WordPress è il CMS (content management system) di maggior successo ed è uno dei migliori strumenti per creare un sito web di alto livello velocemente e senza competenze tecniche estreme. Tuttavia come qualunque tipologia di software ha le sue vulnerabilità. E chi riesce a “bucare” il CMS sfruttando le vulnerabilità di WordPress può riuscire a spazzare via anni di lavoro di chi possiede il sito web e mettere a rischio la sicurezza di tutti gli utenti.
Anche se il proprietario di un sito web riesce a mantenere l’accesso al server web dopo un attacco hacker, il possesso di un sito non sicuro anche temporaneamente può indurre Google e altri motori di ricerca a bloccare il sito ed escluderlo dopo una verifica automatica della presenza di malware.
In questo modo un sito, anche se messo subito in manutenzione e liberato dai codici malevoli, può perdere tutto il posizionamento conquistato nei motori di ricerca. Per non parlare degli e-commerce in cui potrebbero venir rubati i dati di pagamento degli utenti con conseguenti furti di denaro. Per questi e tanti altri motivi è importantissimo mettere in sicurezza WordPress.
Per fortuna si possono adottare una serie di misure abbastanza semplici per rendere sicuro un sito WordPress, tra cui installare plugin di sicurezza che lo proteggono, vanno a cambiare l’URL di login automaticamente e tanto altro per rendere il sito sicuro. In questa guida imparerete come mettere in sicurezza un sito WordPress con plugin e metodi semplici, senza aver bisogno di programmatori, sistemisti o altri aiuti esterni.
Mettere in sicurezza il sito con WordPress
metodi seguenti servono per mettere in sicurezza un sito utilizzando solamente WordPress, senza uscire dal CMS. Si tratta quindi di metodi semplici ed effettuabili anche da utenti con poca esperienza e poca conoscenza tecnica. Qualora abbiate bisogno di ulteriore aiuto, essendo Oltrematica un’azienda specializzata in soluzioni web, vi invitiamo a scoprire i nostri servizi e contattarci tramite il form dedicato nella sezione Web del sito. Vi invitiamo infine a non dimenticare che per avere una buona sicurezza è necessario anche un buon hosting.
Installare plugin per la sicurezza: Wordfence
Il metodo più rapido e allo stesso tempo efficace per proteggere e mettere in sicurezza WordPress è installare un plugin per la sicurezza. I plugin sono dei componenti aggiuntivi di WordPress che aggiungono nuove funzionalità al sistema.
Il miglior plugin che vi consigliamo per mettere in sicurezza WordPress è Wordfence, che potete installare accedendo alla dashboard di WordPress, cliccando su Plugin nel menu a sinistra, poi su Aggiungi plugin e infine scrivendo Wordfence nella barra di ricerca in alto a destra. Wordfence è un plugin per la sicurezza WordPress che include un firewall, un anti-malware, il cambio URL della pagina di login e tante funzionalità per proteggere qualsiasi sito web basato su questo CMS.
Mantenere WordPress, plugin e temi aggiornati
Ogni qualvolta che è disponibile un aggiornamento per i plugin, il tema del vostro sito o per WordPress in generale, vi consigliamo di effettuarli al più presto possibile. I componenti non aggiornati sono spesso la via utilizzata dai malintenzionati per attaccare un sito con successo e gli aggiornamenti servono spesso a risolvere anche problemi relativi alla sicurezza.
Per verificare se sono disponibili aggiornamenti per i vostri Plugin basta cliccare su Plugin sul menu a sinistra nella dashboard principale di WordPress. Per verificare invece la presenza di aggiornamenti per i temi bisogna selezionare Aspetto nello stesso menu, quindi scegliere Temi. Gli aggiornamenti di WordPress vengono invece notificati automaticamente con dei messaggi nella dashboard principale (per chi non avesse capito cosa sia la dashboard, di solito è quella che si trova all’indirizzo nomesito.it/wp-admin).
Creare password complesse e gestire i permessi
Non scegliete mai password banali per gli account, se desiderate mettere in massima sicurezza WordPress. Almeno per gli account con privilegi di amministrazione del sito e di modifica di pagine e articoli scegliete password complesse. Per essere complessa, una password deve generalmente avere le seguenti caratteristiche:
- Non essere corta
- Contenere numeri
- Contenere lettere maiuscole e minuscole
- Contenere caratteri speciali
Selezionando la voce Utenti nel menu, quindi Tutti gli utenti e poi Modifica sotto il nome di ciascun utente, è possibile cambiare la password di ogni account e WordPress darà automaticamente anche le informazioni sulla complessità della password. Volendo si può chiedere a WordPress di generare una password complessa automaticamente.
Mettere in sicurezza il sito fuori da WordPress
A volte mettere in sicurezza WordPress con metodi esclusivamente interni a WordPress può non bastare, specialmente per siti web con molto traffico. Per stare più tranquilli, bisogna agire anche esternamente e lo si può fare con i seguenti metodi.
Scegliere un buon hosting
In giro per il web si possono trovare tantissimi hosting in grado di ospitare un sito web. Tuttavia ogni hosting adotta misure di sicurezza e software diversi per proteggere i propri server e i propri data center. Il consiglio è quello di informarsi sulla sicurezza di un hosting e sceglierne uno che offra una protezione consona alle proprie aspettative, anche se ciò vuol dire spendere di più. Un server poco sicuro potrebbe voler dire non solo mettere a rischio la sicurezza del proprio sito, ma anche perdere tutti i dati in modo irreversibile.
Passare a HTTPS
Il protocollo HTTPS serve per mettere in sicurezza WordPress ed il sito per i visitatori. HTTPS è un protocollo per la comunicazione che utilizza una connessione criptata per mettere al sicuro i dati di chi naviga. Inizialmente era importante solo per gli e-commerce in quanto era necessario mettere in sicurezza i dati che gli utenti immettevano sui siti per gli ordini e i pagamenti.
Adesso è diventato un vero e proprio fattore di ranking: Google premia maggiormente i siti che utilizzano il protocollo HTTPS. Per rendere il proprio sito accessibile tramite HTTPS bisogna installare un certificato (anche gratuito) sul proprio server e configurare dei redirect. Per maggiori informazioni, se non siete in grado di farlo da soli, vi invitiamo a contattarci.
Programmare backup
In caso di un attacco hacker, di problemi tecnici al server web o di cambiamenti effettuati per sbaglio, è possibile la perdita dei dati del proprio sito web e delle impostazioni di configurazione di tutti gli elementi di WordPress. Per evitare ciò, è fortemente consigliato effettuare backup periodici e automatici del proprio sito web.
Ci sono tanti plugin WordPress che permettono di farlo, ma il metodo più efficace è impostarli lato server con l’aiuto del proprio hosting o sistemista (molti servizi di hosting hanno già inclusa nel piano hosting la possibilità di effettuare backup automatici).
Affidaci la sicurezza del tuo sito web
Se sei un’azienda ed hai uno o più siti web indipendentemente dal fatto che abbiano installato WordPress o meno, e desideri proteggerli minimizzando il più possibile i rischi relativi alla sicurezza, puoi affidare i tuoi server, i tuoi siti e le tue infrastrutture a Oltrematica.
Offriamo soluzioni web a 360 gradi da oltre 10 anni e possiamo prendere in carico tutta la gestione della sicurezza informatica del tuo sito web. Per maggiori informazioni non esitare a contattarci tramite la nostra infrastrutture e security.