10 punti guida per aumentare la sicurezza dei siti WordPress

La sicurezza dei siti WordPress in 10 punti chiave

La sicurezza dei siti WordPress è uno dei punti critici di questo CMS e anche se non hai mai subito attacchi dovresti preoccupartene. Sono infatti quotidiane le infrazioni ai siti web, anche governativi e iper protetti. Per questo nell’articolo di oggi ti diamo 10 suggerimenti che puoi usare anche senza essere un programmatore e che aumentano la protezione del tuo sito WordPress.

Premesso che mai nessun sito è al sicuro al 100% e che se l’obiettivo di un malintenzionato è violare un sito prima o poi ci riuscirà, oggi affrontiamo il problema della sicurezza dei siti WordPress e come renderli più sicuri.

Riguardo la vulnerabilità dei siti WordPress, sappiamo che sono così presi di mira dagli hacker perché moltissimi siti sono realizzati proprio con lui.

Fortunatamente WordPress riceve molta attenzione anche da parte del suo produttore (Automattic) e dalle aziende che intorno al CMS hanno creato un’attività, quindi sia creatori di temi che di plugin. Questi, per garantire la sicurezza degli utilizzatori di WordPress provvedono spesso a fare degli aggiornamenti.

In caso di bisogno puoi inoltre rivolgerti a forum, pagine social o sviluppatori professionisti e ricevere consigli e aiuto per risolvere un problema. Hai perciò a disposizione una grande comunità e molti strumenti che possono aiutarti a proteggere il sito a partire proprio dai plugin di WordPress.

Oggi, insieme ai nostri consigli, te ne mostrerò qualcuno per mettere in sicurezza il tuo sito web.

Ogni sito web è potenzialmente una porta aperta per i malintenzionati.
Rendigli difficile la vita e aumenta il livello di protezione.

Alza la sicurezza dei siti WordPress, proteggerli è possibile

É vero quindi che la sicurezza dei siti WordPress è più a rischio rispetto ad altri ma è anche vero che grazie a tutti questi aiuti, mettere in sicurezza WordPress non è impossibile.

La nostra agenzia ad esempio, quando esegue dei restyling parte dall’analisi delle protezioni installate e delle sicurezze, in particolare quando il sito presenta difetti che possono provocare problemi di vulnerabilità.

Non solo, infatti nella realizzazione di un sito WordPress prestiamo massima attenzione all’aspetto della sicurezza e oltre ad installare plugin specifici usiamo le migliori pratiche per la prevenzione da attacchi hacker.

Perché la sicurezza dei siti WordPress è così minacciata

Lo abbiamo accennato all’inizio, la prima ragione per cui la sicurezza dei siti WordPress è minacciata è il grande numero di siti WordPress presenti online, ma c’è dell’altro.

La natura stessa dei CMS come WordPress obbliga gli sviluppatori ad installare programmi aggiuntivi di terze parti (i plugin) e questi possono essere una porta aperta agli attacchi hacker.

Una installazione pulita di WordPress contiene infatti solo “lo scheletro” di un sito web, per aggiungere la maggior parte delle funzionalità necessarie bisogna installare proprio dei plugin.

I siti WordPress sono quindi presi di mira dagli hacker per tre principali motivi:

1. Popolarità e utilizzo del CMS per creare siti web

Essendo WordPress una piattaforma di sviluppo molto popolare e facile da individuare (per la maggior parte dei siti WordPress basta visualizzare il codice di una pagina con il browser per capire se è stato realizzato con questo CMS), diventa un bersaglio facilmente accessibile per gli hacker.

2. Presenza di potenziali vulnerabilità nel codice

Tra le cose che mettono a repentaglio la sicurezza dei siti WordPress, gli hacker possono individuare le vulnerabilità presenti in alcuni temi, file principali e plugin sfruttandole a loro vantaggio.

3. Utilizzo di plugin e temi obsoleti o non aggiornati

Gli hacker riescono ad usare plugin o temi grafici obsoleti per compromettere i siti WordPress. Non è raro infatti trovare siti web non aggiornati da mesi o anni, purtroppo molti pensano che una volta pubblicato il sito non abbia bisogno d’altro. É un grave errore e può compromettere in modo irreparabile il sito.

I sistemi più usati dagli hacker per violare i siti WordPress

Gli hacker utilizzano vari metodi per violare i siti WordPress, tra loro questi sono i più frequenti:

Bypass dell’autenticazione:  consente agli hacker di accedere alle risorse del tuo sito web senza verificarne l’autenticità.

SQL Injection (SQLi): costringe il sistema a eseguire query SQL dannose e a manipolare i dati all’interno del database.

Cross-site Scripting (XSS): inietta codice dannoso che trasforma il sito in un trasportatore di malware.

Attacco Backdoor: questa vulnerabilità offre agli hacker passaggi nascosti che bypassano la crittografia di sicurezza per accedere ai siti WordPress tramite metodi anormali.

Pharma Hack: questo attacco utilizza i siti web infetti per promuovere prodotti farmaceutici, spesso attraverso l’inserimento di link e contenuti nascosti.

Tentativi di Accesso Brute-force: gli hacker tentano di accedere al tuo sito provando tutte le combinazioni possibili di credenziali.

Reindirizzamenti Malevoli: gli hacker inseriscono codice nel tuo sito che reindirizza i visitatori verso siti web dannosi.

É chiaro quindi che per mettere in sicurezza un sito web WordPress si dovranno usare il maggior numero di sistemi possibili, noi ti diamo 10 consigli facili da applicare e che rendono più sicuro il tuo sito WordPress.

10 suggerimenti per mettere al sicuro il tuo sito web WordPress

Ecco quindi 10 attività che puoi fare da solo per aumentare la sicurezza del tuo sito WordPress, sotto nel dettaglio viene spiegato come attuarle.

  1. Sottoscrivi un piano hosting adeguato con un provider di buon livello.
  2. Utilizza un certificato SSL con protocollo https.
  3. Genera password forti con un software specializzato.
  4. Usa l’autenticazione a due fattori.
  5. Nascondi la pagina di accesso al sito.
  6. Installa un plugin per la sicurezza.
  7. Verifica regolarmente le registrazioni degli utenti.
  8. Controlla ed elimina i commenti spam.
  9. Anticipa e previeni i pericolosi attacchi DDoS.
  10. Visita spesso il tuo sito WordPress sia nel backend che nel frontend.

La sicurezza dei siti WordPress inizia dall'hosting

Come agenzia web, il nostro approccio alla sicurezza del sito inizia sempre con la valutazione del miglior provider e piano hosting da usare, viene scelto di volta in volta rispetto al sito che dobbiamo realizzare e al tipo di attività che rappresenta (azienda, professionista, ecommerce etc).

Una volta chiariti gli obiettivi di business del sito da creare decidiamo scegliamo il provider e il piano hosting più consono per il cliente. Non è un aspetto di secondo piano né da sottovalutare, infatti è proprio il nostro primo dei 10 consigli per proteggerti da possibili attacchi.

Presumo che sarai d’accordo anche tu che una casa solida si basa su delle altrettanto solide fondamenta. Ebbene il tuo piano hosting è proprio questo: le fondamenta del tuo sito web.

Se ad esempio devi realizzare un sito eCommerce e ti consigliano un hosting condiviso, diffida. Perché a monte di un piccolo risparmio nel breve periodo la sicurezza del sito sarà messa a dura prova.

Scegli quindi con cura sia il provider che l’host e se la soluzione attuale non ti soddisfa pienamente valuta di passare ad un provider diverso o un piano superiore. Ne gioverai nel tempo.

Rendi sicuro il tuo sito WordPress con un certificato SSL

É ormai dal 2018 che Google assegna un valore superiore ai siti web che hanno installato un certificato di sicurezza SSL con protocollo di trasmissione https. In questi anni la maggior parte dei proprietari di siti web ha seguito la direttiva adeguandoli di conseguenza, se non l’hai ancora fatto provvedi al più presto.

Oltre al vantaggio di aumentare il ranking del sito, un certificato SSL installato garantisce un livello di protezione superiore grazie al protocollo https, che poi è lo scopo principale per cui è stato creato. É quindi importante usarlo sia per l’immagine (nella barra indirizzi compare il lucchetto di sicurezza) che per proteggere il sito.

Esistono più tipi di certificati di sicurezza, ognuno di loro risponde ad esigenze specifiche in funzione del tipo di sito che deve usarlo. Un sito vetrina ad esempio non ha bisogno delle stesse protezioni che servono ad un eCommerce, notevolmente più esposto agli attacchi hacker.

Sarà compito tuo decidere e scegliere quello che meglio si adatta al tuo sito web.

Con i siti WordPress inoltre, per avere la certezza di usufruire del certificato potrebbe servirti installare il plugin Really Simple SSL, che però funziona solo se il certificato è già installato.

Aggiornamento 2024: grazie a maggiori funzionalità fornite dai provider che permettono l’installazione gratuita del certificato SSL Let’s Encrypt, ora il plugin è diventato superfluo.

Per questo, i suoi produttori hanno aggiunto delle funzioni che lo hanno trasformato in un generico plugin di sicurezza. Pur essendo di buona qualità non raggiunge il livello di quelli che ti presento più sotto ma è una possibile alternativa.

Sicurezza sito WordPress aumentata con una password forte

Una delle prime cose che si fa durante l’installazione di un sito WordPress è scegliere la password di login, modificabile in caso di bisogno con l’opzione utente della dashboard.

Se ti sei accorto che la tua password non ha un livello di sicurezza sufficiente è bene che provvedi alla sua modifica.

Invece di crearne una andando per tentativi (e poi dimenticarla) ti consiglio di usare un programma gratuito molto utile: PWGen.

Oltre a creare password forti ed efficaci ti permette di creare un loro database e memorizzarle, in questo modo puoi gestire tutte le password che realizzi da un unico posto.

NOTA

Se hai dimenticato la password di login di WordPress e vuoi recuperarla in modo semplice e veloce, leggi l’articolo come recuperare la password di WordPress.

Mettere in sicurezza WordPress con l'autenticazione a 2 fattori

Se hai seguito il precedente consiglio ora hai una password di accesso alla bacheca di WordPress robusta e la sicurezza del tuo sito è già aumentata. Certo non sarà questo a scoraggiare un attacco di hacker preparati, dobbiamo fare anche altro per mettere in sicurezza il sito e proteggerlo dagli attacchi più frequenti.

Ad esempio, un altro accorgimento che possiamo adottare per aumentare la sicurezza e la difficolta d’intrusione al sito dalla pagina di accesso è usare l’autenticazione a due fattori.

Anche in questo caso abbiamo a disposizione dei plugin, alcuni specifici altri dedicati alla sicurezza in senso generale, che hanno tra le loro opzioni l’autenticazione a due fattori.

Puoi usare:

Con questo tipo di prevenzione se l’intruso riesce a scoprire il nome utente e la password, per loggarsi dovrà avere a disposizione anche il tuo cellulare, cosa piuttosto improbabile.

Migliora la sicurezza dei siti WordPress con una pagina di login nascosta

Nessun timore, tu sarai ancora in grado di accedere al sito come sempre.

In realtà alcuni amministratori di siti WordPress questo consiglio tendono ad evitarlo temendo di aver loro stessi difficoltà ad entrare nella loro dashboard. Può invece rendere WordPress  molto più sicuro in modo semplice.

Usando determinati plugin è infatti possibile modificare l’URL del pagina di accesso in quella che si desidera, rendendo inaccessibili agli hacker la pagina wp-login.php e la cartella wp-admin.

Al proprietario del sito, per continuare a fare login normalmente, è sufficiente memorizzare nei preferiti del proprio browser l’indirizzo web appena modificato. Questo sistema aumenta considerevolmente la sicurezza di un sito WordPress e impedisce sul nascere ogni possibilità di attacco.

Riguardo il plugin per nascondere la pagina di login, uno dei più usati è WPS Hide Login, installato oltre un milione di volte e con molte recensioni positive. 

Installa un plugin per la sicurezza dei siti WordPress

Lo so, può sembrare superfluo un consiglio simile per aumentare la sicurezza dei siti WordPress, ma è talmente alta la percentuale di chi non ha un programma di questo tipo che non potevo non ricordarlo.

Anche di plugin per la sicurezza di WordPress se ne trova un buon numero, in alcuni casi si tratta prodotti creati da società dedicate esclusivamente alla sicurezza dei siti WordPress e che offrono anche servizi specifici su richiesta.

Ecco quindi tre dei plugin di sicurezza dedicati a WordPress tra i più conosciuti, utilizzati ed efficaci. Li trovi facendo una ricerca su wordpress.org.

Wordfence

Dichiarazione del produttore:Wordfence include un firewall per gli endpoint e uno scanner di malware che sono stati creati da zero per proteggere WordPress. Web Application Firewall identifica e blocca il traffico dannoso. Costruito e mantenuto da un grande team concentrato al 100% sulla sicurezza di WordPress.”

Link per il download: Wordfence

Metti al sicuro il tuo sito WordPress con Wordfence

All In One WP Security and Firewall

Dichiarazione del produttore:il plugin All In One WordPress Security porterà la sicurezza del tuo sito ad un livello completamente nuovo. Le regole di sicurezza e firewall sono suddivise in “base”, “intermedio” e “avanzato”. In questo modo è possibile applicare le regole del firewall in modo progressivo senza interrompere la funzionalità del tuo sito.

Il plugin All In One WordPress Security non rallenta il tuo sito ed è al 100% gratuito.

Link per il download: All In One WP

Plugin di sicurezza per siti WordPress All In One Security

Wp Cerber Security

Dichiarazione del produttore:difende WordPress da attacchi di hacker, spam, trojan e malware. Mitiga gli attacchi di forza bruta limitando il numero di tentativi di accesso tramite il modulo di accesso, le richieste XML-RPC/API REST e un sacco di altre cose.”

Link per il download: WP Cerber Security.

Aggiornamento: dal 22 settembre 2022 questo plugin non è più presente nel repository di WordPress, l’unico modo per scaricarlo è collegarsi al loro sito cliccando sul link qui sopra.

Plugin Wp Cerber per la sicurezza dei siti WordPress

Verifica le registrazioni al sito per rendere sicuro WordPress

Se il sito offre la possibilità agli utenti di registrarsi dovresti occuparti anche di questo aspetto. Se hai già attivato alcune sicurezze potrebbe essere uno scrupolo in più, comunque tutt’altro che inutile se vuoi rendere sicuro WordPress.

Si tratta di un controllo semplice e veloce per il quale basta fare login alla dashboard del sito e controllare chi sono gli utenti registrati, verificare il loro livello di accesso e assicurarsi che non ci siano utenti registrati come amministratori senza il tuo permesso.

Nel caso ci fossero, eliminali immediatamente e fai un controllo con il plugin di sicurezza per WordPress che stai usando.

Per la sicurezza del sito WordPress verifica la presenza di commenti spam

Nel caso di un blog che permette di commentare gli articoli, una verifica da fare è quella dei loro contenuti. Se ricevi molti commenti spam oltre che pericoloso (se restano attivi) può diventare frustrante e noioso il continuo controllo.

Per limitare perdite di tempo e problemi di varia natura puoi usare alcuni semplici accorgimenti preventivi e installare un plugin antispam ed il reCAPTCHA di Google.

Quali sono gli accorgimenti che devi adottare? Intanto uno molto semplice tra l’altro suggerito nella lezione 2 del nostro corso su WordPress dedicato alla sua installazione e configurazione.

Usando l’opzione Impostazioni Discussione nella tua dashboard di WordPress impedisci la pubblicazione immediata dei commenti e li metti in attesa di approvazione, quindi quando vedi che n’è di nuovi controlla i loro contenuti.

Se hai commenti con link a pagine che non c’entrano nulla né con il post né con i contenuti del sito, eliminali senza problemi perché sono degli spam.

Metti in sicurezza WordPress prevenendo gli attacchi DDoS

Degli attacchi DDoS ne avrai sentito parlare, sono tra i più pericolosi per la sicurezza del sito. Infatti, ad esempio, oltre ad interrompere sia l’accesso al sito che alle caselle e-mail vengono usati per chiedere riscatti in denaro.

A volte l’attacco si esaurisce con il suo successo e gli hacker non fanno alcun tipo di richiesta in quanto l’obiettivo era provare a sé stessi la loro bravura. In ogni caso non è piacevole esserne vittima ed è necessario cautelarsi e mettere in sicurezza WordPress innalzando il più possibile le difese.

Per la prevenzione possiamo fare alcune cose abbastanza semplici (anche se poi nulla garantisce al 100% la sicurezza dei siti web), tra queste:

  • Usare un firewall.
  • Disabilitare il pingback e il trackback (anche questo puoi farlo nella dashboard da Impostazioni Discussione).
  • Disabilitare XML-RPC.
  • Utilizzare una CDN.
  • Disabilitare l’API-REST (con cautela).

Eccetto l’utilizzo di una CDN, gli altri accorgimenti possono essere fatti con uno dei plugin per la sicurezza citati prima, motivo in più per installarli.

Controlla la sicurezza del sito WordPress da frontend e da backend

Quella di entrare nel backend del sito dovrebbe essere una pratica quasi quotidiana per il proprietario o per chi lo gestisce, è comunque un modo semplice ed efficace per assicurarsi che tutto funzioni bene.

Chiaramente devi sapere cosa verificare e cosa fare nel caso di problemi, che come hai visto possono essere di vario tipo, ma il nostro elenco di 10 punti guida è già un ottimo punto di partenza per la sicurezza dei siti WordPress e ti permette di evitare molte situazioni spiacevoli.

Inoltre, per testare eventuali problemi di sicurezza torna utile anche navigare il sito come un normale utente, prenditi quindi il tempo necessario per visitare ogni pagina e osservala con cura, talvolta basta un colpo d’occhio per notare dei problemi.

Con i giusti accorgimenti la sicurezza dei siti WordPress non è un problema

La sicurezza su Internet è un argomento sempre molto caldo, perché coinvolge molti aspetti e settori interconnessi tra loro come gli hosting web e il software usato e le competenze tecniche di chi gestisce o fa assistenza al sito.

Difendersi da possibili attacchi è quindi estremamente complesso e nonostante tutte le precauzioni prese può risultare difficile rendere sicuro un sito.

Per superare indenni i casi estremi ti do quindi l’undicesimo e ultimo consiglio, quello di fare a scadenze prestabilite dei backup completi (sito e db) e nel caso che il sito risultasse irrimediabilmente compromesso, usa la copia più recente per ripristinarlo.

SitiWeb-WP è una web agency specializzata in WordPress

Siamo l’agenzia web di Milano che trasforma le tue ambizioni digitali in realtà!

Specializzati nella creazione di siti web professionali, offriamo servizi web completi: restyling che dà nuova vita al tuo sito, assistenza e manutenzione su misura, gestione impeccabile di siti WordPress e ottimizzazione SEO per conquistare i motori di ricerca.

Non lasciare il tuo successo online al caso, contattaci ora per iniziare la tua trasformazione digitale!

SitiWeb-WP

La tua agenzia web di Milano esperta in WordPress e comunicazione.

Condividilo nei tuoi social

Articoli simili

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Accetto la Privacy Policy * for Click to select the duration you give consent until.