Web Hosting Tutorial

Manuali, guide e tutorial ed utilità del mondo Hosting linux by Hosting-ocusfocus.com

Wordpress

WordPress e sicurezza

DiHosting-ocusfocus.com

Ott 17, 2021 , ,

WordPress è sicuro ?

La domanda, legittima, è se WordPress sia effettivamente sicuro. La risposta è senza dubbio sì. Un’occhiata alle statistiche di sucuri relative a presenza di malware e attacchi hacker sembra però dimostrare il contrario.

Per evitare di esporti a rischi, un ottimo punto di partenza è seguire alcuni accorgimenti per la sua manutenzione.

La sicurezza, per definizione, è riduzione del rischio. È importantissimo tenerlo sempre a mente, perché mettere in sicurezza il tuo sito WordPress significa di fatto ridurre il pericolo a un livello accettabile.

Così come ha senso installare un antifurto satellitare su un’automobile di valore ma non su una vettura da rottamare,la scelta di proteggere un sito WordPress deve seguire lo stesso principio. Si tratta, in poche parole, di trovare un compromesso tra rischio e investimento, e lasciare che a farlo sia un professionista esperto di WordPress come per esempio uno sviluppatore.

I passaggi base per proteggere il tuo sito web e mettere in sicurezza WordPress sono molto semplici e sintetizzabili in cinque interventi chiave:

  1. esegui backup periodici (verifica anche se sono previsti anche nel tuo piano hosting)
  2. monitora WordPress con un plugin specifici come Wordfence
  3. ricordati di aggiornare WordPress  e i suoi vari componenti installati;
  4. aggiungi il tuo sito a Google Search Console;
  5. usa il protocollo sicuro HTTPS per tutte le comunicazioni (web, email, invio dati a sistemi esterni)

Con questi accorgimenti alzerai uno scudo sul tuo sito, e potrai a intervenire in caso di attacchi. Ora vediamo come rinforzare le pagine di accesso per evitare intrusioni non autorizzate.

Proteggi la pagina di login WordPress

La maggior parte delle minacce ai siti WordPress arriva dalla pagina di login: per gli hacker, infatti, e molto facile penetrare nei siti con credenziali poco sicure.

I tentativi che hanno come obiettivo l’accesso alle pagine di ingresso sono chiamati in gergo tecnico “brute force” (attacchi di forza bruta), e consistono in una serie infinita di tentativi di login con combinazioni casuali di nome e password.

Per questo assicurati di dedicare il giusto tempo per adottare contromisure per rafforzare il tuo sito.

Scegli uno username diverso dallo standard “admin”

La prima cosa che devi fare è modificare l’account di default “admin” che viene creato da WordPress al momento dell’installazione. Variare questa impostazione automatica è una prima mossa semplice ma fondamentale: l’username standard è il primo su cui si concentrano gli attacchi di brute force. Purtroppo WordPress non permette di cambiare il nome utente, ma basta installare il plugin Easy Username Updater e potrai farlo.

Per rinominare l’utente, vai nella sezione “Utenti” del pannello di controllo del tuo sito. Sotto la voce “Username updater” potrai cercare l’utente admin da modificare e cambiare il suo nome.

Per ridurre i pericoli, assegna sempre il giusto ruolo ai tuoi eventuali collaboratori e tieni i loro profili attivi solo per il tempo necessario. Se affidi a una persona il tuo blog aziendale, per esempio, sarà sufficiente un ruolo di “autore” per consentirle di scrivere e pubblicare gli articoli. Quando non ti servirà più, elimina quell’utente.

Usa delle password forti

Ormai dovrebbe essere una regola scontata, ma spesso si usano delle password davvero troppo semplici. I classici “123456” o “nomecognome” non possono garantirti il giusto livello di sicurezza. Con un codice d’ingresso sufficientemente complesso, invece, diventa molto più difficile forzare il tuo sito.

Per essere davvero efficace, una parola chiave deve essere di dieci lettere o più e deve avere:

  • almeno un carattere maiuscolo
  • almeno un carattere minuscolo
  • uno o più numeri
  • uno o più caratteri speciali come ?, !, €

Se imposti una parola d’accesso con queste caratteristiche hai poco di cui preoccuparti. Per avere password sempre diverse puoi anche scegliere di affidarti a un generatore automatico per ottenere sequenze di testo e lettere casuali in modo semplice e veloce.

Rafforzare le credenziali di accesso garantisce un alto livello di protezione: il malintenzionato di turno si troverà davanti una serratura molto difficile da scassinare.

Se vuoi davvero blindare l’ingresso al tuo sito ci sono poi alcune misure ulteriori che puoi adottare, che richiedono qualche competenza in più.

Rimuovi i plugin non utilizzati

Se WordPress è una casa, i plugin sono le porte e le finestre da proteggere.
Ridurre il numero di porte e finestre equivale quindi ad aumentare la sicurezza (e anche la velocità del tuo sito, perché i plugin tendono a rallentare le pagine!).

Consigliamo di:

  • Disattivare i plugin che non servono;
  • Rimuovere i plugin e i temi che sono disattivati, perché anche loro possono essere target di attacchi.

Esistono dei plugin (uno fra tutti WordFence) che permettono di impostare un doppio livello di controllo per entrare nel pannello di gestione. Dopo aver inserito i tuoi dati d’ingresso ricevi infatti una notifica che ti informa che qualcuno sta cercando di introdursi nel sito. Per proseguire dovrai digitare il codice usa e getta ricevuto sul tuo smartphone o scansionare il QR code comparso in un’apposita applicazione, come Google Authenticator.

Con l’autenticazione a due fattori saprai quando qualcuno sta usando le tue credenziali: un ottimo modo per impedire accessi indesiderati.

Pensare che il certificato SSL sia sufficiente per la sicurezza è un mito da sfatare

C’è una certa confusione attorno al certificato SSL e al protocollo HTTPS. Sono requisiti sempre più importanti per la sicurezza e per il posizionamento sui motori di ricerca, ma non riguardano la protezione da malware.

Adeguarti al protocollo HTTPS consolida la fiducia del pubblico, ma non serve per tutelarti dagli attacchi informatici. Il certificato SSL non è un sistema di difesa per i tuoi dati, ma permette solo di proteggere la trasmissione di informazioni tra il tuo sito e i visitatori attraverso la crittografia.

Come vedi, esistono diverse misure per proteggere il tuo sito WordPress in modo efficace. Per dormire sonni tranquilli, però, non devi mai trascurare una sua corretta gestione.

Ecco alcuni plug-in che possono essere utili alla sicurezza del tuo sito WordPress in base alle tue reali necessità:

Di Hosting-ocusfocus.com

Articoli correlati

Wordpress

WordPress, ambiente di staging

Ott 28, 2022 Hosting-ocusfocus.com
Applicazioni CMS Wordpress

WordPress, XML-RPC.php

Lug 5, 2022 Hosting-ocusfocus.com
cPanel/WHM Pillole Plesk Wordpress

WordPress Toolkit

Apr 10, 2022 Hosting-ocusfocus.com

You missed

Pillole

Download del backup di Softaculous

Feb 27, 2023 Hosting-ocusfocus.com
AntiSpam - RBL - Blacklist Pillole

Quando la tua posta non arriva a destinazione

Feb 10, 2023 Hosting-ocusfocus.com
cPanel/WHM

cPanel – Il download della copia di backup

Gen 21, 2023 Hosting-ocusfocus.com
Plesk

PLESK – Come scaricare il backup

Gen 4, 2023 Hosting-ocusfocus.com