WordPress può essere considerato sicuro?
Sarò subito chiaro.
Non è possibile garantire la sicurezza al 100% per quanto riguarda un sistema open source ma WordPress, essendo uno dei CMS più utilizzati al mondo, è sicuramente in grado di garantire ottimi standard di sicurezza trovandosi nelle mani di migliaia di ottimi programmatori che ogni giorno si adoperano per creare aggiornamenti sempre più sicuri.
A patto che vengano svolte delle best practice come, ad esempio, effettuare costanti aggiornamenti sia del core di WordPress che dei suoi plugin che dovranno essere sempre scaricati dalla directory ufficiale o da siti sicuri.
Dopo entreremo nello specifico.
Ma chi è che si occupa della sicurezza di WordPress?
“Il WordPress Security Team, in collaborazione con il WordPress Core Leadership Team e supportato dalla community globale di WordPress, lavora per identificare e risolvere i problemi di sicurezza nel software principale disponibile per la distribuzione e l'installazione su WordPress.org, oltre a consigliare e documentare la sicurezza..”
A tal proposito, se hai intenzione di creare un sito WordPress o di approfondire questo tema, ti consiglio di correre a guardare il corso WordPress che trovi all'interno di Marketers Pro, la nostra community premium.
Grazie a questo corso molto pratico acquisirai step by step le informazioni chiave che ti permetteranno di realizzare il tuo primo sito web o blog, anche se parti da zero.
Rischi e vulnerabilità di WordPress
Ogni anno vengono violati migliaia di siti WordPress e so che questo può farti pensare che non sia un CMS sicuro.
Ma non temere, non è così.
In realtà, la maggior parte degli attacchi, non avvengono al core di WordPress ma in altri punti e spesso si tratta di attacchi assolutamente evitabili dagli stessi gestori del sito web.
Ad esempio, non mantenere aggiornato il core del sito web, è un errore grossolano dal momento che il team di sicurezza WordPress e diversi programmatori sparsi per il mondo lavorano proprio al fine di proporre aggiornamenti per correggere le falle del core del sito che risultano le porte maggiormente attaccabili.
Ma non solo questo.
Oltre al core dovrai mantenere aggiornato ogni tuo plugin scaricato ed installato sul tuo sito, in quanto non aggiornarli significa mantenere aperte tante piccole porticine agli hacker.
E ti consiglio anche di cancellare tutti temi e plugin inutili che potresti aver scaricato ma che non utilizzi.
I numerosi plugin sono proprio uno dei motivi che ti può spingere a scegliere WordPress rispetto ad altri CMS poiché lo rende fruibile anche ai meno esperti, ma ricordati che ogni estensione è una mano tesa a chi ha intenzione di entrare nel tuo sito.
Per evitare questo ti consiglio di mantenere aggiornati tutti i tuoi plugin e di scaricarli solo dalla directory ufficiale o da siti attendibili.
Ma vuoi sapere una cosa?
Molti attacchi avvengono proprio a causa di una password troppo semplice da identificare.
Si si lo so, pensi sia un errore banale ma ti assicuro che è una delle porte più utilizzate per riuscire ad entrare nel tuo sito web.
Ma non temere, se adotterai tutte le best practice che WordPress stesso ti consiglia e proteggerai al meglio le credenziali di accesso, il sito risulterà molto sicuro ed estremamente complesso da sfondare.
Ma basta chiacchiere, ora entriamo nel vivo di questa guida alla sicurezza di WordPress.
Guida completa per migliorare la sicurezza di WordPress
Ok, ma quali sono queste best practice da adottare per mantenere un sito web WordPress al più sicuro possibile dagli attacchi di malintenzionati?
Tieni sempre aggiornati WordPress e i plugin
Come abbiamo già detto, una delle cose più importanti da fare è eseguire sempre l’aggiornamento del core di WordPress, dei plugin e dei temi scaricati.
La cosa importante che dovrai ricordare è che per non rischiare di perdere tutti i dati del tuo sito web in caso di attacco dovrai eseguire backup giornalieri (o regolari a seconda di quanto carichi sul tuo sito), così riuscirai a ricostruire il tuo sito in poco tempo e non perderai mesi o anni di lavoro.
Praticare il backup non è solo una pratica utile nel caso di un attacco ma anche nel caso andasse qualcosa storto durante un aggiornamento ed in questo modo avrai comunque a disposizione una copia esatta di quello che era il tuo sito prima dell’evento.
Ma perché gli aggiornamenti sono una best practice importante per la sicurezza?
Perché gli aggiornamenti servono sì a dare nuove funzionalità, ma anche a correggere errori e bug di sistema che sono porte estremamente semplici da sfondare per un hacker.
Oltretutto gli aggiornamenti dei plugin permettono di poter continuare ad essere compatibili anche con le versioni più nuove di WordPress e ciò permette di poter far evolvere al meglio tutto il tuo sito.
Se ti stai chiedendo quando o ogni quanto è necessario eseguire gli aggiornamenti la risposta è molto semplice.
Controlla nella dashboard del tuo WordPress perché è lì che vengono notificati gli aggiornamenti disponibili proprio nella sezione “plugin”.
Utilizza plugin di sicurezza wordpress
Oltre ad effettuare tutti i nostri aggiornamenti è però fortemente consigliato installare dei plugin di sicurezza.
Il primo che mi sento di consigliarti è Wordfence.
Wordfence è un plugin freemium ed ha quindi una versione gratuita ed una premium con un costo di circa 100$.
Una volta scaricato questo plugin dalla directory ufficiale ed installato effettuerà dei controlli in tempo reale sullo stato del tuo sito web in modo da proteggere e prevenire tempestivamente qualsiasi attacco hacker.
Oltretutto, la prima cosa che dovrai fare una volta installato questo plugin, sarà fare una scansione completa del tuo sito web andando a cercare qualsiasi problema di sicurezza come codici maligni, porte posteriori, spam o virus conosciuti.
Un altro plugin di cui voglio parlarti è iThemes Security.
Anche questo plugin ti permette di mantenere al sicuro e proteggere il tuo sito WordPress.
Una volta scaricato ed installato, questo plugin ti farà effettuare come prima operazione un backup completo del tuo sito web.
A questo punto ti compariranno i problemi rilevati suddivisi in ordine di pericolosità: high in rosso, medium in giallo o low in verde.
La prima cosa che ti consiglio di fare è quella di occuparti sempre e velocemente delle criticità in rosso che sono quelle ad alta priorità, per prevenire problemi gravi alla sicurezza del sito.
iThemes ovviamente si occupa anche di monitorare le attività sospette in modo da poter correggere l’ingresso che è stato sfondato durante un attacco riuscito e di bloccare gli attacchi automatici di forza bruta.
Ma non è finita qui.
Con questo plugin potrai anche rafforzare le tue password impostando, ad esempio, anche un’autenticazione a due fattori, potrai scansionare plugin installati e bloccare bot dannosi e spam.
Infine potrà intraprendere in autonomia azioni automatiche per proteggere il sito come ad esempio gli aggiornamenti del core di WordPress.
Cura la sicurezza del login in WordPress
- Modifica URL di Accesso di WordPress: l’URL è importante perché non indica solamente l’indirizzo del tuo sito web ma anche il login che, se non cambiato è “nomesito/wp-admin” per tutti quanti.
Proprio questo rende più facile ad un hacker individuare e provare questo login per entrare nel tuo sito web, cambiarlo quindi, significa diminuire di molto le probabilità di accesso da questa porta.
Per poterlo cambiare, senza avere conoscenze tecniche un po’ più elevate, potrai farlo con l'utilizzo del plugin iThemes.
- Scegli username e password complesse: sembra una banalità ma scegliere password complesse e diversificate per ogni sito o sistema che stiamo utilizzando rimane una delle best practice più semplici, ma anche più efficaci che possiamo utilizzare.
Anche perché, ti assicuro, che non tutti adoperano questa semplice pratica.
Altro consiglio che posso darti è quello di modificare la password frequentemente.
- Imposta le chiavi di sicurezza Salt Keys: come abbiamo già detto rendere forte le tue credenziali di accesso è il primo passo per proteggere al meglio il tuo sito WordPress.
Per rendere ancora più forti le tue password potrai utilizzare le chiavi di sicurezza WordPress, dette Salt Keys.
In pratica sono uno strumento crittografico che scombina completamente la tua password rendendola appunto indecifrabile agli aggressori.
Ricordati però che non sono infallibili e anche queste chiavi andranno cambiate periodicamente, modificando manualmente il codice nel file wp-confing.php oppure con l’aiuto di un plugin.
- Aggiungi autentificazione a 2 fattori: autenticare l’accesso a 2 fattori significa che non basterà più solamente la password per entrare ma sarà richiesta un’ulteriore autenticazione.
Ciò significa che se, sfortunatamente, venisse indovinata la tua password ma la persona non è a conoscenza della seconda chiave di identificazione non riuscirà ad entrare.
WordPress di default ti permette di creare l’autenticazione a due fattori tramite l’utilizzo di un dispositivo mobile che, una volta registrato, ti permetterà di ricevere un codice sempre nuovo per effettuare l’accesso all’admin del tuo sito web.
Nascondi la versione di WordPress ed effettua regolari backup
Nascondere la versione di WordPress dalla sorgente HTML che hai attualmente installata ti permette di nasconderlo anche ad eventuali hacker, evitando che sfruttino i punti deboli di tale versione per attaccarti.
O meglio, renderai loro la vita decisamente più difficile.
Per controllare se la tua versione WordPress è visibile dovrai andare a controllare nel codice sorgente dell’homepage e controllare se sono presenti o meno riferimenti alla versione.
Se non sono presenti la versione del tuo sito non è visibile, in caso contrario ti consiglio vivamente di nasconderla.
Come?
Dalla dashboard clicca su temi e seleziona il tema da modificare e clicca su funzioni del tema (functions.php) e aggiungi questo codice:
remove_action(‘wp_head’, ‘wp_generator’);
Facendo attenzione ad aggiungerlo dopo il: <?php
Utilizza la versione PHP più recente
PHP, acronimo di Hypertext Preprocessor, non è altro che il linguaggio di programmazione che viene utilizzato dal CMS WordPress.
Il problema che può sorgere nel momento in cui non si possiede l’ultima versione PHP è la messa a rischio della sicurezza del sito web e anche l’incompatibilità con WordPress o altri plugin.
Oltretutto un PHP ben aggiornato permette una velocità migliore dell’intero sito web.
Te lo dico subito, anche in questo caso prima di aggiornare la versione PHP è consigliabile effettuare un backup per poter recuperare tutto il tuo lavoro nel caso qualcosa andasse storto.
Altro passaggio fondamentale è verificare prima quale sia la versione attualmente in uso.
Per farlo puoi andare nella sezione salute del sito nella tua dashboard di WordPress > informazioni > server.
Ti consiglio vivamente, prima di procedere all'aggiornamento PHP, di verificare la compatibilità con i tuoi plugin installati perché, se è vero che l’ultima versione di WordPress è anche compatibile con le ultime versioni PHP, non sempre questo è valido per i plugin.
Cosa significa?
Significa che se questo controllo non avviene è possibile incorrere in un blocco di alcune funzioni del sito in quanto riconosce la presenza di temi o plugin che utilizzano ancora una versione PHP meno recente.
Per molti hosting provider, come Siteground ad esempio, è possibile eseguire questi controlli e relativi aggiornamenti direttamente dalla sua bacheca.
Diciamo che la maggior parte dei buoni hosting provider permettono questa funzionalità.
Anzi, prima di acquistare un piano hosting, ti consiglio di controllare sia presente proprio questa funzione.
Scegli un Hosting WordPress con elevati standard di sicurezza
Come avrai intuito da quello che ti ho detto poco fa, nella sicurezza di un sito web WordPress, fa la differenza avere un buon hosting provider che ti permetta di aggiornare e mantenere controllati gli accessi al tuo sito.
Scegliere un hosting affidabile ti permette anche di eseguire attività per la sicurezza del tuo sito che vanno ben oltre il semplice blocco di attacchi e per il quale servirebbero conoscenze tecniche che non tutti possiedono.
Infatti non sempre è sufficiente proteggere esclusivamente WordPress, ma è buona norma utilizzare un server sicuro che ospiti il nostro sito web per essere protetti anche nelle fasi più delicate, come l'installazione o aggiornamenti vari.
Per aiutarti a far maggior chiarezza su questo tema ti consiglio di approfondire nella nostra guida ai migliori hosting di WordPress.
Utilizza HTTPS e un certificato SSL
Intanto facciamo un po di chiarezza.
Il certificato SSL (secure sockets layer) ha l'obiettivo di crittografare tutti i dati che verranno trasmessi tra l'utente e il server, in modo da proteggere qualsiasi dato che viene inserito nel tuo sito web.
Qualsiasi url di un sito che inizi con la struttura https, o mostra un lucchetto, significa che è protetto dal certificato SSL.
Questo significa che è molto semplice da riconoscere e un utente potrà sentirsi anche più sicuro ad inserire dati sensibili come numeri di telefono, indirizzi o numeri di carte di credito all'interno del tuo sito web.
Ma non è finita qui.
Google, e altri motori di ricerca, danno più visibilità ai siti che utilizzano certificati SSL di sicurezza premiandoli nella SERP rispetto ad altri siti che non possiedono questo certificato di sicurezza.
In questo modo, un sito che vuole fare particolarmente attenzione alla SEO, dovrà armarsi di https in modo da permettere una buona user experience all’utente che si sentirà più sicuro di fornire i suoi dati sensibili.
E ti dirò di più, i siti che non hanno un certificato SSL vengono segnalati come non sicuri dal browser.
Chiaro è che una cosa del genere può essere davvero negativa, soprattutto per un sito ecommerce dove avvengono pagamenti al suo interno.
Ma come fare per ottenere un certificato SSL?
La via più semplice e sicura è sicuramente quella di utilizzare un hosting provider che possiede questo certificato nel suo pacchetto, come SiteGround.
Proteggi il File wp-config.php
Il file “wp-config.php” è un file di configurazione presente in qualsiasi sito WordPress che può essere modificato per aumentare la sicurezza del sito.
È chiaro che avere accesso a questi file significa riuscire con molta facilità ad entrare all'interno del sito.
Ma quindi, cosa posso fare per aumentarne la protezione?
Una delle prime cose che ti consiglio di fare, ed anche una delle più semplici, è modificare il prefisso delle tabelle.
Ogni tabella ha una funzione ben specifica e, andando a cambiare nome, l’hacker non saprà più dove trovare le informazioni che cerca.
Mi spiego meglio.
WordPress utilizza il prefisso “wp_” in ogni tabella ed andando a modificare questo prefisso andremo a nascondere il nome reale della tabella e quindi a rendere più difficoltoso capire cosa si trova al suo interno.
Quindi, entra nel file “wp config” e cerca la riga “$table_prefix = wp_” modificando il wp finale con caratteri a caso come xyz ad esempio.
Una seconda cosa che puoi fare è sicuramente quella di nascondere la cartella “wp-config.php” fuori dalla cartella di installazione, proprio per evitare di essere trovata con estrema facilità.
Solitamente questa cartella è all'interno della cartella “public_html”, spostala al di fuori e il gioco è fatto.
Conclusione
Ed eccoci alla fine di questa guida sulla sicurezza per il tuo sito WordPress.
Abbiamo visto che WordPress, essendo il CMS più utilizzato al mondo, ha diverse possibilità di essere sotto attacco hacker ma che noi per proteggerci possiamo fare davvero tanto.
Possiamo ad esempio iniziare semplicemente scegliendo delle credenziali di accesso complesse ed eseguendo un’autenticazione a due fattori.
Ma non solo.
Ricordati di eseguire backup giornalieri ed aggiornamenti ogni qualvolta se ne presentasse uno, facendo però attenzione che le tue versioni siano tutte compatibili tra di loro.
Cerca di scegliere un buon hosting provider che supporti la sicurezza del tuo sito web, senza voler risparmiare a tutti costi per poi ritrovarti con il sito sotto attacco.
Ed ancora…
Ricordati di nascondere la tua versione WordPress, di cambiare nome ai tuoi file di configurazione e di utilizzare il certificato di sicurezza SSL.
Ma prima di lasciarti vorrei darti gli ultimi consigli:
- iscriviti a marketers per rimanere sempre aggiornato sul mondo del marketing digitale ricevendo le nostre mail 20/80;
- accedi alla nostra community per farti contaminare;
- guarda il corso WordPress presente in Marketers Pro per iniziare a creare subito il tuo sito web con le vere procedure Marketers.
A presto,
