come rendere sicuro wordpress

Come rendere sicuro WordPress?

Come rendere sicuro WordPress nel 2022: domanda non semplice. La soluzione finale forse c’è, o almeno una serie di best practices da eseguire per evitare attacchi o malfunzionamenti.

La sicurezza e protezione dei siti WordPress è un qualcosa di più articolato ma è una tematica sempre più sentita. WordPress è sicuramente un’ottima piattaforma per il web, usata tra l’altro da brand famosissimi (ed enti) come la Casa Bianca, Sony Music, Mercedes Benz. Essendo un software open-source, WordPress offre vantaggi e svantaggi in fatto di sicurezza. Se da una parte il codice sorgente è controllato costantemente da una comunità di centinaia di sviluppatori attivi nel miglioramento costante del programma, dall’altra bisogna notare che, per natura, lo stesso codice è accessibile a malintenzionati che possono studiarne eventuali debolezze.

WordPress è un CRM e, per i motivi detti sopra (e non solo) è fondamentale curarne al meglio la sicurezza, così da mantenerlo affidabile.

WordPress è sicuro?

Sì, WordPress è effettivamente sicuro. Tuttavia alcuni dati autorevoli sembrano descrivere uno scenario differente. Questi dati di Sucuri  affermano che nel 2019 il 94% degli interventi di “pulizia” che hanno svolto riguardavano pagine WordPress. Un tendenza in continua crescita (nel 2018 erano il 90%, nel 2017 l’83%), che coincide con l’aumento della diffusione del CMS.

Infrazioni siti web 2019 secondo Sucuri
(fonte Sucuri)

Ma non facciamoci allarmare da tutto questo. In realtà il problema dell’hackeraggio è un qualcosa di comune a tutti i siti web. WordPress, essendo diffuso sul 30% circa dei siti mondiali, è evidentemente a rischio.

Il sistema su cui si basa WordPress (temi grafici e plugin) possono lasciare, se vengono trascurati, porte aperte a chi vuole intrufolarsi malevolmente.

Gli sviluppatori di plugin o temi, infatti, non sono necessariamente esperti di sicurezza e può capitare che siano le vulnerabilità presenti su questo tipo di software a compromettere il sito. In realtà, la maggior parte degli attacchi avviene proprio in questo modo: secondo Patchstack, tra il 95% e il 98% degli attacchi a siti WordPress avviene a causa di vulnerabilità dei plugin.

Proprio per questo consigliamo sempre di mantenere aggiornato il vostro sito WordPress. Non sapete come fare? Beh, potete rivolgervi a noi qui.

I principali pericoli e problematiche su WordPress

Mettere in sicurezza WordPress è un processo che richiede costante applicazione. E’ una “corsa contro il tempo”, che consiste nel sistemare falle, rendere sicuri i siti, mentre i malintenzionati cercano nuove falle.

Fra gli elementi più vulnerabili da tenere a mente quando ci attiviamo per mettere in sicurezza WordPress ricordiamo:

  • la sessione di autenticazione di WordPress, spesso vittima di attacchi di “forza bruta”;
  • componenti e plugin realizzati da terze parti;
  • file temporanei contenenti i dati di accesso al CMS;
  • script e porzioni di codice PHP vulnerabili, la falla preferita dei malware.
  • il database SQL, il ‘cuore’ che contiene tutti i dati di WordPress;
  • archiviazione e gestione dei dati sensibili.

Come mettere in sicurezza WordPress

Come già detto, questa è una risposta articolata. Ci sono soluzioni che riducono di moltissimo però la possibilità che un sito venga attaccato. I backup periodici rappresentano uno dei passaggi importanti per garantirti un sito più sicuro. Qualora il vostro sito subisse un attacco, avete un backup che limiterà tantissimo i danni

Molti servizi di hosting includono servizi di backup per i propri clienti. Al di là di questi, se potete, fatene anche diversi in locale.

Esistono vari plugin, gratis e a pagamento, per automatizzare il processo di backup. Il più utilizzato è Updraft Plus, che può essere programmato per eseguire backup periodici del tuo sito.

Monitora WordPress con un plugin di sicurezza

Consigliamo WordFence, tra l’altro installato in tutti i siti dei nostri clienti. Wordfence rintraccia la presenza di malware attraverso scansioni regolari dei file, bloccare attacchi brute force e rimuovere file infetti nel caso siano presenti.

Aggiorna plugin, temi e componenti di WordPress con regolarità

Molti aggiornamenti non estendono solo funzioni di plugin, ma hanno al proprio interno patch di sicurezza. Attenzione però, prima di aggiornare è sempre utile fare un backup di spazio web e database del sito.

Aggiungi il tuo sito a Google Search Console

Google Search Console è una piattaforma gratuita per monitorare come Google vede il tuo sito e ottimizzare la tua presenza sul motore di ricerca. Questa risorsa permette di rilevare tutti i problemi relativi a navigazione o usabilità che impediscono alle pagine di essere indicizzate, ma non solo.

Usa il protocollo sicuro HTTPS per tutte le comunicazioni

Il protocollo HTTPS è fondamentale per garantire un transito dei dati in sicurezza. Tra l’altro dal 2017 Google penalizza i siti che non utilizzano il protocollo HTTPS. Per passare a HTTPS è necessario ottenere un certificato SSL, ossia un documento digitale rilasciato da un’Autorità Certificativa (CA, Certificate Authority). I siti dei nostri clienti sono provvisti di certificato di sicurezza. Non lo avete ancora sul nostro sito? Contattateci per poterne installare uno.

Proteggi la pagina di login WordPress

La maggior parte delle minacce ai siti WordPress arriva dalla pagina di login: per gli hacker, infatti, penetrare nei siti con credenziali poco sicure è un gioco da ragazzi. Quindi è fondamentale eliminare il termine “admin” come nome utente, e scegliere password complesse (come ad esempio qui).

I tentativi che hanno come obiettivo l’accesso alle pagine di ingresso sono chiamati in gergo tecnico “brute force” (attacchi di forza bruta), e consistono in una serie infinita di tentativi di login con combinazioni casuali di nome e password.

Un’altra possibilità è quella di cambiare l’estensione /wp-admin dei siti per entrare nel pannello di controllo del sito. Questo plugin può essere molto utile.

Per informazioni, consulenza o manutenzione del vostro sito potete scriverci a info@glocalconsulting.it o chiamare (o scrivere via whatsapp) il numero 06.56569014.

Se ti è piaciuto questo contenuto potete sempre consultare un altro articolo come questo e il nostro blog qui
Come proteggere un sito wordpress Glocal Consulting agenzia di comunicazione roma latina aprilia

Come proteggere un sito WordPress

Come proteggere un sito WordPress. Tempo fa avevamo parlato dello stesso argomento in questo articolo. Cosa è cambiato oggi rispetto ad allora? Da una parte molte cose, dall’altra no. Spieghiamo meglio. Quello che conta è avere buone abitudini a livello di sicurezza. WordPress (il suo core nello specifico) è semplice, funzionale, sicuro. Il vanto di wordpress sono sicuramente i migliaia di plugin disponibili e l’ampio supporto della community. Questi stessi plugin però ne rappresentano anche il punto debole se sono “scritti” in maniera non troppo corretta o (peggio) non aggiornati. WordPress ha un proprio core, spesso un tema grafico, ed i plugin. Se non manteniamo tutto questo aggiornato, ci esponiamo a possibili attacchi.

Modi pratici su come proteggere un sito WordPress

Molti siti web offrono a pochi euro abbonamenti con plugin che però non si possono aggiornare regolarmente. Questa è solo una soluzione temporanea, perché dopo poco tempo il nostro sito potrebbe nuovamente esser soggetto ad intrusioni. Lo store ufficiale di WordPress (andando nella sezione plugin -> nuovo plugin) è sicuramente sicuro. Lì troverete ciò di cui avete bisogno. Tra l’altro WordPress vi indica costantemente se ci sono plugin (o traduzioni di questi) da aggiornare. Non è necessario comprare plugin premium, ve ne sono di gratuiti molto buoni. Molto buoni (lato sicurezza) sono Wordfence, Cerber, iThemes Security e CleanTalk per citarne alcuni.

Ricordate sempre: la scelta del provider (che dovrebbe andare al primo posto quando si pensa di fare un sito web) è fondamentale. Non affidatevi a provider improvvisati che non possono darvi supporto nei momenti di difficoltà. Dotatevi nel vostro piano anche di backup sistematici lato server, così da garantire copie di sicurezza. Vi sono differenti provider, e (a grandi linee) tutti offrono varie soluzioni. Togliere 20 o 30 euro annui per scegliere un hosting scarso potrebbe essere errore fatale.

 

Piaciuto l’articolo?
Puoi leggere anche questo https://www.glocalconsulting.it/siti-web-roma
Puoi guardare il portfolio qui https://www.glocalconsulting.it/portfolio
LinkedIn – https://www.linkedin.com/company/glocal-consulting-italy
Facebook – https://www.facebook.com/glocalconsultingroma
Instagram – https://www.instagram.com/glocalconsulting