La sicurezza di WordPress è una problematica molto seria e diffusa. Infatti, secondo i dati di Google, ogni settimana vengono trovati circa 20.000 siti Web con malware e oltre 50.000 siti per attività di phishing. Proprio per questo, è fondamentale proteggere il proprio sito web e sapere come fare con questa guida alla sicurezza di WordPress.
In realtà, WordPress è di per sé una piattaforma molto sicura, ma quello che potrebbe minarne la sicurezza sono gli elementi aggiuntivi come temi e plugin. Se WordPress è realizzato in maniera accurata dagli sviluppatori, non sempre i diversi componenti sono sottoposti agli stessi rigorosi controlli.
A volte, anche la scelta di una determinata tipologia di hosting potrebbe influenzare la sicurezza del proprio sito web.
Perché migliorare la sicurezza del proprio sito WordPress
Avere un sito web sicuro e affidabile significa avere una piattaforma sempre on-line, accessibile e disponibile, e soprattutto far si che i dati, compresi quelli degli utenti, come password e dati delle carte di credito, siano al sicuro da eventuali malintenzionati.
Gli attacchi hacker, infatti, hanno come obiettivo proprio quello di rubare i dati e di rendere indisponibile il sito web. Un sito web compromesso è un grave danno per l’azienda e non solo in termini di fatturato, ma anche per quanto riguarda la sua reputazione.Senza contare che, poi, ripristinare il sito web avrà comunque un suo costo in termini economici e di tempo da dedicare.
Per capire quanto la sicurezza di un sito WordPress sia importante, basta fare un paragone con il negozio fisico: il titolare ha il dovere di proteggerlo da eventuali malintenzionati che possono danneggiarlo, rubare l’incasso o i prodotti esposti.
Come migliorare la sicurezza di WordPress
Anche se gli attacchi hacker e le attività di phishing sono all’ordine del giorno, è possibile migliorare la sicurezza del proprio sito WordPress prestando attenzioni ad alcuni fattori e facendo le scelte giuste.
Utilizzare la crittografia SSL
La crittografia SSL consente al sito web di utilizzare il protocollo HTTPS, molto più sicuro, invece di quello HTTP. Il simbolo che evidenzia questa funzionalità è il lucchetto che appare accanto all’URL del sito.
Per molto tempo si è scelto di utilizzare il protocollo non sicuro HTTP perché i prezzi per la crittografia SSL erano molto elevati. Tuttavia, l’organizzazione “Let’s Encrypt” ha messo a disposizione dei proprietari dei siti web degli SSL gratuiti grazie anche alla collaborazione con Google Chrome, Facebook e Mozilla. Oggi, basta selezionare questa opzione quando si scelgono i servizi di hosting.
Scegliere un hosting dedicato e WordPress based
La scelta dell’hosting è un passaggio delicato perché, molto spesso, gli hackers sfruttano alcuni proprio gli hosting condivisi per accedere ai vari siti web. Si possono scegliere servizi di hosting condivisi che offrono maggiori garanzie di sicurezza, sicuramente più economici, o in alternativa rivolgersi a hosting dedicati.
Gli hosting WordPress gestiti sono un’ottima soluzione per usufruire di aggiornamenti e backup automatici che garantiscono opzioni di sicurezza più avanzate.
Aggiornare WordPress e i plugin installati
A cadenza regolare, la piattaforma WordPress offre aggiornamenti per rendere il sistema sicuro e funzionale. Mentre gli aggiornamenti di base vengono eseguiti in modo automatico, per l’aggiornamento alle versioni successive questa operazione deve essere fatta manualmente.
Oltre ad aggiornare WordPress è necessario verificare che anche i plugin presenti e il tema utilizzato siano all’ultima versione disponibile, solitamente più stabile.
Attenzione alle password
Molto spesso gli attacchi hacker partono proprio dalle password. Se si scelgono password deboli, ovviamente, la probabilità che qualcuno possa “bucare” il sito web sono elevate.
Scegliere password forti, ovvero costituite da numeri, lettere e simboli, è sicuramente un’ottima soluzione per rendere il proprio sito web più sicuro e, se si utilizzano dei sistemi di gestione, non bisognerà più sforzarsi per ricordarle.
Inoltre, meglio limitare il numero dei tentativi per provare ad effettuare il login. Questo sistema, infatti, apre le porte agli attacchi di brute-force, ovvero agli hacker che tentano di crackare le password dei siti. Per questo motivo, dai uno sguardo anche al XML-RPC: meglio disabilitarlo per limitare le possibilità degli hacker.
I migliori plugin per la sicurezza di WordPress
Per rendere più sicuro il proprio sito web WordPress è possibile affidarsi anche ad alcuni plugin.
Sucuri, un plugin che monitora il sito web
Se si desidera un plug in capace di scansionare il sito web e cercare eventuali problematiche relative alla sicurezza, Sucuri è quello giusto. Dopo averlo scaricato, basterà installare Sucuri Security e generare l’ API gratuita.
Inoltre, grazie a questo plugin che consentirà anche di risparmiare sui costi di gestione del sito web, si potrà utilizzare anche il firewall di Sucuri che effettua una profonda pulizia da eventuali malware.
Sucuri Firewall è molto efficace, ma anche Cloudfare è un WAF (firewall per applicazioni Web) da tenere in considerazione.
WP Security Questions, per gestire l’accesso su WordPress
Un modo per rendere il sito web più sicuro è quello di controllare gli accessi, magari aggiungendo una domanda. WP Security Questions permette di impostare in modo semplice e veloce una domanda di sicurezza per la pagina di accesso. Per farlo, basta andare alla voce Impostazioni.
