Migliorare la sicurezza di un sito Wordpress

Migliorare la sicurezza di un sito Wordpress

Non esiste una formula magica per rendere il tuo sito Wordpress invulnerabile al 100%. In generale nessun sito può dirsi mai al sicuro con estrema certezza. Esistono però alcune misure proattive di protezione che dovresti considerare per migliorare la sicurezza del tuo sito.

Sfatiamo anche un secondo "mito": non vengono hackerati solamente siti web importanti, di grandi compagnie multinazionali. Qualsiasi sito web, per il solo fatto di essere presente in rete, è una preda appetibile per gli hackers. Un attacco infatti non mira solamente a sottrarre i dati presenti nel sito, ma spesso mira ad utilizzare siti web di piccole dimensioni, non aggiornati e strutturati male, come "piattaforme" da cui far partire attacchi verso altri siti web.

Anche un piccolo sito web locale può essere compromesso e fungere da base per la diffusione di malware e virus a sua insaputa.

Considera anche il fatto che ripristinare un sito compromesso è una perdita di tempo, energia e denaro: tutte cose che avresti potuto investire in altre attività, come la creazione e la promozione di contenuti. Vediamo come migliorare la sicurezza del tuo sito Wordpress e rendere la vita difficile agli hackers. Alcuni suggerimenti sono validi per qualsiasi sito web.

Da dove provengono gli attacchi a un sito web?

Una recente statistica mostra che la maggior parte degli attacchi hacker a siti Wordpress proviene sfruttando falle nell'Hosting. Ecco la statistica completa:

...e inoltre

sicurezza wordpresscredits immagine

  • Circa l'83% dei siti WordPress che vengono infettati non sono aggiornati
  • 30.000 siti web vengono infettati ogni giorno
  • In media, ogni 3 secondi è violato un sito web

Come prevenire i problemi di sicurezza in Wordpress?

1. Non utilizzare l'account admin predefinito

Questo è uno degli errori più comuni ed elementari che si possano commettere dal punto di vista della sicurezza. Quale account pensi che un hacker tenti di violare, quando decide di attaccare un sito web? Quello dell'amministratore, è chiaro. Crea un utente con un diverso username a cui assegnare i diritti di amministratore, prima di eliminare il vecchio account.

2. Chiudi i commenti dopo 30 o 60 giorni

Non tutti sono d'accordo su questa tecnica, ma se sei colpito quotidianamente da centinaia di commenti spam puoi provare a disabilitarli dopo un determinato periodo di tempo. Prova e vedrai che i commenti spam diminuiranno drasticamente. Utilizza anche un plugin che filtri questo tipo di interazioni ingannevoli, come Akismet.

3. Elimina il login dal frontend del sito

Indipendentemente dalla natura del tuo sito/blog, mantenere un link nel frontend per il login nell'area amministrativa è come lasciare le chiavi di casa fuori dalla porta. Rimuovere questo link di accesso certamente non garantisce la sicurezza per il tuo sito, ma è necessario per mettere un ulteriore ostacolo sulla strada degli hackers: più ostacoli ci sono meglio è!

Altro accorgimento che dovresti prendere in seria considerazione è l'oscuramento della pagina di accesso al backend (quella che, di solito, termina con wp-admin). Utilizza il plugin gratuito Lockdown WP Admin per mettere un lucchetto alla tua porta di casa.

login wordpress

4. Mantieni Wordpress sempre aggiornato

L'aggiornamento del sito è abbastanza agevole, ma inspiegabilmente circa l'83% delle persone non aggiorna il proprio software all'ultima versione stabile. Wordpress rilascia continuamente nuove versioni e patch di sicurezza, che servono proprio a colmare alcune lacune relative alla protezione del sito. La maggior parte delle volte è sufficiente usare la funzione di aggiornamento automatico presente in Wordpress.

5. Segnala bug e problemi di sicurezza di WordPress

WordPress è il CMS più utilizzato sul web e può contare su una vastissima community online. Ogni giorno vengono segnalati nuovi problemi o bug e contestualmente vengono rilasciate patch di sicurezza. Se trovi un bug o una soluzione ad un problema, segnalalo alla community, così che tutti ne possano beneficiare.

6. Blocca l'accesso in scrittura ai file

Un ulteriore passo avanti puoi farlo bloccando le autorizzazioni e i permessi di scrittura dei file. È possibile farlo in molti modi: grazie ad un plugin o attraverso le impostazioni (cPanel) dell'hosting. Fai attenzione però: se non sei sicuro di cosa stai facendo, è meglio contattare il team di supporto dell'hosting e fare in modo che se ne occupino loro.

7. Utilizza un plugin per i tentativi di login falliti

Dopo svariati tentativi di login senza successo provenienti dal medesimo IP, alcuni plugin disattivano la possibilità di effettuare login per un determinato intervallo di tempoUn ottimo plugin per Wordpress è Login Lockdown che permette di premunirsi riguardo i cosiddetti "brute force" della password.

8. Considera l'autenticazione in due fasi

L'accesso tradizionale richiede l'inserimento di un nome utente e una password. È la classica autenticazione ad una fase. Al fine di aumentare la sicurezza, puoi considerare l'autenticazione in due fattori (se hai un conto home banking, sai di cosa stiamo parlando). È possibile utilizzare Google Authenticator per 2FA se il tuo è un sito eCommerce/WooCommerce o richiede una protezione aggiuntiva. Questo, ovviamente, dipende dal tipo di sito che hai e le informazioni che stai cercando di proteggere; per un semplice blog non vale la pena.

Sicurezza Wordpress - Hosting, Template & Plugin

Abbiamo già visto alcuni accorgimenti per proteggere il sito Wordpress da problemi di sicurezza. Ora vediamo alcuni suggerimenti per la fase di preparazione in caso di una compromissione.

1. Ripristina il backup 

Se il tuo sito è stato compromesso dovrai ripristinare il backup per riportare il sito alla sua gloria precedente (pre-attacco). Se non hai un backup settimanale o giornaliero, allora è troppo tardi: potresti aver perso contenuti e dati di valore. Verifica se il tuo hosting mette a disposizione queste funzioni ed agisci di conseguenza. Il backup dovrebbe risiedere in posizione diversa dal sito in produzione: verifica il tuo backup prima che sia troppo tardi!

2. Controlla la stabilità e la sicurezza del tuo Hosting

Quando scegli un hosting per il tuo sito, devi considerare la velocità, la stabilità, la sicurezza e la disponiblità dell'infrastruttura che ti viene messa a disposizione. Ricorda la statistica iniziale: il 41% dei problemi di sicurezza sono veicolati attraverso l'host.

3. Verifica il tema e i plugin

Più della metà dei problemi di sicurezza interessano il tema grafico (template) e i plugin non aggiornati. Aggiorna sempre il tema e i plugin del tuo sito, rimuovi quelli indesiderati e non usare software contraffatto o craccato. Un sito Wordpress aggiornato, poi, è anche più veloce!

Il tuo computer e la rete

  • Assicurati che il tuo computer sia privo di malware, spyware e infezioni da virus
  • Utilizza un software antivirus e tieni sempre attivo il Firewall
  • Lavora da reti attendibili: evita le connessioni dei luoghi non sicuri o reti WiFi gratuite, quando e se possibile
  • Assicurati che le tue password siano sicure (quella di Wordpress, quella dell'email e in genere tutte le password)

Approfondisci l'argomento leggendo: Le password più usate nel 2015

Plugin di sicurezza di Wordpress

Un semplice primo passo verso la protezione del tuo sito WordPress è quello di iniziare con un plugin di sicurezza. Ecco un elenco da cui puoi scegliere. Non installarne più di uno, in quanto potrebbero avere problemi di compatibilità o sovrapposizione di funzionalità.

Conclusione

Utilizza questo post come promemoria per controllare regolarmente il tuo sito Wordpress. Inizia da username e password: se utilizzi "admin" come username, il primo passo è quello di creare un altro utente ed eliminare l'account predefinito. Assicurati che la password sia lunga e complessa e non usare password che possono essere facilmente violate. Mantieni aggiornato Wordpress, il tema e i plugin installati. Utilizza dei plugin per migliorare le prestazioni e velocizzare il tuo sito aumentando il livello di protezione.

E ricorda: prevenire è meglio che curare!

Vota:
3
 
9 modi per aumentare la fedeltà del cliente
Pubblicità efficace con Facebook Ads

Forse potrebbero interessarti anche questi articoli