WordPress è il CMS più scelto e usato a livello mondiale: oltre il 43% dei siti web online è realizzato con WordPress, alimenta più del 23% dei 10 milioni di siti internet più visitati al mondo e detiene una quota superiore al 65% nel mercato dei siti web realizzati mediante CMS (Fonte: W3Tech Web Technology Surveys).
Essendo il CMS più popolare è anche quello più soggetto ad attacchi informatici. Scopriamo insieme le principali azioni da compiere per mettere in sicurezza un sito realizzato di WordPress.
Perché è così importante mettere in sicurezza il nostro WordPress?
Come mettere in sicurezza un sito WordPress: 10 regole fondamentali
1. Aggiorna WordPress e i suoi plugin
2. Installa temi e plugin soltanto da fonti sicure
3. Testa i plugin e i temi in un ambiente di sviluppo separato dal sito
4. Scegli un Hosting sicuro
5. Attiva un certificato SSL
6. Non cambiare le estensioni dei files php
7. Usa password complesse
8. Rinomina l’amministratore del tuo sito
9. Imposta un’autenticazione a due fattori (2FA)
10. Installa un antivirus/antimalware e mantienilo sempre aggiornato
WordPress è la scelta giusta?
Vuoi saperne di più su come mettere in sicurezza un sito web realizzato su WordPress?
Parallelamente alla crescita della quota di mercato, i siti realizzati tramite WordPress negli ultimi anni hanno visto crescere in modo importante la percentuale di attacchi, già altissima, rispetto a siti realizzati con altri CMS.
Cosa potrebbero fare gli hacker dopo aver violato un sito WordPress?
Ovviamente, avere un sito web sicuro è essenziale per qualsiasi tipo di business. Vista questa alta percentuale di attacchi e la gravità delle azioni che potrebbero fare gli hacker violando un sito realizzato su WordPress occorre prestare la massima attenzione ed effettuare azioni specifiche volte a mettere WordPress in sicurezza.
Può sembrare banale come consiglio ma si stima che la ragione principali degli attacchi a WordPress sia proprio una vulnerabilità dovuta al mancato aggiornamento dei plugin e dei temi.
Il primo essenziale passo che devi fare per la sicurezza del tuo sito è proprio quella di mantenere l’installazione sempre aggiornata in tutti i suoi aspetti. Le falle di sicurezza che via via vengono scoperte sono corrette soltanto mediante aggiornamenti: se non aggiorni il tuo WordPress la falla rimane e gli hacker possono sfruttarla per “bucare” il tuo sito web.
Scegli molto bene quale plugin installare sul tuo WordPress.
Lo so, potresti essere tento di istallare plugin da qualche sito trovato in rete che magari mette a disposizione gratuitamente proprio la risorsa che stai cercando… ma fai molta attenzione: installando plugin da fonti sconosciute potresti istallare anche dei malware o dei piccoli programmi malevoli per consentire l’accesso al tuo sito web.
Il consiglio è semplice: installa i plugin di cui hai bisogno direttamente dal repository WordPress o scaricali dal sito web di uno sviluppatore controllando le valutazioni degli altri utenti.
Prima di installare un plugin sarebbe opportuno utilizzare un sito di staging che non contenga i dati presenti nel server produzione verificando non soltanto che il plugin realizzai le funzioni pubblicizzate ma anche che il sito e tutta l’infrastruttura non presenti comportamenti anomali o inattesi.
Scegliere bene la piattaforma di Hosting è un aspetto fondamentale per la sicurezza del tuo sito web, in fin dei conti la tua installazione WordPress vivrà al suo interno e, in caso di problemi, potrebbe mettere a rischio il tuo sito web e di tutti gli altri siti in esso ospitati.
Hosting WordPress di Register.it unisce insieme la semplicità di WordPress con l’affidabilità e la sicurezza della piattaforma di Register.it con un monitoraggio costante delle risorse e la possibilità di conservare tutti i tuoi dati in backup.
I certificati SSL ti consentono di criptare le informazioni che vengono scambiate tra il server e il e il browser del visitatore.
Avere un certificato SSL è essenziale per la sicurezza dei dati e la sua presenza viene anche presa in considerazione ai fini del posizionamento sui motori di ricerca.
Vuoi saperne di più sui certificati SSL? Leggi l’articolo “Perché avere un certificato SSL“
Hosting WordPress di Register.it include gratis un certificato SSL Let’s Encrypt per garantire una connessione cifrata e proteggere i dati dei tuoi utenti.
È prassi comune rinominare vecchie versioni dei file con il suffisso .old, in modo da poterli comunque mantenere e utilizzare in caso di necessità o di attività rollback, senza che vengano però considerati nell’esecuzione dell’applicazione.
Rinominare file php espone però a rischi dovuti al fatto che il sistema, leggendo una diversa estensione del file, non applicherà più le restrizioni di visibilità dei file php.
È opportuno quindi non rinominare i file con il suffisso .old altrimenti il suo contenuto risulterà visibile dall’esterno e, non essendo più interpretato dal server come un file php, permetterà a potenziali attaccanti di avere accesso a tutte le informazioni di configurazione dell’installazione di WordPress.
Usare password complesse è di fondamentale importanza per evitare attacchi e rimanere protetti.
Molti di noi optano per password semplici da ricordare e magari utilizzano la stessa password per accedere a vari login ma così facendo aiutiamo gli hacker ad accedere al nostro sito web.
Se vuoi mettere in sicurezza il tuo sito WordPress imposta password robuste per tutti i livelli di accesso alle componenti di WordPress.
Ecco alcuni suggerimenti per creare una password complessa e robusta:
In ottica di sicurezza è fondamentale anche la frequenza di modifica: ti consigliamo di cambiare la password al massimo ogni 90 giorni facendo attenzione a non abbassare il livello di complessità della nuova password rispetto alla precedente.
Vuoi saperne di più? Leggi anche “Come creare password sicure“
Può sembrare un consiglio banale ma non lo è… non usare mai il nome utente standard “admin” su WorPress, se lo fai aiuterai gli hacker!
Hosting WordPress di Register.it ti mette a disposizione phpMyAdmin, una web app che ti consente di modificare qualsiasi informazione contenuta in un database, compreso il nome del tuo utente.
Ti basterà accedere al phpMyAdmin all’interno del tuo pannello di amministrazione dell’Hosting, selezionare il database e modificare l’utente con nome admin all’interno della tabella wp_users.
Un’altra misura di sicurezza importante consiste nell’evitare di utilizzare l’utenza di amministratore per attività di creazione e modifica dei contenuti.
Per questo tipo di attività è infatti consigliabile attivare utenze ad hoc di “Editor” o “Author”, a seconda dell’esigenza.
Questa misura rende più difficile ad un potenziale attaccante l’individuazione dell’utenza amministrativa, accedendo alla pagina dell’archivio dell’autore, per poi tentare di attaccarla acquisendone le credenziali.
Per aggiungere un ulteriore livello di sicurezza al processo di autenticazione, nel momento del login, è possibile richiedere, oltre al nome utente e alla password, anche un altro parametro generato da un dispositivo di cui l’utente è in possesso, ad esempio il telefono cellulare.
Puoi farlo tramite specifici plugin di autenticazione che permettono richiedere all’utente di installare sul proprio device un’applicazione in grado di generare dei token temporanei da utilizzare, insieme al nome utente e alla password, nella fase di autenticazione.
I dispositivi che usi quotidianamente per gestire i contenuti del tuo sito su WordPress, modificare temi o installare plugin potrebbero essere target di potenziali attacchi.
È di fondamentale importanza quindi aver installato sui device con cui si gestisce il sito WordPress un buon servizio di antivirus e antimalware e ricordarsi di:
Probabilmente adesso ti starai chiedendo se usare WordPress per creare il tuo sito web sia la scelta giusta. La risposta è sì!
WordPress risponde a tutte le necessità che un utente possa avere (ti ricordi “I 6 vantaggi di WordPress” vero?): è il CMS più famoso, ha plugin per qualsiasi tipo di esigenza, è semplice da usare e ha una community attiva che rilascia continuamente miglioramenti.
Tuttavia, la sua popolarità lo rende un obiettivo per gli hacker ed è essenziale proteggerlo prestando particolare attenzione alla scelta e all’aggiornamento di plugin.
Abbiamo recentemente organizzato due webinar sulla sicurezza su WordPress con strategie e “trucchi tecnici” per mettere in sicurezza un sito web creato su questo noto CMS.
Te li sei persi? Puoi recuperare i video dei corsi, scaricare le slide e il materiale informativo dalle seguenti pagine dedicate:
Copywriter, Marketing Specialist e Communication lover. Da sempre appassionata ai libri e alla scrittura, mi occupo di creare contenuti per il web ma non posso rinunciare al mio primo amore: la carta e la penna! Fuori dal web viaggio, cerco di tenermi in forma e soprattutto faccio la mamma.
Scoperta una vulnerabilità nel plugin Really Simple Security che potrebbe consentire accessi non autorizzati come amministratore. Ecco cosa sapere per…
Proteggi il tuo brand da frodi e attacchi informatici identificando le estensioni di dominio più pericolose. Scopri i fattori di…
Fino ad oggi le esigenze di tutela della privacy hanno portato al divieto di emissione di fattura elettronica per le prestazioni sanitarie rese…
Il dominio .pro comunica professionalità, affidabilità e competenza. È il tld ideale per liberi professionisti e aziende che vogliono distinguersi…
Le utenze SPID attive in Italia superano la quota di 39 milioni ma siano ancora lontani dall’obiettivo del PNRR di…
L'acquisizione milionaria del dominio chat.com da parte di OpenAI riflette l’importanza di domini brevi e rilevanti per aziende che puntano…
Il sito utilizza cookie di profilazione propri e di terze parti. Se prosegui nella navigazione selezionando un elemento del sito, acconsenti all'uso dei cookie.
APPROFONDISCI
Visualizza commenti
Grazie per l'ottimo articolo e per i preziosi consigli.
Mi permetto di aggiungere che per la creazione di siti web WordPress non amatoriali è bene affidarsi sempre a dei professionisti, che garantiscono l'affidabilità dei loro prodotti e in caso di problemi sono in grado d'intervenire e risolvere.