10 punti guida per aumentare la sicurezza dei siti WordPress
Anche se non hai mai subito attacchi hacker e quindi la sicurezza dei siti WordPress non ti preoccupa, ciò non ti tiene al riparo da problemi. Sono infatti quotidiane le infrazioni a grossi siti web, anche governativi. Nell’articolo di oggi trovi 10 utili suggerimenti per aumentare il livello di protezione del tuo sito WordPress senza essere un programmatore.
Indice dell'articolo
ToggleIl problema della sicurezza dei siti WordPress
Premesso che mai nessun sito è al sicuro al 100% e che se l’obiettivo di un malintenzionato è violare un sito prima o poi ci riuscirà, oggi affrontiamo il problema della sicurezza dei siti WordPress e vediamo come rendere sicuro un sito.
Riguardo i siti web WordPress e la loro vulnerabilità sappiamo che sono presi di mira dagli hacker soprattutto perché presenti in grande quantità.
WordPress però riceve molta attenzione anche da parte del suo produttore, Automattic, e da aziende che intorno a questo CMS hanno creato un’attività.
Questi, per garantire la sicurezza degli utilizzatori di WordPress provvedono agli aggiornamenti con una certa frequenza.
Inoltre puoi rivolgerti a forum, pagine social o sviluppatori professionisti in caso di necessità e ricevere i consigli e l’aiuto necessario per risolvere un problema o dare maggiore sicurezza al tuo sito.
Hai quindi a disposizione una grande comunità che può aiutarti, ma anche molti strumenti per proteggere il tuo sito, a partire dai plugin di WordPress.
Sono dedicati alla protezione e alla sicurezza dei siti WordPress e oggi insieme ai nostri consigli per mettere in sicurezza il tuo sito web te ne mostrerò alcuni.
Ogni sito web è potenzialmente una porta aperta per i malintenzionati.
Rendigli difficile la vita con un alto livello di protezione.
Alzare la sicurezza dei siti WordPress e proteggerli è possibile
É vero quindi che la sicurezza dei siti WordPress è più a rischio rispetto ad altri ma è anche vero che grazie a tutti questi aiuti, mettere in sicurezza WordPress non è impossibile.
La nostra agenzia ad esempio, quando esegue dei restyling parte dall’analisi delle protezioni installate e delle sicurezze, in particolare quando il sito presenta difetti che possono provocare problemi di vulnerabilità.
Non solo, infatti nella realizzazione di un sito WordPress prestiamo massima attenzione all’aspetto della sicurezza e oltre ad installare plugin di sicurezza per WordPress usiamo le migliori pratiche per la prevenzione di attacchi hacker.
Perché la sicurezza dei siti WordPress è minacciata dagli hacker
La prima ragione per cui la sicurezza dei siti WordPress è minacciata è proprio il grande numero di siti WordPress presenti online, l’abbiamo detto, ma c’è altro.
La natura stessa dei CMS come WordPress obbliga gli sviluppatori ad installare programmi aggiuntivi di terze parti (i plugin), e questi possono essere una porta aperta agli attacchi hacker.
Una installazione pulita di WordPress contiene infatti solo “lo scheletro” di un sito web e per ottenere la maggior parte delle funzionalità necessarie bisogna installare proprio dei plugin.
I siti WordPress sono quindi presi di mira dagli hacker per questi motivi:
1. Popolarità e utilizzo del CMS per creare siti web
Essendo WordPress una piattaforma di sviluppo molto popolare e facile da individuare (per la maggior parte dei siti WordPress basta visualizzare il codice di una pagina con il browser per capire se è stato realizzato con questo CMS), diventa un bersaglio facilmente accessibile per gli hacker.
2. Presenza di potenziali vulnerabilità nel codice
Tra le cose che mettono a repentaglio la sicurezza dei siti WordPress, gli hacker possono individuare le vulnerabilità presenti in alcuni temi, file principali e plugin sfruttandole a loro vantaggio.
3. Utilizzo di plugin e temi obsoleti o non aggiornati
Gli hacker riescono ad usare plugin o temi grafici obsoleti per compromettere i siti WordPress. Non è raro infatti trovare siti web non aggiornati da tempo, purtroppo molti pensano che una volta pubblicato il sito non abbia bisogno d’altro.
É un grave errore che può compromettere in modo irreparabile il sito stesso.
I sistemi più usati dagli hacker per violare i siti WordPress
Gli hacker utilizzano vari metodi per violare i siti WordPress, tra loro questi sono i più frequenti:
1. Bypass dell’autenticazione
Consente agli hacker di accedere alle risorse del tuo sito web senza verificarne l’autenticità.
2. SQL Injection (SQLi)
Costringe il sistema a eseguire query SQL dannose e a manipolare i dati all’interno del database.
3. Cross-site Scripting (XSS)
Inietta codice dannoso che trasforma il sito in un trasportatore di malware.
4. Attacco Backdoor
Questa vulnerabilità offre agli hacker passaggi nascosti che bypassano la crittografia di sicurezza per accedere ai siti WordPress tramite metodi anormali³.
5. Pharma Hack
Questo attacco utilizza i siti web infetti per promuovere prodotti farmaceutici, spesso attraverso l’inserimento di link e contenuti nascosti.
6. Tentativi di Accesso Brute-force
Gli hacker tentano di accedere al tuo sito provando tutte le combinazioni possibili di credenziali.
7. Reindirizzamenti Malevoli
Gli hacker inseriscono codice nel tuo sito che reindirizza i visitatori verso siti web dannosi.
É chiaro quindi che per mettere in sicurezza un sito web WordPress si dovranno usare il maggior numero di sistemi possibili. Per questo abbiamo creato un elenco di 10 punti guida per rendere più sicuro il tuo sito WordPress.
10 punti guida per la sicurezza dei siti WordPress
Vediamo un elenco di 10 attività che aumentano la sicurezza del tuo sito WordPress e sotto nel dettaglio come attuarle (clicca sui link).
- Sottoscrivi un piano hosting adeguato con un provider di buon livello.
- Utilizza un certificato SSL con protocollo https.
- Genera password forti con un software specializzato.
- Usa l’autenticazione a due fattori.
- Nascondi la pagina di accesso al sito.
- Installa un plugin per la sicurezza.
- Verifica regolarmente le registrazioni degli utenti.
- Controlla ed elimina i commenti spam.
- Anticipa e previeni i pericolosi attacchi DDoS.
- Visita spesso il tuo sito WordPress sia nel backend che nel frontend.
1) La sicurezza dei siti WordPress inizia dall'hosting
Il nostro approccio alla sicurezza del sito inizia sempre con la valutazione del miglior hosting e provider da usare, scelto di volta in volta rispetto al tipo di sito sul quale dobbiamo lavorare.
Infatti una volta chiari gli obiettivi di business del sito preso in carico decidiamo dove “metterlo”, ovvero scegliamo il provider e il tipo di piano hosting più consono per il cliente.
Non è un punto secondario né da sottovalutare, e infatti è il primo dei 10 consigli per proteggerti adeguatamente dai possibili attacchi.
Sarai d’accordo anche tu che una casa solida si basa su delle altrettanto solide fondamenta, no? Ebbene il tuo piano hosting è proprio questo: le fondamenta del tuo sito web.
Se ad esempio devi realizzare un sito eCommerce e ti consigliano un hosting condiviso, diffida. Perché a monte di un piccolo risparmio che puoi ottenere nel breve periodo la sicurezza del sito verrà messa a dura prova.
Prenditi quindi cura della scelta che devi fare e nel caso che quella attuale non ti soddisfi pienamente valuta di passare un provider diverso o un piano superiore. Ne gioverai nel tempo.
2) Rendere sicuro un sito WordPress con i certificati SSL
É ormai dal 2018 che Google assegna un valore superiore ai siti web che utilizzano un certificato di sicurezza SSL, quindi con protocollo di trasmissione https.
In questi anni la maggior parte dei proprietari di siti web ha seguito la direttiva adeguandoli di conseguenza, se tu non l’hai ancora fatto provvedi al più presto.
Oltre al vantaggio di aumentare il ranking del sito, avere questo certificato installato garantisce infatti un livello di protezione superiore per ognuno di loro, che poi è lo scopo principale per cui viene usato.
É quindi importante usufruirne sia per l’immagine (nella barra indirizzi compare il lucchetto di sicurezza) che per la protezione.
Esistono più tipi di certificato di sicurezza SSL, in funzione del tipo di sito che deve usarlo. Un sito vetrina ad esempio non ha bisogno delle stesse protezioni che servono ad un eCommerce, notevolmente più esposto agli attacchi hacker per ovvi motivi.
Sarà poi compito tuo decidere e scegliere quello che meglio si adatta al tuo sito web.
Con i siti WordPress inoltre, per avere la certezza di usufruire del certificato potrebbe servirti il plugin Really Simple SSL, che funziona però solo se il certificato è già installato.
3) Aumenta la sicurezza usando una password di accesso forte
Una delle prime cose che si fanno durante l’installazione di un sito WordPress è scegliere la password di login, modificabile in caso di bisogno con l’opzione utente della dashboard.
Se ti sei accorto che la tua password non ha un livello di sicurezza sufficiente è bene che provvedi alla sua modifica.
Invece di crearne una andando per tentativi (e poi dimenticarla) puoi usare un programma gratuito molto utile: PWGen.
Oltre a fornirti password forti ed efficaci ti permette di creare un database di password, in questo modo puoi gestirle tutte da un unico posto.
NOTA
Se hai dimenticato la password di login di WordPress e vuoi recuperarla in modo semplice e veloce leggi il nostro articolo come recuperare la password di WordPress.
4) Mettere in sicurezza WordPress con l'autenticazione a 2 fattori
Se hai seguito il precedente consiglio ora hai una password piuttosto robusta e la sicurezza del tuo sito è quindi già aumentata.
Certo non sarà questo a scoraggiare un attacco di hacker preparati, dobbiamo fare altro per mettere in sicurezza un sito WordPress e proteggerlo dagli attacchi più frequenti.
Ad esempio, un altro accorgimento che possiamo adottare per aumentare la sicurezza e la difficolta d’intrusione al sito dalla pagina di accesso è usare l’autenticazione a due fattori.
Anche in questo caso abbiamo a disposizione dei plugin, alcuni specifici altri dedicati alla sicurezza in senso generale e che hanno tra le loro opzioni l’autenticazione a due fattori.
Ad esempio puoi usare:
- Defender Security (plugin di sicurezza completo).
- WP 2FA (plugin specifico per autenticazione a due fattori).
Con questo tipo di prevenzione se l’intruso riesce a scoprire il nome utente e la password, per loggarsi dovrà avere a disposizione anche il tuo cellulare, cosa assai improbabile.
5) Migliora la sicurezza dei siti WordPress con una pagina login nascosta
Nessun timore, tu sarai ancora in grado di accedere al sito normalmente.
In realtà questo è un ostacolo per alcuni amministratori di siti WordPress, che temendo di aver difficoltà ad entrare nel loro sito evitano di usare questa funzione, eppure può rendere sicuro WordPress in modo semplice.
Infatti, con l’uso dei giusti plugin è possibile modificare l’URL del modulo di accesso in quello che desideri e rendere inaccessibili a possibili hacker la pagina wp-login.php e la cartella wp-admin.
Al proprietario del sito web per continuare a fare login normalmente è sufficiente memorizzare nei preferiti del proprio browser l’indirizzo web appena modificato.
Usando questi sistemi aumenta considerevolmente la sicurezza dei siti WordPress, perché impedisce sul nascere ogni possibilità di attacco.
Riguardo il plugin per nascondere la pagina di login, il più usato è WPS Hide Login, installato più di un milione di volte e con molte recensioni positive.
6) Installa un plugin per la sicurezza dei siti WordPress
Lo so, può sembrare superfluo inserire un consiglio simile per aumentare la sicurezza dei siti WordPress, ma la percentuale di chi non usa un plugin di questo tipo è talmente alta che non potevamo non ricordarlo.
C’è un’ampia scelta anche di plugin di sicurezza per WordPress, in alcuni casi sono prodotti da società che dedicano la loro attività esclusivamente alla sicurezza dei siti WordPress e offrono servizi specifici su richiesta.
Ecco quindi tre dei plugin di sicurezza dedicati a WordPress tra i più conosciuti, utilizzati ed efficaci. Li trovi facendo una ricerca su wordpress.org.
Wp Cerber Security
Dichiarazione del produttore: “difende WordPress da attacchi di hacker, spam, trojan e malware. Mitiga gli attacchi di forza bruta limitando il numero di tentativi di accesso tramite il modulo di accesso, le richieste XML-RPC/API REST e un sacco di altre cose.”
Link per il download: WP Cerber.
Aggiornamento: dal 22 settembre 2022 questo plugin non è più presente nel repository di WordPress per problemi di sicurezza, un vero peccato perché funzionava egregiamente. Speriamo che risolvano e che torni ad essere disponibile per il download.
Wordfence
Dichiarazione del produttore: “Wordfence include un firewall per gli endpoint e uno scanner di malware che sono stati creati da zero per proteggere WordPress. Web Application Firewall identifica e blocca il traffico dannoso. Costruito e mantenuto da un grande team concentrato al 100% sulla sicurezza di WordPress.”
Link per il download: Wordfence
All In One WP Security and Firewall
Dichiarazione del produttore: “il plugin All In One WordPress Security porterà la sicurezza del tuo sito ad un livello completamente nuovo. Le regole di sicurezza e firewall sono suddivise in “base”, “intermedio” e “avanzato”. In questo modo è possibile applicare le regole del firewall in modo progressivo senza interrompere la funzionalità del tuo sito.
Il plugin All In One WordPress Security non rallenta il tuo sito ed è al 100% gratuito.“
Link per il download: All In One WP
7) Verifica le registrazioni al sito per rendere sicuro WordPress
Se il sito offre la possibilità di registrarsi dovresti occuparti anche di questo aspetto, se però hai già attivato alcune sicurezze potrebbe essere uno scrupolo in più, comunque tutt’altro che inutile se vuoi rendere sicuro WordPress.
Si tratta di un controllo semplice e veloce, basta infatti che fai il login alla dashboard del sito e controlli gli utenti registrati verificando il loro livello di accesso.
Come accennato nell’articolo di approfondimento dedicato ai servizi di manutenzione per i siti WordPress, assicurati che non ci siano utenti registrati come amministratori senza il tuo permesso.
Nel caso ci fossero, eliminali immediatamente e fai un controllo con il tuo plugin di sicurezza per WordPress installato.
8) Verifica la presenza di commenti spam
Nel caso di un blog che permette commenti agli articoli, una verifica da fare è quella dei contenuti dei commenti. Se ricevi molti commenti spam oltre che pericoloso (se restano attivi) può diventare frustrante e noioso il continuo controllo.
Per limitare perdite di tempo e problemi di varia natura puoi usare innanzitutto alcuni semplici accorgimenti preventivi, inoltre installa un plugin antispam ed eventualmente il reCAPTCHA di Google.
Intanto, quali accorgimenti devi adottare? Uno molto semplice in primo luogo, tra l’altro suggerito nella lezione 2 del nostro corso su WordPress dedicato alla sua installazione e configurazione.
Usando l’opzione Impostazioni → Discussione dalla tua dashboard di WordPress, impedisci la pubblicazione immediata dei commenti mettendoli in attesa di approvazione, e quando ne hai di nuovi controlla i loro contenuti.
Se trovi messaggi con link a pagine che non c’entrano nulla né con il post né con i contenuti del sito eliminali senza problemi, sono chiaramente spam.
9) Metti in sicurezza WordPress prevenendo gli attacchi DDoS
Degli attacchi DDoS ne avrai sentito parlare, sono tra i più pericolosi per la sicurezza del sito. Infatti, ad esempio, oltre ad interrompere sia l’accesso al sito che alle caselle e-mail, vengono usati per chiedere riscatti in denaro.
A volte l’attacco si esaurisce con il suo successo e gli hacker non fanno alcun tipo di richiesta in quanto l’obiettivo era provare a sé stessi la loro bravura. In ogni caso non è piacevole esserne vittima ed è necessario cautelarci per mettere in sicurezza WordPress innalzando il più possibile le difese.
Per la prevenzione da questi attacchi possiamo fare alcune cose abbastanza semplici (anche se poi nulla garantisce al 100% la sicurezza dei siti web), tra queste:
- Usare un firewall.
- Disabilitare il pingback e il trackback (anche questo puoi farlo nella dashboard da Impostazioni → Discussione).
- Disabilitare XML-RPC.
- Utilizzare una CDN.
- Disabilitare l’API-REST (con cautela).
Eccetto il punto 4 che prevede l’utilizzo di una CDN, gli altri accorgimenti possono essere fatti con uno dei plugin per la sicurezza citati prima, motivo in più per installarli.
10) Verifica del funzionamento del sito da frontend e da backend
Quella di entrare spesso nel backend del sito dovrebbe essere una pratica quasi quotidiana per il suo proprietario o per chi lo gestisce, è comunque un modo semplice ed efficace per assicurarsi che tutto funzioni bene.
Chiaramente devi sapere cosa verificare e cosa fare nel caso di problemi, che come hai visto possono essere di vario tipo.
La nostra lista di 10 punti guida è già un ottimo punto di partenza riguardo la sicurezza dei siti WordPress e ti permette di rendere sicuro il tuo sito WordPress.
É utile anche provare a navigare il sito come un normale utente per testare eventuali problemi di sicurezza.
Prenditi quindi il tempo necessario per visitare ogni pagina e osservarla con cura, talvolta basta un colpo d’occhio per notare alcuni problemi.
Non sempre è però possibile prevedere o anticipare un attacco, motivo per cui affidarsi ad un buon servizio di gestione del proprio sito WordPress è ancora la scelta migliore.
Con i giusti strumenti la sicurezza dei siti WordPress non è un problema
La sicurezza su Internet è un argomento sempre molto caldo perché, per esempio, coinvolge settori interconnessi tra loro come gli hosting web e il software usato.
Difendersi da possibili attacchi è quindi estremamente complesso, capita infatti che nonostante tutte le precauzioni, rendere sicuro un sito risulti difficoltoso.
Per superare indenni i casi estremi, l’ultimo e undicesimo consiglio è di avere un sistema di backup e utilizzare la copia più recente del sito per il suo ripristino.
SitiWeb-WP è una web agency specializzata in WordPress
Siamo un’agenzia web di Milano esperta in realizzazione siti web professionali, forniamo servizi web come il restyling, l’assistenza, interventi di manutenzione, gestione completa dei siti WordPress e l’ottimizzazione SEO.
Per saperne di più, contattaci!
SitiWeb-WP
Creazione siti web WordPress e servizi
La tua agenzia web di Milano esperta in WordPress e comunicazione.