Sicurezza dei siti WordPress in 10 punti guida
Anche se non hai mai subito attacchi hacker e quindi hai pensato solo marginalmente alla sicurezza dei tuoi siti WordPress, questo non ti tiene al riparo da problemi. Sono infatti quotidiane le infrazioni anche a grossi siti web, compresi quelli governativi teoricamente con alti livelli di sicurezza. Se quindi ora stai pensando a dei sistemi di protezione per i tuoi siti WordPress leggi l’articolo, con i 10 punti suggeriti puoi aumentare la sicurezza del tuo sito WordPress.
Indice dei contenuti
La sicurezza dei siti WordPress è un problema noto
Premesso che mai nessun sito è al sicuro al 100% e che se l’obiettivo di un malintenzionato è violare un certo sito prima o poi ci riuscirà, oggi vediamo come rendere più complicata l’operazione e provare a scoraggiarli.
Riguardo la sicurezza dei siti WordPress e la loro vulnerabilità sappiamo tutti che ‘godono’ di particolare attenzione da parte degli hacker, soprattutto perché i siti di questo tipo presenti sul web sono in grande quantità.
WordPress riceve però molta attenzione anche da parte del produttore e da coloro che hanno un’attività intorno ad esso, ragion per cui abbiamo a disposizione sia una vasta comunità che molti strumenti per proteggerci.
Ogni sito web è potenzialmente una porta aperta sul mondo anche per i malintenzionati. Rendigli difficile la vita con un buon livello di protezione.
É vero quindi che la sicurezza dei siti WordPress è più a rischio, ma è anche vero che grazie al supporto che possono ricevere, non tutti i siti WordPress vengono bucati.
Noi nella creazione di un nuovo sito e nei restyling partiamo proprio dall’analisi delle sue protezioni e del livello di sicurezza, in particolare quando il sito presenta evidenti difetti che possono dare problemi di vulnerabilità.
10 punti guida definitivi per la sicurezza dei siti WordPress
Vediamo un elenco di 10 attività che aumentano la sicurezza del tuo sito WordPress e sotto nel dettaglio come attuarle (clicca sui link).
- Sottoscrivi un piano hosting adeguato con un provider di buon livello.
- Utilizza un certificato SSL con protocollo https.
- Genera password forti con un software specializzato.
- Usa l’autenticazione a due fattori.
- Nascondi la pagina di accesso al sito.
- Installa un plugin per la sicurezza.
- Verifica regolarmente le registrazioni degli utenti.
- Controlla ed elimina i commenti spam.
- Anticipa e previeni i pericolosi attacchi DDoS.
- Visita spesso il tuo sito WordPress sia nel backend che nel frontend.
1) La sicurezza dei siti WordPress inizia durante la sua progettazione
Il nostro approccio alla sicurezza del sito inizia sempre con la valutazione del miglior hosting e provider da usare, scelto di volta in volta rispetto al tipo di sito sul quale dobbiamo lavorare.
Infatti una volta chiari gli obiettivi di business del sito preso in carico decidiamo dove ‘metterlo’, ovvero scegliamo il provider e il tipo di piano hosting più consono per il cliente.
Non è un punto secondario né da sottovalutare, e infatti è il primo dei 10 consigli per proteggerti adeguatamente dai possibili attacchi.
Sarai d’accordo anche tu che una casa solida si basa su delle altrettanto solide fondamenta, no? Ebbene il tuo piano hosting è proprio questo: le fondamenta del tuo sito web.
Se ad esempio devi creare un sito eCommerce e ti consigliano un hosting condiviso, diffida. Perché a monte di un piccolo risparmio che puoi ottenere nel breve periodo la sicurezza del sito verrà messa a dura prova.
Prenditi quindi cura della scelta che devi fare e nel caso che quella attuale non ti soddisfi pienamente valuta di passare un provider diverso o un piano superiore. Ne gioverai nel tempo.
2) Un certificato SSL protegge il sito, gli utenti e sale il ranking
É ormai dal 2018 che Google assegna un valore superiore ai siti web che utilizzano un certificato di sicurezza SSL, quindi con protocollo di trasmissione https.
In questi anni la maggior parte dei proprietari di siti web ha seguito la direttiva adeguandoli di conseguenza, se tu non l’hai ancora fatto provvedi al più presto.
Oltre al vantaggio di aumentare il ranking del sito, avere questo certificato installato garantisce infatti un livello di protezione superiore per ognuno di loro, che poi è lo scopo principale per cui viene usato.
É quindi importante usufruirne sia per l’immagine (nella barra indirizzi compare il lucchetto di sicurezza) che per la protezione.
Esistono più tipi di certificato di sicurezza SSL, in funzione del tipo di sito che deve usarlo. Un sito vetrina ad esempio non ha bisogno delle stesse protezioni che serveno ad un eCommerce, notevolmente più esposto agli attacchi degli hacker per ovvi motivi.
Sarà poi compito tuo decidere e scegliere quello che meglio si adatta al tuo sito web.
Con i siti WordPress inoltre, per avere la certezza di usufruire del certificato potrebbe servirti il plugin Really Simple SSL, che funziona però solo se il certificato è già installato.
NOTA: se hai bisogno d’installare un certificato SSL e modificare il protocollo http in https ma non sai come fare leggi l’articolo linkato più sopra.
3) Usa un programma che genera password di accesso forti
Una delle prime cose che si fanno durante l’installazione di un sito WordPress è scegliere la password di login, modificabile in caso di bisogno con l’opzione utente della dashboard.
Quindi se ti sei accorto che la tua password non ha un livello di sicurezza sufficiente è bene che provvedi alla sua modifica.
Invece di crearne una andando per tentativi (e poi dimenticarla) puoi usare un programma gratuito molto utile: PWGen.
Oltre a fornirti password forti ed efficaci ti permette di creare un database di password, in questo modo puoi gestirle tutte da un unico posto.
4) Aumenta la sicurezza del sito WordPress con l’autenticazione a 2 fattori
Se hai seguito il nostro precedente consiglio probabilmente ora hai una password piuttosto robusta e la sicurezza del tuo sito è quindi già aumentata, certo però non sarà questo a scoraggiare un attacco di hacker preparati, dobbiamo fare altro prima di sentirci al riparo, almeno dagli attacchi più frequenti.
Un’ulteriore accortezza che possiamo aggiungere per aumentare le difficolta d’intrusione al sito dalla pagina di accesso, è usare l’autenticazione a due fattori.
Anche in questo caso abbiamo a disposizione svariati plugin, alcuni specifici altri invece dedicati alla sicurezza in senso più ampio, questi ultimi hanno tra le opzioni l’autenticazione a due fattori.
Ad esempio puoi usare:
- Defender Security (plugin di sicurezza completo).
- WP 2FA (plugin specifico per autenticazione a due fattori).
Con questo tipo di prevenzione se l’intruso riesce a scoprire il nome utente e la password, per loggarsi dovrà avere a disposizione anche il tuo cellulare, cosa assai improbabile.
5) Più sicurezza al sito WordPress con pagina di login nascosta
Nessun timore, tu sarai ancora in grado di fare l’accesso normalmente.
In realtà questo è un ostacolo per alcuni proprietari di siti WordPress, che temendo di aver difficoltà ad entrare nel loro sito evitano di usare la funzione.
Con l’uso dei giusti plugin è infatti possibile modificare l’url del modulo di accesso in quello che si desidera, rendendo inaccessibili (agli altri) la pagina wp-login.php e la cartella wp-admin.
Il proprietario del sito per continuare a loggarsi memorizza nel proprio browser l’indirizzo modificato.
Come vedi l’insieme di questi modi aumenta considerevolmente la sicurezza del tuo sito WordPress, perché impedisce sul nascere ogni possibilità di attacco diretto.
Il plugin più usato per nascondere la pagina di login è WPS Hide Login, installato più di un milione di volte e con molte recensioni positive.
6) Usa un plugin dedicato per la sicurezza dei siti WordPress
Lo sò, può sembrare superfluo inserire un consiglio simile tra i 10 punti guida per la sicurezza di WordPress, ma la percentuale di siti che non usano un plugin di questo tipo è talmente alta che non potevamo esimerci.
La scelta è ampia anche per loro, in alcuni casi sono distribuiti da società che dedicano la loro attivitò esclusivamente alla sicurezza dei siti WordPress, offrendo anche servizi specifici.
Ecco perciò tre dei plugin di sicurezza più conosciuti utilizzati ed efficaci, presenti su wordpress.org.
Wp Cerber Security
Dichiarazione del produttore: “difende WordPress da attacchi di hacker, spam, trojan e malware. Mitiga gli attacchi di forza bruta limitando il numero di tentativi di accesso tramite il modulo di accesso, le richieste XML-RPC/API REST e un sacco di altre cose.”
Link per il download: WP Cerber.
Aggiornamento: dal 22 settembre 2022 questo plugin non è più presente nel repository di WordPress per problemi di sicurezza, un vero peccato perché funzionava egregiamente. Speriamo che risolvano e che torni ad essere disponibile per il download.
Wordfence
Dichiarazione del produttore: “Wordfence include un firewall per gli endpoint e uno scanner di malware che sono stati creati da zero per proteggere WordPress. Web Application Firewall identifica e blocca il traffico dannoso. Costruito e mantenuto da un grande team concentrato al 100% sulla sicurezza di WordPress.”
Link per il download: Wordfence
All In One WP Security and Firewall
Dichiarazione del produttore: “il plugin All In One WordPress Security porterà la sicurezza del tuo sito ad un livello completamente nuovo. Le regole di sicurezza e firewall sono suddivise in “base”, “intermedio” e “avanzato”. In questo modo è possibile applicare le regole del firewall in modo progressivo senza interrompere la funzionalità del tuo sito.
Il plugin All In One WordPress Security non rallenta il tuo sito ed è al 100% gratuito.“
Link per il download: All In One WP
7) Verifica le registrazioni degli utenti nel tuo sito WordPress
Se il tuo sito offre la possibilità di registrazione dovresti preoccuparti di questo aspetto, diversamente se hai già implementato alcune sicurezze potrebbe essere solo uno scrupolo in più, comunque tutt’altro che inutile se tieni ad avere un sito sicuro.
Si tratta di un controllo semplice e veloce, basta infatti che ti logghi alla dashboard del tuo sito e controlli gli utenti registrati, verificando il loro livello di accesso.
Come accennato nell’articolo dedicato all’importanza dei servizi di manutenzione per i siti WordPress, assicurati di non avere utenti registrati come amministratori senza il tuo permesso.
Se fossero presenti, eliminali immediatamente e fai un controllo con il tuo plugin di sicurezza, potrebbero aver infettato in qualche modo il sito.
8) Controlla la presenza di commenti spam ed elimina i link sospetti
In caso tu abbia un blog che permette commenti agli articoli, una verifica che devi fare è quella dei contenuti dei commenti. Ma se ricevi molti commenti spam oltre che pericoloso (se restano attivi) può diventare frustrante e noioso il continuo controllo.
Per ovviare a perdite di tempo e problemi di varia natura possiamo adottare innanzitutto alcuni semplici accorgimenti preventivi, in aggiunta impegnati ad installare un plugin anti-spam e il reCaptcha di Google.
Quali sono gli accorgimenti da tenere? Uno molto semplice in primo luogo, tra l’altro suggerito nella lezione 2 del nostro corso su WordPress dedicato alla sua installazione e configurazione.
Usando l’opzione Impostazioni → Discussione dalla dashboard impedisci la pubblicazione immediata dei commenti mettendoli in attesa di approvazione, e quando ne hai di nuovi controlla i loro contenuti.
Se trovi messaggi con link a pagine che non c’entrano nulla né con il post né con i contenuti del sito, eliminali senza problemi, sono chiaramente spam.
9) Previeni il tuo sito WordPress dai pericolosi attacchi DDoS
Degli attacchi DDoS ne avrai sentito parlare, sono tra i più pericolosi per la sicurezza del sito. Infatti ad esempio, oltre ad interrompere un servizio di rete e quindi tanto l’accesso al sito quanto alle caselle e-mail, vengono usati per chiedere riscatti in denaro.
A volte l’attacco si esaurisce con il suo successo e gli hacker non fanno alcun tipo di richiesta in quanto l’obiettivo era provare a sé stessi la loro bravura. In ogni caso non è piacevole esserne vittima, ragion per cui dobbiamo cautelarci e innalzare il più possibile le nostre misure di difesa.
Fortunatamente per la prevenzione da questi attacchi possiamo fare alcune cose abbastanza semplici (anche se come detto all’inizio del post, nulla garantisce al 100% la sicurezza dei siti web), tra queste:
- Usare un firewall
- Disabilitare il pingback e il trackback (anche questo puoi farlo nella dashboard da Impostazioni → Discussione)
- Disabilitare XML-RPC
- Utilizzare una CDN
- Disabilitare l’API-REST (con cautela)
Eccetto il primo punto che prevede l’installazione di un plugin dedicato e per l’utilizzo di una CDN, le altre prevenzioni possono essere fatte con uno dei plugin per la sicurezza citati prima, motivo in più per avere cura nella sua scelta.
10) Per la sicurezza del sito WordPress accedi spesso a frontend e backend
Quella di entrare spesso nel backend del sito dovrebbe essere una pratica quasi quotidiana per il suo proprietario o per chi lo gestisce, è comunque un modo semplice diretto ed efficace per assicurarsi che tutto funzioni bene.
Chiaramente serve sapere cosa verificare e che approccio avere nel caso di problemi, che come hai visto possono essere di vario tipo. La nostra lista di 10 punti guida è già un ottimo punto di partenza riguardo la sicurezza dei siti WordPress, e ti mette al riparo da molti guai.
Anche provare a navigare il sito come se fossi un normale utente risulta utile per testare i problemi di sicurezza, prendendoti il giusto tempo per visitare ogni pagina e osservare come si presenta. Talvolta basta un colpo d’occhio per notare alcuni problemi.
Non sempre però è possibile prevedere o anticipare un attacco, motivo per cui dotarsi di un buon servizio di gestione del proprio sito WordPress resta ancora la scelta migliore.
Con i giusti strumenti la sicurezza dei siti WordPress non è un tabù
Conclusioni
La sicurezza su Internet è un argomento sempre molto caldo, perché coinvolge settori interconnessi tra loro come la sistemistica e il software per esempio.
Difendersi da possibili attacchi diventa perciò estremamente complesso, e capita infatti che nonostante le precauzioni prese si possa essere vittime di attacchi di forza bruta.
Per superare questi casi estremi il consiglio (numero 11 della lista ma che dovrebbe essere la prima cosa da fare per ognuno di noi), è sempre lo stesso: usare un sistema di backup e utilizzare la copia più recente quando non c’è un’altra soluzione.
Ci occupiamo di tutto quello che riguarda la tua presenza su Internet con un sito web.
Siamo esperti nella realizzazione di siti web professionali con WordPress e offriamo servizi di assistenza manutenzione e gestione completa dei siti in WordPress. Se hai un sito WordPress e hai bisogno di un suo rifacimento o di fare il restyling possiamo intervenire e sistemarlo.
Ulteriori servizi che offriamo sono l’ottimizzazione SEO e la creazione di contenuti di qualità (non usiamo software di IA ma ci avvaliamo orgogliosamente della scrittura umana), inoltre grazie alla collaborazione con esperti Social Media Manager possiamo creare e gestire in modo professionale le tue pagine social.
Qualsiasi bisogno abbia la tua azienda o attività professionale riguardo al web, contattaci!