Ultimo aggiornamento il 13 Maggio 2024 da admin
Aumentare la sicurezza su WordPress rappresenta veramente un tema che oggigiorno è bene approfondire e possibilmente migliorare, laddove sia possibile, nei suoi vari aspetti principali?
Sapevi che secondo una recente analisi del sito specialistico W3Teches circa il 40% di tutti i siti web è basato su un CMS open source?
Di per sé, la cosa non dovrebbe stupirti. Infatti, questa tipologia di CMS ha raggiunto una professionalità tale che riesce a competere anche con soluzioni decisamente più professionali e settoriali.
La cosa però che dovrebbe stupirti è che tra tutti questi siti, WordPress attualmente gode di una quota di mercato superiore al 60%. Parliamo di percentuali bulgare che solo in minima parte riescono a restituire l’importanza di ciò che rappresenta.
Quindi, aumentare la sicurezza su WordPress rappresenta una necessità fondamentale, soprattutto, se pensi che quotidianamente Google inserisce in blacklist circa 10mila siti web a causa dei malware.
[Aggiornato il 13 maggio 2024]
Contents
- Ma quali sono le reali minacce che possono riguardare WordPress?
- Aumentare sicurezza WordPress: Installazione di un certificato SSL
- Scelta di credenziali di admin efficaci
- Aggiornamenti di WordPress, temi e plugin
- Aumentare sicurezza WordPress: Utilizza plugin per la sicurezza
- Conclusioni: aumentare sicurezza WordPress con piccole regole di base
- I percorsi formativi proposti dalla Fondazione ITS Servizi alle Imprese
Ma quali sono le reali minacce che possono riguardare WordPress?
Le tipologie di attacchi informatici che possono colpire WordPress sono diverse. Si va dalle iniezioni di SQL al download di file pericolosi in locale, dall’attraversamento di directory al Cross Site Scripting, senza ovviamente tralasciare le backdoor PHP.
Un sito basato su WordPress, come hai visto, può potenzialmente rappresentare una minaccia concreta per la sicurezza. Ti starai quindi chiedendo se sia possibile o meno incrementarne la sicurezza. La risposta è positiva, purché ci si ricordi di intensificare i propri sforzi su 4 scenari ben specifici che ora andremo a vedere.
Ecco di seguito gli aspetti fondamentali per tutelare la sicurezza su WordPress.
Aumentare sicurezza WordPress: Installazione di un certificato SSL
Ma perché dovrei spostare il mio sito da http a https con relativo certificato SSL? La tua domanda di per sé è legittima, sappi solo che i benefici che ne ricaverai saranno talmente considerevoli da farti rivalutare in positivo questa mossa.
Pensa che questo passaggio non andrà a incidere solo sulla sicurezza, ma persino sul posizionamento SEO con tutti i relativi vantaggi che puoi facilmente immaginare.
Da leggere anche: SEO per WordPress: 5 step per una buona ottimizzazione del tuo sito web
Ma tornando alla sicurezza, in che modo l’installazione di un certificato SSL può essere il garante di standard di tutela notevolmente migliorati?
Non è affatto inconsueto che la trasmissione di dati sensibili e/o informazioni personali possano essere “sniffate” durante il trasferimento tra browser e server. Ed è in questi casi che interviene il protocollo https.
Quest’ultimo ha la capacità di criptare l’intero flusso di dati e far sì che vengano decriptati solamente dal server destinatario su cui sarà installato il certificato SSL.
Appare evidente che una soluzione simile sia particolarmente indicata, se non imprescindibile, per tutti quei siti, come gli e-commerce, in cui è prevista l’immissione di dati sensibili e/o riguardanti un pagamento.
Al che potresti giustamente anche domandarti come e dove è possibile procurarsi questi certificati. Prima di tutto devi sapere che i certificati SSL generalmente vengono rilasciati dalle varie autorità di certificazione con un costo che, in base alla loro complessità e alla settorialità delle loro funzionalità, può arrivare anche a diverse centinaia di Euro.
Proprio per questo motivo sono ancora molti i siti che preferiscono rinunciare all’installazione di un certificato SSL credendo di risparmiare. La verità, invece, è che il risparmio si attua nel breve periodo, ma a lungo andare, l’insorgenza di una nuova minaccia informatica farà sì che quella decisione venga a lungo rimpianta.
Scelta di credenziali di admin efficaci
Se prima d’ora ti è capitato di utilizzare WordPress ricorderai senz’altro come il nome utente predefinito di admin fosse….proprio “admin“, non il massimo della sicurezza bisogna dire!
Questa problematica riguardava per lo più le prime versioni di WordPress. Fortunatamente con quelle più recenti è possibile personalizzare a proprio piacimento le credenziali d’accesso sin nella fase d’installazione.
Problema risolto quindi? Non esattamente, la procedura d’installazione è sì molto user friendly, ma proprio per questo, può rappresentare un potenziale pericolo dal momento che molti utenti decidono semplicemente di lasciare invariate le opzioni predefinite, credenziali comprese.
Come procedere quindi? Essenzialmente hai a disposizione 3 diversi modi per modificare il nome utente predefinito.
Il primo prevede che tu vada a creare un nuovo utente amministratore per poi semplicemente limitarti a cancellare quello vecchio. Il secondo, ancora più semplice, prevede che tu utilizzi l’apposito plugin Username Changer. Il terzo, invece, si limita essenzialmente a personalizzare il nome utente da phpMyAdmin.
Ovviamente poi va fatto un discorso analogo per quel che riguarda la password d’accesso. La password rappresenta l’altra metà delle credenziali e come tale è essenziale che risulti la più sicura possibile ad ogni tentativo di sniffing o brute force.
Data di nascita, riferimenti personali, addirittura il proprio nome o quello di un animale domestico, tutte cose che andrebbero bandite del tutto! La cosa migliore da fare è optare per una password alfanumerica con presenza di caratteri minuscoli e maiuscoli, nonché di numeri e caratteri speciali.
Aggiornamenti di WordPress, temi e plugin
Solitamente aggiornare un software o un componente è il modo migliore per assicurarsi degli standard di sicurezza sicuramente migliori e più funzionali al loro scopo.
WordPress non sfugge a questo dogma non scritto, col vantaggio di essere un CMS assolutamente open source e sottoposto ad attività di aggiornamento puntuali e periodiche.
L’aspetto per te più vantaggioso consiste nel fatto che sin dalla sua installazione è possibile settare degli aggiornamenti automatici che riguardano per lo più piccole sottigliezze gestionali e/o dettagli delle varie funzionalità. Laddove però, tu preferisca effettuare degli aggiornamenti manuali non avrai alcun problema.
La cosa però non riguarda solamente WordPress considerato nella sua totalità generale, ma anche le migliaia di temi e plugin di cui il CMS dispone.
Temi e plugin sono solitamente ideati e realizzati da sviluppatori di terze parti, ma puoi stare tranquillo, questo non vuole dire che si tratti di componenti accessori e aggiuntivi destinati a fossilizzarsi in versioni alpha o beta, anzi è proprio nell’interesse dello sviluppatore far sì che la propria creazione sia adeguatamente aggiornata.
Ricordati sempre di aggiornare WordPress e tutti i suoi componenti terzi. In questo modo non solo sarai in grado di aumentarne la sicurezza, ma farai sì che l’intera piattaforma goda di una maggiore impenetrabilità alle minacce esterne.
Da leggere anche: Migliorare le prestazioni di un sito web: 6 suggerimenti per renderlo più veloce
Aumentare sicurezza WordPress: Utilizza plugin per la sicurezza
Esistono un’infinità di plugin per WordPress, tra questi non mancano fortunatamente quelli riguardanti la sicurezza.
Cominciamo col dire che le soluzioni a cui puoi affidarti sono innumerevoli. Se vuoi comunque andare sul sicuro sappi che uno dei plugin più impiegati in tale ambito è Wordfence.
Si tratta di un componente aggiuntivo davvero utile, fornito tra l’altro, di uno scanner mediante cui analizzare l’intero sito. Questo permette di individuare con un altissimo tasso di successo eventuali malware nascosti, oltre a ciò, si è dimostrato particolarmente efficace anche nei casi di attacchi brute force e DDOS.
Le funzionalità base di questo plugin sono totalmente gratuite, tuttavia è presente anche una versione premium.
Last but not least, la procedura di aggiunta a WordPress è assolutamente user friendly.
Perché quindi dovresti optare per un componente simile? La verità è che i plugin relativi alla sicurezza sono molto più utili di quanto apparentemente possano sembrare. Non si tratta di versioni depotenziate di un comune antivirus, ma di vere e proprie opzioni attive capaci di analizzare l’intero sistema e individuare prontamente qualunque minaccia.
Il risultato? Una maggiore sicurezza sia per te sia per i visitatori e una maggiore stabilità, sarebbe davvero difficile chiedere di più.
Conclusioni: aumentare sicurezza WordPress con piccole regole di base
La sicurezza informatica è un tema su cui annualmente vengono spesi miliardi di dollari da parte delle varie compagnie e non può essere un argomento che è possibile trattare esaustivamente in un breve articolo, tuttavia la cosa essenziale è comprendere appieno la sua importanza.
Come hai visto, infatti, non è necessario che tu sia in possesso di chissà quali competenze informatiche per poter mettere sin da subito in sicurezza WordPress o un sito basato su di esso, anche solo la modifica delle credenziali predefinite o semplicemente ricordarsi di mantenere il sistema aggiornato sono piccole cose in grado di fare la differenza.
Concludendo quindi, aumentare la sicurezza del tuo sito WordPress si può? Certamente, a patto di cominciare a seguire delle piccole ma imprescindibili regole di base.
I percorsi formativi proposti dalla Fondazione ITS Servizi alle Imprese
➔ Sei interessato ad un percorso di specializzazione post-diploma focalizzato sul Marketing e l’Innovazione?
Ti consiglio di valutare il nostro corso gratuito biennale: Tecnico Superiore per la Digital Strategy aziendale.➔ Ti appassiona l’amministrazione e gestione d’impresa?
Scegli il corso gratuito biennale: Tecnico Superiore in Amministrazione e Gestione d’Impresa.➔ Sei interessato alla comunicazione d’Impresa ed evoluzione dell’Ufficio Stampa in chiave multimediale?
Scegli il corso gratuito biennale: Tecnico Superiore Ufficio stampa 4.0.
