Specchio specchio delle mie brame, chi è il CMS più popolare del reame?
La risposta che ci aspetteremmo da uno specchio parlante sarebbe sicuramente WordPress, CMS apprezzato per la gestione di blog e siti internet di diversa natura. Al tempo stesso però rappresenta uno dei target preferiti dai pirati informatici.
Spesso ci capita di acquisire nuovi clienti che precedentemente si erano rivolti a freelance, studi e agenzie per la realizzazione del proprio sito web. Questi clienti arrivano da noi con uno strumento già esistente, magari bello e apparentemente curato, ma ci è sufficiente una veloce analisi preliminare per renderci conto che nella realizzazione è stata seguita una strada prettamente visual, tralasciando gli aspetti importanti per una protezione efficace dei dati. Ecco che la maggior parte delle volte è troppo tardi per prevenire il danno hacker e ci troviamo davanti a situazioni di ripristino parziale o totale del sito, non sempre garantito … E allora torniamo al nostro topic, come rendere WordPress un posto più sicuro?
WordPress e la sicurezza
Se già conoscete WordPress, saprete che il tema della sicurezza è sempre stato preso molto seriamente dal team di sviluppo, ma ciò non basta. Nel momento in cui noi web designer aggiungiamo funzionalità, temi e personalizzazioni al sito, il rischio casistico di hackeraggio aumenta esponenzialmente ed è quindi possibile – se non addirittura doveroso – mettere in atto sistemi di prevenzione per la protezione degli strumenti dei nostri clienti.
Vediamo insieme le principali cause di vulnerabilità di WP e come “prevenire invece che curare”. Se alla fine di questo breve estratto vi sarete appassionati all’argomento, beh avete i nostri contatti anche semplicemente per un buon caffè – naturalmente covid free.
Andiamo al sodo: consigli pratici per la sicurezza di WordPress by QrStudio
Banalmente è sufficiente fare una rapida ricerca su Google per trovare infiniti portali web che dispensano consigli su come rendere WordPress più sicuro, molto spesso con plugin sponsorizzati o codici html. Tuttavia, se siete alle prime armi, questi metodi creano molta confusione. È necessario quindi fare chiarezza sui concetti fondamentali per capire come muoversi, avendo magari a disposizione un sito di prova per effettuare tutti i test del caso.
Il nostro caro collega gabrielerizzi.it lo dice spesso e noi sposiamo la sua teoria a 360°: la parola d’ordine nel web è sperimentare.
Chiariamo subito una cosa: non esistono comandamenti per rendere sicuro WordPress al 100%. Partendo da questa considerazione, vediamo insieme quali accorgimenti è necessario seguire per una corretta messa in sicurezza del tuo sito realizzato in WordPress, secondo la nostra esperienza.
1. Tenere sempre WordPress aggiornato all’ultima versione
Il vantaggio principale nell’utilizzo di un CMS popolare come WordPress è che una grande community di sviluppatori fornisce un numero maggiore di casistiche per il team di sviluppo con conseguenti release, che correggono eventuali bug e rendono WordPress sempre più sicuro. Quando viene scoperta una nuova vulnerabilità, il team di sviluppo rilascia un nuovo aggiornamento al fine di correggerla e tutte le informazioni sugli exploit diventano pubbliche.
Se le prime versioni erano complicate da aggiornare, perché era necessario caricare file tramite FTP o SSH, a partire dalla 2.7 – oggi siamo alla 5.9 – sono stati introdotti gli aggiornamenti automatici del core, rendendo più semplice e veloce il processo di manutenzione. L’ultima versione di WordPress è sempre disponibile sul sito ufficiale wordpress.org.
Raccomandazioni che sembrano piccole, ma sono fondamentali: non scaricare o installare WordPress da altri siti web e prima di eseguire l’aggiornamento eseguite sempre un backup di tutti i file e del database!
2. Usare solo temi e plugins fidati
Uno dei tanti vantaggi nell’utilizzare WordPress è l’incredibile varietà di estensioni. Sul web ci sono moltissimi temi e plugins, tuttavia il consiglio è di usare solo quelli disponibili nell’archivio ufficiale per evitare che gli script contengano codice malevolo o facilmente corruttibile. Vige fondamentalmente la stessa regola dell’utilizzo di WordPress, ovvero: chi è più utilizzato è stato più testato e di conseguenza corretto.
3. Limitare il numero di tentativi di login!
Una delle tecniche maggiormente utilizzate dagli hacker è quella di utilizzare programmi che combinano infiniti username e password, fino a quando non trovano le credenziali esatte.
Un buon accorgimento è limitare il numero di tentativi di login. In questo modo, i malintenzionati potranno fare pochi tentativi in un determinato lasso temporale, permettendoti di monitorare i tentativi di accesso registrando gli IP e proibire l’accesso al pannello di amministrazione. Per seguire questa strada vi consiglio di utilizzare Limit Login Attempts.
4. Occhio alle password
In WordPress è facile capire dove si trova l’accesso al pannello di amministrazione pertanto, una volta arrivati alla pagina di login url/wp-admin, un hacker potrebbe provare una serie di combinazioni. Se il nome utente è semplice da trovare, perché ad esempio compare nei vostri articoli o state ancora utilizzando “admin” di default, agli scassinatori digitali resta solo la password da trovare … e la frittata è fatta.
Il consiglio è quello di utilizzare password complesse con un numero casuale di lettere, numeri e simboli. Una buona accortezza è utilizzarne diverse per ogni sito che utilizzate.
Piccoli accorgimenti per creare delle buone password sono:
- No alterazioni del vostro nome reale/sito internet. Meno informazioni verosimili, low profile.
- No parole prese in prestito dal vocabolario. Gli hacker tendono a utilizzare database di parole.
- No password corte. Se la matematica non è un’opinione, una password più lunga richiede più tempo per essere trovata. Elementare Watson!
- No all’utilizzo di soli numeri o lettere dell’alfabeto. Simboli, lettere e numeri aumentano le casistiche, come abbiamo detto sopra.
Il generatore password di WordPress non è per niente male e propone password complesse e sicure. In alternativa ecco il link un generatore automatico di password, aiuta un bel po’: RoboForm
Ultimo consiglio, eliminate l’amministratore di default e create due utenti, uno con i permessi di amministrazione per eseguire gli aggiornamenti ed effettuare la manutenzione di WordPress, e uno di autore per scrivere e pubblicare articoli. Così facendo all’interno del blog verrà visualizzato solo il nome dell’autore dei post e non l’amministratore dell’intero sito.
In conclusione
Siamo arrivati alla fine di questo topic sulla sicurezza di WordPress. Sia chiaro, questi sono accorgimenti basilari, ma chi non comincia non arriva.
Se questo articolo ha suscitato in te curiosità sull’argomento non esitare a contattarci per fare un check insieme sulla sicurezza del tuo sito. Da QrStudio è tutto per ora, alla prossima!
Ciao, mi chiamo Niccolò Fedele e mi occupo di web marketing. Aiuto le aziende dei più disparati settori a creare strategie di business e di comunicazione per rendere creare una connessione tra lead e clienti fidelizzati. Sono convinto che ogni realtà abbia un valore aggiunto che arricchisce non solo l’economia, ma la società intera; bisogna solo trovare come raccontarlo.
Ciao, mi chiamo Niccolò Fedele e mi occupo di web marketing. Aiuto le aziende a dar vita a strategie di business e di comunicazione. Sono convinto che ogni realtà abbia un valore aggiunto, bisogna solo capire come raccontarlo.
Be more digital!
