La sicurezza per i siti WordPress in 10 punti chiave

Sicurezza dei siti WordPress, 10 punti guida per proteggerti

Probabilmente i tuoi siti non hanno mai subito attacchi hacker e quindi finora hai pensato solo marginalmente alla sicurezza del tuo sito WordPress, questo però non ti tiene al riparo da futuri problemi.

Sono infatti quotidiane le infrazioni anche a grossi siti web, compresi quelli governativi teoricamente dotati dei maggiori livelli di sicurezza.

Se stai pensando d’inserire dei sistemi di protezione nel tuo sito WordPress segui i nostri consigli, 10 punti chiave per aumentare la tua sicurezza.

La sicurezza dei siti web WordPress è un problema noto e comune

Premesso che mai nessun sito è al sicuro al 100% e che se l’obiettivo di un malintenzionato è violare un certo sito prima o poi ci riuscirà, oggi vediamo come rendere più complicata l’operazione e provare a scoraggiarli.

Riguardo la sicurezza dei siti WordPress e la loro vulnerabilità sappiamo tutti che ‘godono’ di particolare attenzione da parte degli hacker, soprattutto perché i siti di questo tipo presenti sul web sono in grande quantità.

WordPress riceve però molta attenzione anche da parte del produttore e da coloro che hanno un’attività intorno ad esso, ragion per cui abbiamo a disposizione sia una vasta comunità che molti strumenti per proteggerci.

Rendere difficile la vita agli hackers
Proteggiti dalle intrusioni.

Ogni sito web è potenzialmente una porta aperta sul mondo anche per i malintenzionati. Rendigli difficile la vita con un buon livello di protezione.

É vero quindi che la sicurezza dei siti WordPress è più a rischio, ma è anche vero che grazie al supporto che possono ricevere, non tutti i siti WordPress vengono bucati.

Riflessione personale: al tema della sicurezza dovrebbe fare molta attenzione chi si occupa dello sviluppo di siti WordPress, purtroppo a volte o per la fretta di consegnare il lavoro nei tempi prestabiliti o per altri motivi, questa attenzione viene a mancare.

Noi nella creazione di un nuovo sito e nei restyling partiamo proprio dal tema della sicurezza, in particolare quando il sito da aggiornare presenta evidenti difetti che poossono dare problemi di vulnerabilità.

10 punti guida definitivi per la sicurezza dei siti WordPress

Vediamo un elenco di 10 attività che aumentano la sicurezza del tuo sito WordPress e sotto nel dettaglio come attuarle (clicca sui link).

  1. Sottoscrivi un piano hosting adeguato con un provider di buon livello.
  2. Utilizza un certificato SSL con protocollo https.
  3. Genera password forti con un software specializzato.
  4. Usa l’autenticazione a due fattori.
  5. Nascondi la pagina di accesso al sito.
  6. Installa un plugin per la sicurezza.
  7. Verifica regolarmente le registrazioni degli utenti.
  8. Controlla ed elimina i commenti spam.
  9. Anticipa e previeni i pericolosi attacchi DDoS.
  10. Visita spesso il tuo sito WordPress sia nel backend che nel frontend.

1) La sicurezza dei siti WordPress inizia dalla progettazione

Il nostro approccio alla sicurezza del sito inizia sempre con la valutazione del miglior hosting e provider da usare, scelto di volta in volta rispetto al tipo di sito sul quale dobbiamo lavorare.

Infatti una volta chiari gli obiettivi di business del sito preso in carico decidiamo dove ‘metterlo’, ovvero scegliamo il provider e il tipo di piano hosting più consono per il cliente.

Non è un punto secondario né da sottovalutare, e infatti è il primo dei 10 consigli per proteggerti adeguatamente dai possibili attacchi.

Sarai d’accordo anche tu che una casa solida si basa su delle altrettanto solide fondamenta, no? Ebbene il tuo piano hosting è proprio questo: le fondamenta del tuo sito web.

Se ad esempio devi creare un sito eCommerce e ti consigliano un hosting condiviso, diffida. Perché a monte di un piccolo risparmio che puoi ottenere nel breve periodo la sicurezza del sito verrà messa a dura prova.

Prenditi quindi cura della scelta che devi fare e nel caso che quella attuale non ti soddisfi pienamente valuta di passare un provider diverso o un piano superiore. Ne gioverai nel tempo.

Assistenza per siti web WordPress

Cerchi un servizio di assistenza professionale per il tuo sito WordPress?
SitiWeb-WP
può aiutarti a mantenere in forma il tuo sito, contattaci!

2) Con un certificato SSL proteggi il sito e gli utenti e ne guadagna il ranking

É ormai dal 2018 che Google assegna un valore superiore ai siti web che utilizzano un certificato di sicurezza SSL, quindi con protocollo di trasmissione https.

In questi anni la maggior parte dei proprietari di siti web ha seguito la direttiva adeguandoli di conseguenza, se tu non l’hai ancora fatto provvedi al più presto.

Oltre al vantaggio di aumentare il ranking del sito, avere questo certificato installato garantisce infatti un livello di protezione superiore per ognuno di loro, che poi è lo scopo principale per cui viene usato.

É quindi importante usufruirne sia per l’immagine (nella barra indirizzi compare il lucchetto di sicurezza) che per la protezione.

Esistono più tipi di certificato di sicurezza SSL, in funzione del tipo di sito che deve usarlo. Un sito vetrina ad esempio non ha bisogno delle stesse protezioni che serveno ad un eCommerce, notevolmente più esposto agli attacchi degli hacker per ovvi motivi.

Sarà poi compito tuo decidere e scegliere quello che meglio si adatta al tuo sito web.

Con i siti WordPress inoltre, per avere la certezza di usufruire del certificato potrebbe servirti il plugin Really Simple SSL, che funziona però solo se il certificato è già installato.

NOTA: se hai bisogno d’installare un certificato SSL e modificare il protocollo http in https ma non sai come fare, leggi l’articolo linkato più sopra.

3) Usa un programma per generare e gestire password di accesso forti

Una delle prime cose che si fanno durante l’installazione di un sito WordPress è scegliere la password di login, modificabile in caso di bisogno con l’opzione utente della dashboard.

Quindi se ti sei accorto che la tua password non ha un livello di sicurezza sufficiente è bene che provvedi alla sua modifica.

Invece di crearne una andando per tentativi (e poi dimenticarla) puoi usare un programma gratuito molto utile: PWGen.

Oltre a fornirti password forti ed efficaci ti permette di creare un database di password, in questo modo puoi gestirle tutte da un unico posto.

Programma generatore di password PW Generator

4) Aumenta la sicurezza del sito WordPress con l'autenticazione a 2 fattori

Se hai seguito il nostro precedente consiglio probabilmente ora hai una password piuttosto robusta e la sicurezza del tuo sito è quindi già aumentata, certo però non sarà questo a scoraggiare un attacco di hacker preparati, dobbiamo fare altro prima di sentirci al riparo, almeno dagli attacchi più frequenti.

Un’ulteriore accortezza che possiamo aggiungere per aumentare le difficolta d’intrusione al sito dalla pagina di accesso, è usare l’autenticazione a due fattori.

Anche in questo caso abbiamo a disposizione svariati plugin, alcuni specifici altri invece dedicati alla sicurezza in senso più ampio, questi ultimi hanno tra le opzioni l’autenticazione a due fattori.

Ad esempio puoi usare:

Con questo tipo di prevenzione se l’intruso riesce a scoprire il nome utente e la password, per loggarsi dovrà avere a disposizione anche il tuo cellulare, cosa assai improbabile.

Manutenzione siti web WordPress

Se il tuo sito WordPress ha bisogno di manutenzione ordinaria o straordinaria,
la nostra agenzia web può fornirti interventi e contratti su misura.

5) Maggior sicurezza al sito WordPress nascondendo la pagina di login

Nessun timore, tu sarai ancora in grado di fare l’accesso normalmente.

In realtà questo è un ostacolo per alcuni proprietari di siti WordPress, che temendo di aver difficoltà ad entrare nel loro sito evitano di usare la  funzione.

Con l’uso dei giusti plugin è infatti possibile modificare l’url del modulo di accesso in quello che si desidera, rendendo inaccessibili (agli altri) la pagina wp-login.php e la cartella wp-admin.

Il proprietario del sito per continuare a loggarsi memorizza nel proprio browser l’indirizzo modificato.

Come vedi l’insieme di questi modi aumenta considerevolmente la sicurezza del tuo sito WordPress, perché impedisce sul nascere ogni possibilità di attacco diretto.

Il plugin più usato per nascondere la pagina di login è WPS Hide Login, installato più di un milione di volte e con molte recensioni positive. 

6) Installa un plugin per la protezione e la sicurezza dei siti WordPress

Lo sò, può sembrare superfluo inserire un consiglio simile tra i 10 punti guida per la sicurezza di WordPress, ma la percentuale di siti che non usano un plugin di questo tipo è talmente alta che non potevamo esimerci.

La scelta è ampia anche per loro, in alcuni casi sono distribuiti da società che dedicano la loro attivitò esclusivamente alla sicurezza dei siti WordPress, offrendo anche servizi specifici.

Ecco perciò tre dei plugin di sicurezza più conosciuti utilizzati ed efficaci, presenti su wordpress.org.

Wp Cerber Security

Dichiarazione del produttore:difende WordPress da attacchi di hacker, spam, trojan e malware. Mitiga gli attacchi di forza bruta limitando il numero di tentativi di accesso tramite il modulo di accesso, le richieste XML-RPC/API REST e un sacco di altre cose.”

Link per il download: WP Cerber

Wordfence

Dichiarazione del produttore:Wordfence include un firewall per gli endpoint e uno scanner di malware che sono stati creati da zero per proteggere WordPress. Web Application Firewall identifica e blocca il traffico dannoso. Costruito e mantenuto da un grande team concentrato al 100% sulla sicurezza di WordPress.”

Link per il download: Wordfence

All In One WP Security and Firewall

Dichiarazione del produttore:il plugin All In One WordPress Security porterà la sicurezza del tuo sito ad un livello completamente nuovo. Le regole di sicurezza e firewall sono suddivise in “base”, “intermedio” e “avanzato”. In questo modo è possibile applicare le regole del firewall in modo progressivo senza interrompere la funzionalità del tuo sito.

Il plugin All In One WordPress Security non rallenta il tuo sito ed è al 100% gratuito.

Link per il download: All In One WP

7) Verifica le registrazioni degli utenti nel tuo sito WordPress

Se il tuo sito offre la possibilità di registrazione dovresti preoccuparti di questo aspetto, diversamente se hai già implementato alcune sicurezze potrebbe essere solo uno scupolo in più, comunque tutt’altro che inutile se tieni ad avere un sito sicuro.

Si tratta di un controllo semplice e veloce, basta infatti che ti logghi alla dashboard del tuo sito e controlli gli utenti registrati, verificando il loro livello di accesso.

Come accennato nell’articolo dedicato all’importanza dei servizi di manutenzione per i siti WordPress, assicurati di non avere utenti registrati come amministratori senza il tuo permesso.

Se fossero presenti, eliminali immediatamente e fai un controllo con il tuo plugin di sicurezza, potrebbero aver infettato in qualche modo il sito.

Gestione siti web WordPress

Se vuoi eliminare ogni pensiero affida la gestione del tuo sito WordPress
alla nostra agenzia web.
La gestione comprende assistenza, manutenzione e servizi su misura.

8) Controlla la presenza di commenti spam ed elimina i link sospetti

In caso tu abbia un blog che permette commenti agli articoli, una verifica che devi fare è quella dei contenuti dei commenti. Ma se ricevi molti commenti spam oltre che pericoloso (se restano attivi) può diventare frustrante e noioso il continuo controllo.

Per ovviare a perdite di tempo e problemi di varia natura possiamo adottare innanzitutto alcuni semplici accorgimenti preventivi, in aggiunta impegnati ad installare un plugin anti-spam e il reCaptcha di Google.

Quali sono gli accorgimenti da tenere? Uno molto semplice in primo luogo, tra l’altro suggerito nella lezione 2 del nostro corso su WordPress dedicato alla sua installazione e impostazione.

Usando l’opzione Impostazioni Discussione dalla dashboard impedisci la pubblicazione immediata dei commenti mettendoli in attesa di approvazione, e quando ne hai di nuovi controlla i loro contenuti.

Se trovi messaggi con link a pagine che non c’entrano nulla né con il post né con i contenuti del sito, eliminali senza problemi, sono chiaramente spam.

9) Previeni il tuo sito WordPress dai pericolosi attacchi DDoS

Degli attacchi DDoS ne avrai sentito parlare, sono tra i più pericolosi per la sicurezza del sito. Infatti ad esempio, oltre ad interrompere un servizio di rete e quindi tanto l’accesso al sito quanto alle caselle e-mail, vengono usati per chiedere riscatti in denaro.

A volte l’attacco si esaurisce con il suo successo e gli hacker non fanno alcun tipo di richiesta in quanto l’obiettivo era provare a sé stessi la loro bravura. In ogni caso non è piacevole esserne vittima, ragion per cui dobbiamo cautelarci e innalzare il più possibile le nostre misure di difesa.

Fortunatamente per la prevenzione da questi attacchi possiamo fare alcune cose abbastanza semplici (anche se come detto all’inizio del post, nulla garantisce al 100% la sicurezza dei siti web), tra queste:

  • Usare un firewall
  • Disabilitare il pingback e il trackback (anche questo puoi farlo nella dashboard da Impostazioni Discussione)
  • Disabilitare XML-RPC
  • Utilizzare una CDN
  • Disabilitare l’API-REST (con cautela)

Eccetto il primo punto che prevede l’installazione di un plugin dedicato e per l’utilizzo di una CDN, le altre prevenzioni possono essere fatte con uno dei plugin per la sicurezza citati prima, motivo in più per avere cura nella sua scelta.

10) Per la sicurezza del sito WordPress accedi spesso a frontend e backend

Quella di entrare spesso nel backend del sito dovrebbe essere una pratica quasi quotidiana per il suo proprietario o per chi lo gestisce, è comunque un modo semplice diretto ed efficace per assicurarsi che tutto funzioni bene.

Chiaramente serve sapere cosa verificare e che approccio avere nel caso di problemi, che come hai visto possono essere di vario tipo. La nostra lista di 10 punti guida è già un ottimo punto di partenza riguardo la sicurezza dei siti WordPress, e ti mette al riparo da molti guai.

Anche provare a navigare il sito come se fossi un normale utente risulta utile per testare i problemi di sicurezza, prendendoti il giusto tempo per visitare ogni pagina e osservare come si presenta. Talvolta basta un colpo d’occhio per notare alcuni problemi.

Non sempre però è possibile prevedere o anticipare un attacco, motivo per cui dotarsi di un buon servizio di gestione del proprio sito WordPress resta ancora la scelta migliore.

Con i giusti strumenti la sicurezza dei siti WordPress non è più un tabù

Conclusioni

La sicurezza su Internet è un argomento sempre molto caldo, perché coinvolge settori interconnessi tra loro come la sistemistica e il software per esempio.

Difendersi da possibili attacchi diventa perciò estremamente complesso, e capita infatti che nonostante le precauzioni prese si possa essere vittime di attacchi di forza bruta.

Per superare questi casi estremi il consiglio (numero 11 della lista ma che dovrebbe essere la prima cosa da fare per ognuno di noi), è sempre lo stesso: usare un sistema di backup e utilizzare la copia più recente quando non c’è un’altra soluzione.

Se temi per la sicurezza del tuo sito WordPress chiedi un contratto di assistenza

Noi di SitiWeb-WP ci occupiamo di ogni aspetto che riguarda WordPress, dalla realizzazione alla manutenzione, dall’assistenza alla sua gestione possiamo offrirti il servizio che ti serve.

Se hai avuto problemi di sicurezza oppure desideri ottimizzare il sito o ti serve un intervento per migliorare la tua presenza sul web, contattaci.

Articoli simili

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.

Accetto la Privacy Policy