Accorgimenti comuni per la sicurezza di un sito WordPress

“Il mio sito gira che è una meraviglia, l’unico inconveniente è che ricevo tanto spam!!”

“Ho pagato oro quel sito, e dopo 1 anno me lo hanno hackerato”

Riprendiamo ancora una volta alcune frase celebri che alcuni di voi avranno sicuramente letto e/o sentito.

Avere un sito visivamente ben fatto e con ottime prestazioni non necessariamente implica che esso sia anche sicuro.

Scopriamo nei prossimi paragrafi perchè è importante proteggerci da:

  • Backdoor
  • Redirect Malevoli
  • Tentativi di Accesso Brute-force
  • Denial of Service (DoS)

Partiamo con un’anticipazione: la sicurezza dei siti web deve sempre riguardare 2 fronti, ovvero la parte sistemistica e la parte applicativa.

Se ne curiamo solo una è come “chiudere la porta principale lasciando aperta la secondaria ;)”

La sicurezza lato hosting: avere un antivirus è sufficiente?

NO!

Ci dispiace deludere le vostre aspettative ma, come detto prima, non è sufficiente.

Sono necessari più livelli di sicurezza sia hardware che software per garantire che tutta l’infrastruttura sia in grado di difendersi dalle più svariate minacce, sia fisiche che virtuali.

Di base è necessario avere almeno un firewall per le minacce hardware e un antivirus/antimalware per le minacce software.

Il tutto, se fosse condito con l’aggiunta di una CDN come Cloudflare, sarebbe ancora più efficace.

Sicurezza WordPress in fase di login

Se avere un hosting sicuro è importante è altrettanto importante avere un applicativo sicuro.

Da dove partire quindi per bloccare eventuali tentativi di intrusione? Beh, assicurarsi di avere un accesso sicuro al pannello di amministrazione del proprio sito è sicuramente uno dei primi passi da sfruttare.

Su WordPress, come ben sapete, c’è un indirizzo di default che viene utilizzato per richiamare la schermata di login al pannello di amministrazione strutturato come segue: www.nomedominio.ext/wp-admin/

Per cambiare l’indirizzo di accesso a WordPress, consigliamo di utilizzare il seguente plugin gratuito: WPS Hide login.

Aiutiamoci con alcuni plugin per per la sicurezza di WordPress (non installate plugin gratuiti scaricati da torrent o simili)

Quindi, ricapitoliamo:

  • Siamo su un hosting sicuro
  • Abbiamo messo in sicurezza il nostro pannello di controllo

Pare che sia sufficiente no?

E invece…NO!

E’ necessario agire su altri 3 punti molto importanti:

  • Attivare un monitoraggio costante degli accessi e dei tentativi di accesso
    Consigliamo il plugin Wordfence
  • Mettere in sicurezza le chiamate XML-RPC se non utilizzate
    Consigliamo il plugin Disable XML-RPC
  • Attivare un sistema antispam sulle form
    Consigliamo l’aggiunta di Google reCAPTCHA su ogni form del sito web (che siano di contatto o di registrazione non importa, TUTTE devono essere protette)

Sono sufficienti questi plugin per la sicurezza di wordpress per considerare il nostro sito come “sicuro”?

La risposta è SI, se la consideriamo come “protezione di base”. Azioni aggiuntive sono pur possibili ma richiedono delle competenze avanzate che non tutti hanno. Se secondo voi è necessario valutarle, il nostro consiglio è affidarsi a veri esperti di WordPress.

Mettere in sicurezza un sito WordPress senza protezione

Come potete dedurre dal titolo non è tutto perduto se notate che sia necessario mettere in sicurezza il vostro sito in WordPress dai più comuni attacchi.

Potete sempre mettere una pezza (se non vi hanno già hackerato).

Ecco quindi che ripercorrere i passaggi elencati in precedenza non solo vi permetterà di dormire sonni “tranquilli”, ma potrete dire che il vostro sito è bello, performante e…..(rullo di tamburi)….sicuro!

 

P.S: quasi ci stavamo dimenticando…..dovete ciclicamente tenere aggiornati core e plugin!