Come rendere sicuro WordPress nel 2022: domanda non semplice. La soluzione finale forse c’è, o almeno una serie di best practices da eseguire per evitare attacchi o malfunzionamenti.
La sicurezza e protezione dei siti WordPress è un qualcosa di più articolato ma è una tematica sempre più sentita. WordPress è sicuramente un’ottima piattaforma per il web, usata tra l’altro da brand famosissimi (ed enti) come la Casa Bianca, Sony Music, Mercedes Benz. Essendo un software open-source, WordPress offre vantaggi e svantaggi in fatto di sicurezza. Se da una parte il codice sorgente è controllato costantemente da una comunità di centinaia di sviluppatori attivi nel miglioramento costante del programma, dall’altra bisogna notare che, per natura, lo stesso codice è accessibile a malintenzionati che possono studiarne eventuali debolezze.
WordPress è un CRM e, per i motivi detti sopra (e non solo) è fondamentale curarne al meglio la sicurezza, così da mantenerlo affidabile.
WordPress è sicuro?
Sì, WordPress è effettivamente sicuro. Tuttavia alcuni dati autorevoli sembrano descrivere uno scenario differente. Questi dati di Sucuri affermano che nel 2019 il 94% degli interventi di “pulizia” che hanno svolto riguardavano pagine WordPress. Un tendenza in continua crescita (nel 2018 erano il 90%, nel 2017 l’83%), che coincide con l’aumento della diffusione del CMS.
Ma non facciamoci allarmare da tutto questo. In realtà il problema dell’hackeraggio è un qualcosa di comune a tutti i siti web. WordPress, essendo diffuso sul 30% circa dei siti mondiali, è evidentemente a rischio.
Il sistema su cui si basa WordPress (temi grafici e plugin) possono lasciare, se vengono trascurati, porte aperte a chi vuole intrufolarsi malevolmente.
Gli sviluppatori di plugin o temi, infatti, non sono necessariamente esperti di sicurezza e può capitare che siano le vulnerabilità presenti su questo tipo di software a compromettere il sito. In realtà, la maggior parte degli attacchi avviene proprio in questo modo: secondo Patchstack, tra il 95% e il 98% degli attacchi a siti WordPress avviene a causa di vulnerabilità dei plugin.
Proprio per questo consigliamo sempre di mantenere aggiornato il vostro sito WordPress. Non sapete come fare? Beh, potete rivolgervi a noi qui.
I principali pericoli e problematiche su WordPress
Mettere in sicurezza WordPress è un processo che richiede costante applicazione. E’ una “corsa contro il tempo”, che consiste nel sistemare falle, rendere sicuri i siti, mentre i malintenzionati cercano nuove falle.
Fra gli elementi più vulnerabili da tenere a mente quando ci attiviamo per mettere in sicurezza WordPress ricordiamo:
- la sessione di autenticazione di WordPress, spesso vittima di attacchi di “forza bruta”;
- componenti e plugin realizzati da terze parti;
- file temporanei contenenti i dati di accesso al CMS;
- script e porzioni di codice PHP vulnerabili, la falla preferita dei malware.
- il database SQL, il ‘cuore’ che contiene tutti i dati di WordPress;
- archiviazione e gestione dei dati sensibili.
Come mettere in sicurezza WordPress
Come già detto, questa è una risposta articolata. Ci sono soluzioni che riducono di moltissimo però la possibilità che un sito venga attaccato. I backup periodici rappresentano uno dei passaggi importanti per garantirti un sito più sicuro. Qualora il vostro sito subisse un attacco, avete un backup che limiterà tantissimo i danni
Molti servizi di hosting includono servizi di backup per i propri clienti. Al di là di questi, se potete, fatene anche diversi in locale.
Esistono vari plugin, gratis e a pagamento, per automatizzare il processo di backup. Il più utilizzato è Updraft Plus, che può essere programmato per eseguire backup periodici del tuo sito.
Monitora WordPress con un plugin di sicurezza
Consigliamo WordFence, tra l’altro installato in tutti i siti dei nostri clienti. Wordfence rintraccia la presenza di malware attraverso scansioni regolari dei file, bloccare attacchi brute force e rimuovere file infetti nel caso siano presenti.
Aggiorna plugin, temi e componenti di WordPress con regolarità
Molti aggiornamenti non estendono solo funzioni di plugin, ma hanno al proprio interno patch di sicurezza. Attenzione però, prima di aggiornare è sempre utile fare un backup di spazio web e database del sito.
Aggiungi il tuo sito a Google Search Console
Google Search Console è una piattaforma gratuita per monitorare come Google vede il tuo sito e ottimizzare la tua presenza sul motore di ricerca. Questa risorsa permette di rilevare tutti i problemi relativi a navigazione o usabilità che impediscono alle pagine di essere indicizzate, ma non solo.
Usa il protocollo sicuro HTTPS per tutte le comunicazioni
Il protocollo HTTPS è fondamentale per garantire un transito dei dati in sicurezza. Tra l’altro dal 2017 Google penalizza i siti che non utilizzano il protocollo HTTPS. Per passare a HTTPS è necessario ottenere un certificato SSL, ossia un documento digitale rilasciato da un’Autorità Certificativa (CA, Certificate Authority). I siti dei nostri clienti sono provvisti di certificato di sicurezza. Non lo avete ancora sul nostro sito? Contattateci per poterne installare uno.
Proteggi la pagina di login WordPress
La maggior parte delle minacce ai siti WordPress arriva dalla pagina di login: per gli hacker, infatti, penetrare nei siti con credenziali poco sicure è un gioco da ragazzi. Quindi è fondamentale eliminare il termine “admin” come nome utente, e scegliere password complesse (come ad esempio qui).
I tentativi che hanno come obiettivo l’accesso alle pagine di ingresso sono chiamati in gergo tecnico “brute force” (attacchi di forza bruta), e consistono in una serie infinita di tentativi di login con combinazioni casuali di nome e password.
Un’altra possibilità è quella di cambiare l’estensione /wp-admin dei siti per entrare nel pannello di controllo del sito. Questo plugin può essere molto utile.
Per informazioni, consulenza o manutenzione del vostro sito potete scriverci a info@glocalconsulting.it o chiamare (o scrivere via whatsapp) il numero 06.56569014.
