Come aumentare la sicurezza del tuo WordPress

Come aumentare la sicurezza del tuo WordPress

WordPress è il CMS più usato a livello mondiale ed è anche quello più soggetto ad attacchi informatici. Quali sono le principali azioni da compiere per mettere in sicurezza un sito web creato su questo noto CMS?

WordPress è il CMS più scelto e usato a livello mondiale: oltre il 43% dei siti web online è realizzato con WordPress, alimenta più del 23% dei 10 milioni di siti internet più visitati al mondo e detiene una quota superiore al 65% nel mercato dei siti web realizzati mediante CMS (Fonte: W3Tech Web Technology Surveys).

Essendo il CMS più popolare è anche quello più soggetto ad attacchi informatici. Scopriamo insieme le principali azioni da compiere per mettere in sicurezza un sito realizzato di WordPress.

Perché è così importante mettere in sicurezza il nostro WordPress?
Come mettere in sicurezza un sito WordPress: 10 regole fondamentali
1. Aggiorna WordPress e i suoi plugin
2. Installa temi e plugin soltanto da fonti sicure
3. Testa i plugin e i temi in un ambiente di sviluppo separato dal sito
4. Scegli un Hosting sicuro
5. Attiva un certificato SSL
6. Non cambiare le estensioni dei files php
7. Usa password complesse
8. Rinomina l’amministratore del tuo sito
9. Imposta un’autenticazione a due fattori (2FA)
10. Installa un antivirus/antimalware e mantienilo sempre aggiornato
WordPress è la scelta giusta?
Vuoi saperne di più su come mettere in sicurezza un sito web realizzato su WordPress?

Perché è così importante mettere in sicurezza il nostro WordPress?

Parallelamente alla crescita della quota di mercato, i siti realizzati tramite WordPress negli ultimi anni hanno visto crescere in modo importante la percentuale di attacchi, già altissima, rispetto a siti realizzati con altri CMS.

Cosa potrebbero fare gli hacker dopo aver violato un sito WordPress?

  • Reindirizzare il sito web verso altri siti dannosi
  • Sottrarre dati sensibili degli utenti finali.
  • Mettere in atto attacchi DDoS finalizzati a interrompere l’erogazione di un servizio di rete.
  • Mettere in atto un attacco “Pharma Hack” che restituisce su Google annunci spam legati al sito web violato mettendo a rischio l’indicizzazione del sito stesso da parte dei motori di ricerca.
  • Iniettare una backdoor (una porta di accesso “malevola”) che consente di implementare attacchi su altri siti ospitati all’interno dello stesso server.

Ovviamente, avere un sito web sicuro è essenziale per qualsiasi tipo di business. Vista questa alta percentuale di attacchi e la gravità delle azioni che potrebbero fare gli hacker violando un sito realizzato su WordPress occorre prestare la massima attenzione ed effettuare azioni specifiche volte a mettere WordPress in sicurezza.

Come mettere in sicurezza un sito WordPress: 10 regole fondamentali

1. Aggiorna WordPress e i suoi plugin

Può sembrare banale come consiglio ma si stima che la ragione principali degli attacchi a WordPress sia proprio una vulnerabilità dovuta al mancato aggiornamento dei plugin e dei temi.

Il primo essenziale passo che devi fare per la sicurezza del tuo sito è proprio quella di mantenere l’installazione sempre aggiornata in tutti i suoi aspetti. Le falle di sicurezza che via via vengono scoperte sono corrette soltanto mediante aggiornamenti: se non aggiorni il tuo WordPress la falla rimane e gli hacker possono sfruttarla per “bucare” il tuo sito web.

2. Installa temi e plugin soltanto da fonti sicure

Scegli molto bene quale plugin installare sul tuo WordPress.
Lo so, potresti essere tento di istallare plugin da qualche sito trovato in rete che magari mette a disposizione gratuitamente proprio la risorsa che stai cercando… ma fai molta attenzione: installando plugin da fonti sconosciute potresti istallare anche dei malware o dei piccoli programmi malevoli per consentire l’accesso al tuo sito web.

Il consiglio è semplice: installa i plugin di cui hai bisogno direttamente dal repository WordPress o scaricali dal sito web di uno sviluppatore controllando le valutazioni degli altri utenti.

3. Testa i plugin e i temi in un ambiente di sviluppo separato dal sito

Prima di installare un plugin sarebbe opportuno utilizzare un sito di staging che non contenga i dati presenti nel server produzione verificando non soltanto che il plugin realizzai le funzioni pubblicizzate ma anche che il sito e tutta l’infrastruttura non presenti comportamenti anomali o inattesi.

4. Scegli un Hosting sicuro

Scegliere bene la piattaforma di Hosting è un aspetto fondamentale per la sicurezza del tuo sito web, in fin dei conti la tua installazione WordPress vivrà al suo interno e, in caso di problemi, potrebbe mettere a rischio il tuo sito web e di tutti gli altri siti in esso ospitati.

Hosting WordPress di Register.it unisce insieme la semplicità di WordPress con l’affidabilità e la sicurezza della piattaforma di Register.it con un monitoraggio costante delle risorse e la possibilità di conservare tutti i tuoi dati in backup.

5. Attiva un certificato SSL

I certificati SSL ti consentono di criptare le informazioni che vengono scambiate tra il server e il e il browser del visitatore.

Avere un certificato SSL è essenziale per la sicurezza dei dati e la sua presenza viene anche presa in considerazione ai fini del posizionamento sui motori di ricerca.

Vuoi saperne di più sui certificati SSL? Leggi l’articolo “Perché avere un certificato SSL

Hosting WordPress di Register.it include gratis un certificato SSL Let’s Encrypt per garantire una connessione cifrata e proteggere i dati dei tuoi utenti.

6. Non cambiare le estensioni dei files php

È prassi comune rinominare vecchie versioni dei file con il suffisso .old, in modo da poterli comunque mantenere e utilizzare in caso di necessità o di attività rollback, senza che vengano però considerati nell’esecuzione dell’applicazione.

Rinominare file php espone però a rischi dovuti al fatto che il sistema, leggendo una diversa estensione del file, non applicherà più le restrizioni di visibilità dei file php.

È opportuno quindi non rinominare i file con il suffisso .old altrimenti il suo contenuto risulterà visibile dall’esterno e, non essendo più interpretato dal server come un file php, permetterà a potenziali attaccanti di avere accesso a tutte le informazioni di configurazione dell’installazione di WordPress.

7. Usa password complesse

Usare password complesse è di fondamentale importanza per evitare attacchi e rimanere protetti.

Molti di noi optano per password semplici da ricordare e magari utilizzano la stessa password per accedere a vari login ma così facendo aiutiamo gli hacker ad accedere al nostro sito web.

Se vuoi mettere in sicurezza il tuo sito WordPress imposta password robuste per tutti i livelli di accesso alle componenti di WordPress.

Ecco alcuni suggerimenti per creare una password complessa e robusta:

  • Scegli una password lunga almeno 8 caratteri (8 caratteri costituiscono un requisito di robustezza minimo ma è consigliabile utilizzarne almeno 12 caratteri).
  • La password dovrebbe contenere lettere maiuscole e minuscole, cifre da 0 a 9, e almeno un carattere speciale (~!@#$%^&*_-+=’|\() {} []:;”‘ <>,.? /) 
  • La password non dovrebbe contenere lo username o i dati anagrafici dell’utente.
  • È importante scegliere ogni volta una password diversa dalle ultime 5 password utilizzate (differente dalle ultime 5 è un criterio di robustezza minimo ma è consigliabile sceglierne una differente dalle ultime 10).

In ottica di sicurezza è fondamentale anche la frequenza di modifica: ti consigliamo di cambiare la password al massimo ogni 90 giorni facendo attenzione a non abbassare il livello di complessità della nuova password rispetto alla precedente.

Vuoi saperne di più? Leggi anche “Come creare password sicure

8. Rinomina l’amministratore del tuo sito

Può sembrare un consiglio banale ma non lo è… non usare mai il nome utente standard “admin” su WorPress, se lo fai aiuterai gli hacker!

Hosting WordPress di Register.it ti mette a disposizione phpMyAdmin, una web app che ti consente di modificare qualsiasi informazione contenuta in un database, compreso il nome del tuo utente.

Ti basterà accedere al phpMyAdmin all’interno del tuo pannello di amministrazione dell’Hosting, selezionare il database e modificare l’utente con nome admin all’interno della tabella wp_users.

Un’altra misura di sicurezza importante consiste nell’evitare di utilizzare l’utenza di amministratore per attività di creazione e modifica dei contenuti.

Per questo tipo di attività è infatti consigliabile attivare utenze ad hoc di “Editor” o “Author”, a seconda dell’esigenza.

Questa misura rende più difficile ad un potenziale attaccante l’individuazione dell’utenza amministrativa, accedendo alla pagina dell’archivio dell’autore, per poi tentare di attaccarla acquisendone le credenziali.

9. Imposta un’autenticazione a due fattori (2FA)

Per aggiungere un ulteriore livello di sicurezza al processo di autenticazione, nel momento del login, è possibile richiedere, oltre al nome utente e alla password, anche un altro parametro generato da un dispositivo di cui l’utente è in possesso, ad esempio il telefono cellulare.

Puoi farlo tramite specifici plugin di autenticazione che permettono richiedere all’utente di installare sul proprio device un’applicazione in grado di generare dei token temporanei da utilizzare, insieme al nome utente e alla password, nella fase di autenticazione.

10. Installa un antivirus/antimalware e mantienilo sempre aggiornato

I dispositivi che usi quotidianamente per gestire i contenuti del tuo sito su WordPress, modificare temi o installare plugin potrebbero essere target di potenziali attacchi.

È di fondamentale importanza quindi aver installato sui device con cui si gestisce il sito WordPress un buon servizio di antivirus e antimalware e ricordarsi di:

  • Effettuare regolarmente scansioni per la rilevazione ed eliminazione di virus e malware.
  • Effettuare la scansione di file, plugin e temi prima di caricarli/installarli sul sito WordPress ed evitare di scaricare altri plugin o temi dalla stessa fonte laddove venissero rilevati visus o malware.
  • Mantenere il servizio di antivirus e antimalware sempre aggiornato.

WordPress è la scelta giusta?

Probabilmente adesso ti starai chiedendo se usare WordPress per creare il tuo sito web sia la scelta giusta. La risposta è sì!

WordPress risponde a tutte le necessità che un utente possa avere (ti ricordi “I 6 vantaggi di WordPress” vero?): è il CMS più famoso, ha plugin per qualsiasi tipo di esigenza, è semplice da usare e ha una community attiva che rilascia continuamente miglioramenti.

Tuttavia, la sua popolarità lo rende un obiettivo per gli hacker ed è essenziale proteggerlo prestando particolare attenzione alla scelta e all’aggiornamento di plugin.

Vuoi saperne di più su come mettere in sicurezza un sito web realizzato su WordPress?

Abbiamo recentemente organizzato due webinar sulla sicurezza su WordPress con strategie e “trucchi tecnici” per mettere in sicurezza un sito web creato su questo noto CMS.

Te li sei persi? Puoi recuperare i video dei corsi, scaricare le slide e il materiale informativo dalle seguenti pagine dedicate:

Condividi

Un commento su “Come aumentare la sicurezza del tuo WordPress

  1. Grazie per l’ottimo articolo e per i preziosi consigli.

    Mi permetto di aggiungere che per la creazione di siti web WordPress non amatoriali è bene affidarsi sempre a dei professionisti, che garantiscono l’affidabilità dei loro prodotti e in caso di problemi sono in grado d’intervenire e risolvere.

I commenti sono chiusi.

Articoli correlati

Inizia a scrivere il termine ricerca qua sopra e premi invio per iniziare la ricerca. Premi ESC per annullare.

Torna in alto