’app GA.

10. Usa Wordfence

Wordfence è un plugin disponibile per WordPress, gratuito o a pagamento. Cisco lo definisce “un dispositivo per la sicurezza della rete che permette di monitorare il traffico in entrata e in uscita utilizzando una serie predefinita di regole di sicurezza per consentire o bloccare gli eventi”.

Detto in parole semplici, è un firewall o “filtro” che controlla che in entrata e in uscita circolino informazioni in maniera sicura. Immaginatelo come un bodyguard all’entrata del tuo sito, che sceglie chi far entrare e chi no.

Un’altra funzione che rende Wordfence un alleato alla sicurezza del tuo sito è la funzione scan. Una volta avviata, il plugin scannerizza tutti i file presenti nella root del sito, analizzando e monitorando se ci troviamo in presenza di un sito infetto. Al termine del proccesso Wordfence offrirà un’analisi completa dello stato di salute del sito, in modo tale da intervenire tempestivamente.

NB. Perchè Wordfence non è la soluzione ai tuoi problemi? Se sul tuo sito è già in corso un attacco hacker o malware, Wordfence ti informerà del problema ma sarai comunque tu a doverlo risolvere. Wordfence è un ottimo strumento di monitoraggio ma questo non preclude la necessità di mettere, e soprattutto mantenere, il tuo sito in sicurezza, per prevenire eventuali attacchi. Quando si dice: è meglio prevenire che curare.

Lascia un commento