Guide e Tutorial

Come aumentare la sicurezza del tuo sito WordPress: 4 azioni fondamentali

La sicurezza di WordPress rappresenta veramente un tema che oggigiorno è bene approfondire e possibilmente migliorare, laddove sia possibile, nei suoi vari aspetti principali?

Sapevi che secondo una recente analisi del sito specialistico W3Teches circa il 40% di tutti i siti web è basato su un CMS open source?

Di per sé la cosa non dovrebbe affatto stupirti, dopotutto, al giorno d’oggi, questa tipologia di CMS ha raggiunto una professionalità tale che riesce a competere anche con soluzioni decisamente più professionali e settoriali.

La cosa però che dovrebbe stupirti è che tra tutti questi siti, WordPress attualmente gode di una quota di mercato superiore al 60%. Parliamo di percentuali bulgare che solo in minima parte riescono a restituire l’importanza di ciò che rappresenta.

Quindi in definitiva sì, incrementare il livello di sicurezza di WordPress rappresenta una necessità fondamentale, soprattutto se pensi che quotidianamente Google inserisce in blacklist circa 10mila siti web a causa dei malware.

Ma quali sono le reali minacce che possono riguardare WordPress?

Le tipologie di attacchi informatici che possono colpire WordPress sono diverse, si va dalle iniezioni di SQL al download di file pericolosi in locale, dall’attraversamento di directory al Cross Site Scripting, senza ovviamente tralasciare le backdoor PHP.

Un sito basato su WordPress, come hai visto, può potenzialmente rappresentare una minaccia concreta per la sicurezza. Ti starai quindi chiedendo se sia possibile o meno incrementarne la sicurezza, la risposta è positiva, purché ci si ricordi di intensificare i propri sforzi su 4 scenari ben specifici che ora andremo a vedere.

Ecco di seguito gli aspetti fondamentali per tutelare la sicurezza su WordPress.

 

Installazione di un certificato SSL

Ma perché dovrei spostare il mio sito da http a https con relativo certificato SSL? La tua domanda di per sé è legittima, sappi solo che i benefici che ne ricaverai saranno talmente considerevoli sin nell’immediato da farti rivalutare in positivo questa mossa e da fugare qualsiasi dubbio.

Pensa che questo passaggio non andrà a inficiare solo sulla sicurezza, l’argomento cardine dell’articolo, ma persino sul posizionamento SEO con tutti i relativi vantaggi che puoi facilmente immaginare.

Da leggere anche: SEO per WordPress: 5 step per una buona ottimizzazione del tuo sito web

Ma tornando alla sicurezza, in che modo l’installazione di un certificato SSL può essere il garante di standard di tutela notevolmente migliorati?

Non è affatto inconsueto che la trasmissione di dati sensibili e/o informazioni personali possano essere “sniffate” durante il trasferimento tra browser e server ed è in questi casi che interviene il protocollo https.

Quest’ultimo ha la capacità di criptare l’intero flusso di dati e far sì che vengano decriptati solamente dal server destinatario su cui sarà installato il certificato SSL.

Appare evidente che una soluzione simile sia particolarmente indicata, se non imprescindibile, per tutti quei siti, come gli e-commerce, in cui è prevista l’immissione di dati sensibili e/o riguardanti un pagamento.

Al che potresti giustamente anche domandarti come e dove è possibile procurarsi questi certificati. Prima di tutto devi sapere che i certificati SSL generalmente vengono rilasciati dalle varie autorità di certificazione con un costo che, in base alla loro complessità e alla settorialità delle loro funzionalità, può arrivare anche a diverse centinaia di Euro.

Proprio per questo motivo sono ancora molti i siti che preferiscono rinunciare all’installazione di un certificato SSL credendo di risparmiare. La verità, invece, è che il risparmio si attua sì nel brevissimo periodo, ma in quello medio-lungo l’insorgenza di una nuova minaccia informatica farà sì che quella decisione venga a lungo rimpianta.

 

Scelta di credenziali di admin efficaci

Se prima d’ora ti è capitato di utilizzare WordPress o siti basati su questo CMS ricorderai senz’altro come il nome utente predefinito di admin fosse….proprio “admin“, non il massimo della sicurezza bisogna dire!

Questa problematica riguardava per lo più le prime versioni di WordPress, fortunatamente con quelle più recenti è possibile personalizzare a proprio piacimento le credenziali d’accesso sin nella fase d’installazione.

Problema risolto quindi? Non esattamente, la procedura d’installazione è sì molto user friendly, ma proprio per questo può rappresentare un potenziale pericolo dal momento che molti utenti decidono semplicemente di lasciare invariate le opzioni predefinite, credenziali comprese.

Come procedere quindi? Essenzialmente hai a disposizione 3 diversi modi per modificare il nome utente predefinito.

Il primo prevede che tu vada a creare un nuovo utente amministratore per poi semplicemente limitarti a cancellare quello vecchio; il secondo, ancora più semplice, prevede che tu utilizzi l’apposito plugin Username Changer; il terzo e ultimo, invece, si limita essenzialmente a personalizzare il nome utente da phpMyAdmin.

Ovviamente poi va fatto un discorso analogo per quel che riguarda la password d’accesso. La password rappresenta l’altra metà delle credenziali e come tale è essenziale che risulti il più sicura possibile e inattaccabile a ogni tentativo di sniffing o brute force.

Data di nascita, riferimenti personali, addirittura il proprio nome o quello di un animale domestico, tutte cose che andrebbero bandite del tutto! La cosa migliore da fare è optare per una password alfanumerica con presenza di caratteri minuscoli e maiuscoli, nonché di numeri e caratteri speciali.

 

Aggiornamenti di WordPress, temi e plugin

Come regola generale dell’informatica vuole, solitamente aggiornare un software o un componente è il modo migliore per assicurarsi degli standard di sicurezza sicuramente migliori e più funzionali al loro scopo.

WordPress non sfugge a questo dogma non scritto, col vantaggio tra le altre cose di essere un CMS assolutamente open source e sottoposto ad attività di aggiornamento puntuali e periodiche.

L’aspetto per te più vantaggioso consiste nel fatto che sin dalla sua installazione è possibile settare degli aggiornamenti automatici che riguardano per lo più piccole sottigliezze gestionali e/o dettagli delle varie funzionalità, laddove però tu preferisca effettuare degli aggiornamenti manuali non avrai alcun problema.

La cosa però non riguarda solamente WordPress considerato nella sua totalità generale, ma anche le migliaia di temi e plugin di cui il CMS dispone.

Temi e plugin sono solitamente ideati e realizzati da sviluppatori di terze parti, ma puoi stare tranquillo, questo non vuole dire che si tratti di componenti accessori e aggiuntivi destinati a fossilizzarsi in versioni alpha o beta, anzi è proprio nell’interesse dello sviluppatore far sì che la propria creazione sia adeguatamente aggiornata.

Ricordati sempre di aggiornare WordPress e tutti i suoi componenti terzi, in questo modo non solo sarai in grado di aumentarne la sicurezza, ma farai anche sì che l’intera piattaforma goda di una maggiore stabilità e impenetrabilità alle minacce esterne.

Da leggere anche: Migliorare le prestazioni di un sito web: 6 suggerimenti per renderlo più veloce

 

Utilizzare plugin per la sicurezza

Esistono un’infinità di plugin per WordPress, tra questi non mancano fortunatamente quelli riguardanti la sicurezza.

Cominciamo col dire che le soluzioni a cui puoi affidarti sono innumerevoli, se vuoi comunque andare sul sicuro sappi che uno dei plugin più impiegati in tale ambito è Wordfence.

Si tratta di un componente aggiuntivo davvero utile, fornito tra l’altro di uno scanner mediante cui analizzare l’intero sito o piattaforma e individuare con un altissimo tasso di successo eventuali malware nascosti, oltre a ciò si è dimostrato particolarmente efficace anche nei casi di attacchi brute force e DDOS.

Le funzionalità base di questo plugin sono totalmente gratuite, tuttavia è presente anche una versione premium per sbloccare tutte quelle opzioni avanzate che possono risultare vitali in molti frangenti.

Last but not least, la procedura di aggiunta a WordPress è assolutamente user friendly.

Perché quindi dovresti optare per un componente simile? La verità è che i plugin relativi alla sicurezza sono molto più utili di quanto apparentemente possano sembrare, non si tratta di versioni depotenziate di un comune antivirus, ma di vere e proprie opzioni attive capaci di analizzare l’intero sistema e individuare prontamente qualunque minaccia.

Il risultato? Una maggiore sicurezza sia per te sia per i visitatori e una maggiore stabilità, sarebbe davvero difficile chiedere di più.

 

Conclusioni: aumentare sicurezza WordPress con piccole regole di base

La sicurezza informatica è un tema su cui annualmente vengono spesi miliardi di dollari da parte delle varie compagnie e non può essere un argomento che è possibile trattare esaustivamente in un breve articolo, tuttavia la cosa essenziale è comprendere appieno la sua importanza.

Come hai visto, infatti, non è necessario che tu sia in possesso di chissà quali competenze informatiche per poter mettere sin da subito in sicurezza WordPress o un sito basato su di esso, anche solo la modifica delle credenziali predefinite o semplicemente ricordarsi di mantenere il sistema aggiornato sono piccole cose in grado di fare la differenza.

Concludendo quindi, aumentare la sicurezza del tuo sito WordPress si può? Certamente, a patto di cominciare a seguire delle piccole ma imprescindibili regole di base.

 

I percorsi formativi proposti dalla Fondazione ITS Servizi alle Imprese

➔ Sei interessato ad un percorso di specializzazione post-diploma focalizzato sul Marketing e l’Innovazione?
Ti consiglio di valutare il nostro corso gratuito biennale: Tecnico Superiore per la Digital Strategy aziendale.

➔ Ti appassiona l’innovazione e la sostenibilità e vuoi diventare un esperto di Logistica e Processi aziendali 4.0?
Scegli il corso gratuito biennale: Tecnico Superiore per la Logistica 4.0.

➔ Sei interessato alla comunicazione d’Impresa ed evoluzione dell’Ufficio Stampa in chiave multimediale?
Scegli il corso gratuito biennale: Tecnico Superiore Ufficio stampa 4.0.

 

Share
Published by
Daniele Senigagliesi

Questo sito usa i cookies.