Vai al contenuto principale
BlogLa sicurezzaCome rendere sicuro WordPress: Le basi

Come rendere sicuro WordPress: Le basi

WordPress sicuro

WordPress alimenta oltre il 35% di tutti i siti web del mondo. Tuttavia, anche grazie a un team di sicurezza dedicato e a una comunità mondiale vivace e impegnata, i siti web che si basano su questo sistema di gestione dei contenuti leader del settore sono spesso bersaglio di violazioni della sicurezza.

La verità è che WordPress è sicuro: solo il 14% delle vulnerabilità di sicurezza di WordPress proviene dal nucleo di WordPress e l'organizzazione di WordPress segue processi rigorosi per la correzione di questi problemi. Allora, come fanno i siti web WordPress a essere esposti agli hacker? Il più delle volte, le vulnerabilità di sicurezza derivano da una manutenzione insufficiente.

È importante implementare alcune best practice di base, ma spesso trascurate, per la vostra particolare installazione di WordPress. In questo post esamineremo diversi modi per garantire la sicurezza del vostro sito web.

Iniziate dal vostro server

Prima di fare qualsiasi altra cosa, assicuratevi che il server che utilizzate per eseguire WordPress sia sicuro. Questo processo viene definito " hardening" e aiuta a ridurre il rischio di accesso non autorizzato al vostro server da parte di terzi malintenzionati.

Una delle principali precauzioni di sicurezza che si possono prendere con il proprio server è l'aggiornamento del software. Gli aggiornamenti vanno dalle patch per le vulnerabilità critiche alle correzioni di bug minori e devono essere applicati frequentemente e con un ciclo regolare.

La gestione di un proprio server presenta un'ampia gamma di vantaggi. Il controllo completo vi permette di fare ciò che desiderate, ma la responsabilità di garantire una buona manutenzione ricade sulle vostre spalle. Se state ospitando il vostro sito web WordPress su Linode e non sapete da dove cominciare per proteggere il vostro server, questo documento spiega come proteggere il vostro Linode da accessi non autorizzati.

Se questi passaggi vi sembrano troppo onerosi, prendete in considerazione l'utilizzo di un host WordPress gestito come Pressidium, che si occupa di tutti gli aggiornamenti di sicurezza a livello di server (e di molti livelli di WordPress) per vostro conto.

Aggiornare WordPress

Dopo l'indurimento del server, forse il modo più semplice per mantenere sicuro il vostro sito WordPress è assicurarsi di installare tutti gli aggiornamenti WordPress disponibili. Con un numero significativo di collaboratori (circa 70 sviluppatori hanno contribuito con quasi 5.000 commit al core nel 2019), non sorprende che nella maggior parte dei mesi sia disponibile un aggiornamento. Questi aggiornamenti sono di due tipi: 

  1. Aggiornamenti importanti in cui vengono rilasciate nuove funzionalità. Questi aggiornamenti vengono rilasciati circa due volte l'anno.
  2. Aggiornamenti minori che risolvono eventuali bug o rischi per la sicurezza nella versione corrente. Questi aggiornamenti possono essere distribuiti anche ogni poche settimane.

Se utilizzate un provider di hosting WordPress gestito, questi aggiornamenti dovrebbero essere gestiti automaticamente. Se invece gestite il vostro server, dovrete aggiornare manualmente la versione di WordPress. Accedete a wp-admin e, se è disponibile un aggiornamento, vedrete una notifica nella parte superiore della homepage che vi invita ad aggiornarlo. Seguite le indicazioni e WordPress scaricherà e installerà l'aggiornamento.

Sebbene la maggior parte degli aggiornamenti avvenga senza problemi (soprattutto quelli minori), è consigliabile eseguire un backup del sito web prima di eseguire il processo di aggiornamento. È inoltre opportuno testare attentamente il sito dopo l'aggiornamento, poiché alcuni temi e plugin potrebbero non essere compatibili con l'ultima versione di WordPress.

Aggiornare il tema e i plugin

Oltre al nucleo di WordPress, noterete che i plugin e il vostro tema (se ne utilizzate uno di terze parti da un fornitore come Theme Forest) necessitano di aggiornamenti regolari. Due motivi comuni per cui i plugin e i temi non vengono aggiornati sono:

  1. Il proprietario del sito web dimentica di eseguire l'aggiornamento, soprattutto se è passato un po' di tempo dall'ultimo accesso a wp-admin. 
  2. L'aggiornamento dei plugin e/o del tema di WordPress può interrompere il sito, il che può essere scoraggiante.

È frustrante quando l'aggiornamento di un plugin che dovrebbe richiedere due minuti si trasforma in un lavoro più lungo perché il sito smette di funzionare. Quando si è impegnati nella gestione di un sito web o di un'azienda, non è facile trovare il tempo per risolvere il problema. La tentazione è quindi quella di ripristinare il sito da un backup, lasciando così in funzione i plugin e/o i temi obsoleti.

La stessa situazione può verificarsi con gli aggiornamenti del core di WordPress, quando si installa l'ultima versione e si scopre che una parte del sito non funziona più. La cosa più semplice, ma potenzialmente insicura, è quella di tornare a una versione precedente funzionante e poi non riesaminare il problema.

Questo scenario è esattamente quello su cui si basano gli hacker. Una parte significativa delle violazioni di WordPress avviene sfruttando vulnerabilità note su siti web che utilizzano temi, plugin e core di WordPress non aggiornati. Il costo in termini di perdita di vendite o di danni alla reputazione a causa di un sito violato può essere significativo.

Correggere le vulnerabilità del computer

La sicurezza del vostro server e della vostra installazione di WordPress è importante, ma una postazione di lavoro insicura può compromettere questi sforzi. Ad esempio, se sul vostro computer è stato installato un keylogger maligno, un malintenzionato può raccogliere le informazioni di accesso a WordPress. Assicuratevi che i computer che utilizzate per accedere a WordPress siano privi di malware, spyware e altri virus utilizzando un software antivirus.

Inoltre, proprio come il vostro server, assicuratevi di mantenere aggiornati il sistema operativo e il browser applicando tutte le patch che vengono rilasciate. Se si naviga su siti non attendibili, è anche una buona idea utilizzare strumenti come NoScript per impedire l'esecuzione di contenuti web eseguibili sul computer.

Password e nomi utente

Senza l'autenticazione a due fattori, la password è tutto ciò che si frappone tra il vostro sito web e qualcuno che vuole accedere a wp-admin. Pertanto, è estremamente importante scegliere una password complessa e unica. 

Se avete bisogno di ispirazione per la scelta di una buona password, potete utilizzare uno strumento come 1Password Generator. Utilizzate sempre una password diversa per ogni sito web. Il modo migliore per tenere traccia delle password forti è utilizzare un gestore di password come quello fornito da 1Password.

Altrettanto importante di una password forte è assicurarsi di non usare il nome utente predefinito "Admin":

  • Andate nella sezione Utenti e create un nuovo utente con un nome utente unico.
  • Assegnare a questo utente i diritti di amministratore e impostare una password forte e unica.
  • Uscire da WordPress e accedere nuovamente utilizzando il nuovo nome utente e la nuova password.
  • Tornare alla sezione Utenti ed eliminare l'utente Admin predefinito.

Autenticazione a due fattori

L'autenticazione a due fattori (2FA) sta diventando quasi mainstream. La 2FA conferma le identità dichiarate dagli utenti utilizzando una combinazione di qualcosa che conoscono, che hanno o che sono.

WordPress è una piattaforma perfetta per l'utilizzo della 2FA, che può essere facilmente attivata con un plugin. I plugin 2FA più diffusi sono Duo e Two-Factor, anche se ne esistono altri (basta cercare nel repository dei plugin di WordPress). Con un sistema 2FA attivato, potete essere certi che anche se la vostra password dovesse essere indovinata o ottenuta in altro modo da terzi, il vostro sito web rimarrebbe sicuro.

Utilizzare un plugin di sicurezza

Esistono altri modi per rendere più sicuro il vostro sito WordPress, come ad esempio cambiare i nomi dei database e sfruttare le intestazioni di sicurezza HTTP. Tutti questi metodi richiedono, per la maggior parte, un livello ragionevolmente elevato di conoscenze tecniche e di tempo.

Alcuni dei migliori plugin per la sicurezza di WordPress offrono una gamma significativa di funzionalità, tra cui il monitoraggio delle blacklist, la scansione dei file, la protezione contro la forza bruta, i firewall e altro ancora. Possono offrire modi semplici per rafforzare la sicurezza del vostro sito web in modo rapido e con un'esperienza tecnica limitata.

Esistono numerosi plugin disponibili ma, come per tutti i plugin, è importante utilizzare plugin affidabili e ben collaudati come Securi Security e Wordfence. Ricordate di eseguire un backup del vostro sito web prima di installare un nuovo plugin o di apportare modifiche significative alle sue impostazioni.

Eseguire un backup

I backup possono essere un elemento tristemente trascurato della manutenzione di WordPress. Tuttavia, svolgono un ruolo importante nella sicurezza del sito web. Avere un backup di alta qualità vi dà la massima tranquillità: se dovesse accadere il peggio e il vostro sito venisse violato e gravemente danneggiato, potrete recuperare rapidamente ripristinando un backup precedente. Potrete poi applicare tutti i livelli di sicurezza aggiuntivi necessari per evitare il ripetersi di una violazione.

Un tempo era difficile eseguire un buon backup di WordPress, ma negli ultimi due anni il processo è stato reso molto semplice. Ci sono molte opzioni tra cui scegliere, compresi plugin come UpdraftPlus e sistemi di backup offsite come VaultPress o BlogVault.

Nel prossimo post parleremo di alcune misure avanzate che potete seguire per mantenere sicuro il vostro sito WordPress.


Commenti (3)

  1. Author Photo

    Thanks a lot for providing this valuable content.

  2. Author Photo

    Wordpress can be sometimes confusing if you would want it done professionally unlike doing the free website but thanks to this article, I’m learning more

  3. Author Photo

    It’s surprising just how many people don’t update their Wordpress site to the latest version. According to Wordpress only 44% have updated to the now 5.7 core release which means that more than 50% are still using older versions all the way back to 4.4 and lower.

    It’s a big security risk to have an old version of Wordpress as hackers find vulnerabilities as time passes. So makes sense to stay up to date.

Lascia una risposta

Il vostro indirizzo e-mail non sarà pubblicato. I campi obbligatori sono contrassegnati da *