“No, WordPress non è sicuro, non va bene per il nostro sito aziendale” oppure “Mi hanno hackerato il sito, colpa di WordPress che non è sicuro”.
Quando incontro un nuovo cliente queste sono le frasi che mi sento dire più spesso. Ma è davvero così, sicuri che sia tutta colpa di WordPress?
Purtroppo la colpa in molti casi (il 90% di quelli su cui ho lavorato) non è di WordPress ma di chi gestisce il sito o peggio ancora di chi lo ha realizzato. Aggiornamenti non eseguiti, password poco sicure o mancato rispetto delle best practice che un professionista dovrebbe seguire quando installa il software.
Povero WP, facile scaricare la colpa su un indifeso CMS Open Source! 🙂
WordPress sicuramente non è perfetto, ma come puoi leggere qui prende il discorso sicurezza molto seriamente, o immune da problemi, come del resto non lo sono Joomla, PrestaShop, Magento o un CMS proprietario.
Ma seguendo poche regole di base e con l’aiuto di un professionista è possibile mantenere il tuo sito al sicuro e dormire sonni tranquilli.
In questo articolo:
Sicurezza in WordPress: le regole base
1# Usare password complesse e poco comuni
Il più comune tentativo di hacking di un sito WordPress è di tipo Brute-force attack, consiste nel tentativo da parte dell’aggressore di accedere al tuo sito, tramite il form di login, provando possibili e teoriche password fino a trovare quella corretta.
Ecco perché la primissima regola per mantenere WordPress sicuro è creare una password unica e complessa – No, mariorossi123 non è una password complessa, questa ad esempio è una password complessa “R*hRPfrXL:6S_ucXd” – solo così potrai cominciare a rendere la vita difficile a chi cerca di hackerare il tuo sito e farai un primo piccolo passo verso la messa in sicurezza di WordPress.
“si, ma come faccio a ricordarmi una password del genere!”
Per generare e ricordare le tue password ti consiglio di usare un password manager tipo 1password o lastpass. Avrai tutte le tue password sempre a portata di mano, anche su smartphone, e dovrai ricordare solo 1 password, quella per accedere al servizio.
2# Limita i tentativi d’accesso alla dashboard
Per rendere la vita sempre più difficile a chi cerca di accedere al tuo sito con un Brute-force attack, il secondo passo è limitare i tentativi di accesso al pannello d’amministrazione (Dashboard), cosa che WordPress di default non fa, permettendo così agli utenti infiniti tentativi.
Come limitare i tentativi d’accesso se non si ha dimestichezza con il codice?
Semplice, puoi installare un plugin come Login LockDown o WP Limit Login Attempts che gestiscono e limitano i tentativi d’accesso falliti.
3# Mantieni WordPress e i suoi plugin aggiornati
WordPress va mantenuto sempre aggiornato, non mi stancherò mai di dirlo. Con ogni nuova versione del software vengono rilasciate correzioni di errori (bug fix), miglioramenti per la sicurezza, ottimizzazioni delle performance e nuove o incrementate funzionalità.
Senza nulla togliere al discorso performance e funzionalità, che comunque sono sempre importanti, il motivo principale per cui il tuo sito in WordPress deve essere mantenuto sempre aggiornato è la sicurezza.
Che tipi di aggiornamenti rilascia WordPress?
WordPress a livello di Core (Motore), rilascia durante l’anno 2 tipi di aggiornamenti: le Major core release updates (es. WordPress 4.9) e le Minor core updates (es. WordPress 4.9.1).
Con i Major core release updates vengono rilasciate grosse modifiche a livello di funzionalità e le modifiche utili al miglioramento delle performance del CMS, mentre con i Minor core updates vengono rilasciati i bug fix e gli aggiornamenti della sicurezza.
Come mantenere WordPress aggiornato evitando problemi?
Una grossa mano arriva proprio da WordPress che dalla versione 3.7 gestisce in automatico l’aggiornamento ai Minor core updates ovvero quegli aggiornamenti che contengono bug fix e aggiornamenti della sicurezza. Altro discorso è per le Major core release updates che devono essere eseguiti manualmente.
Per eseguire un aggiornamento di WordPress in sicurezza, soprattutto un Major core release updates, è sempre bene prima: aggiornare i plugin e controllare che siano compatibili con la versione di WordPress che si andrà ad installare, accertarsi che il tema in uso sia compatibile con l’aggiornamento e soprattutto FARE UN BACKUP DI WORDPRESS, TEMA E DATABASE.
Consiglio: testare prima l’aggiornamento su una versione di test del tuo sito (stage), come facciamo noi in agenzia per i nostri clienti. Fatto il test, quando si è certi che l’aggiornamento non comporta problemi aggiornare il tuo sito (production/live).
Ma ogni quanto devo aggiornare WordPress?
Lascio a te fare il conto, qui puoi vedere tutte le release di WordPress passate, presenti e future.
Quindi basta aggiornare il core di WordPress per stare al sicuro?
Purtroppo no, anche i plugin vanno mantenuti aggiornati, inoltre sui plugin andrebbe aperto un discorso a parte relativo a come sceglierli, ma ne parliamo poi. 😉
I plugin non aggiornati sono la causa più comune quando si analizza un sito hackerato. Non aggiornare un plugin a volte è ancora peggio che non aggiornare WordPress.
Leggi anche: Perché mantenere aggiornato il tuo sito WordPress
4# Fai un backup costante di tutti i tuoi dati
Anche se non attivamente, il backup è una difesa importante contro un eventuale attacco. Il backup permette il ripristino in tempi brevi della tua installazione WordPress e di tutto il suo contenuto e va eseguito in maniera costante e ben organizzata.
Esistono molte soluzioni, free o a pagamento, che permettono di programmare il backup del tuo sito WordPress e del suo database come ad esempio VaultPress, BackupBuddy o WP Time Capsule.
Si, ma come è meglio gestire i backup?
Se hai un sito di piccole o modeste dimensioni, WP Time Capsule è una buona soluzione, è un servizio di backup incrementale facile da installare e disponibile sia in versione free che a pagamento ad un costo contenuto. L’ideale è sempre affiancare questo servizio al sistema di backup offerto dal tuo hosting o comunque avere sempre una seconda copia di backup di tutto il tuo sito. La prudenza non è mai troppa.
Tutti i backup di WP Time Capsule ti consiglio di salvarli su Dropbox o Amazon Drive con cadenza giornaliera magari lanciandoli nel momento di minor carico del sito/server.
Leggi anche: WordPress Backups « WordPress Codex
5# WordPress Hosting
Lo spazio dove andrai a caricare WordPress ricopre un ruolo di vitale importanza per la sicurezza del tuo sito. Mai valutare prima il prezzo e poi il servizio, bisogna sempre affidarsi ad un buon hosting o nel nostro caso, meglio ad un WordPress Hosting come Siteground o WP Engine.
Questi provider specializzati su WordPress conoscono bene le esigenze e i problemi di questo CMS e dei suoi utenti ed in particolare quelli legati alla sicurezza. Per questo mettono in atto tutte le misure necessarie per tenere al sicuro anche lato server la tua installazione WordPress dalle minacce più comuni.
Siteground o WP Engine?
Sono entrambi ottimi servizi con un’assistenza clienti degna di nota per rapidità, efficienza e preparazione. La scelta è da fare principalmente in base alle risorse richieste dal sito che andremo a caricare.
Siteground offre il servizio di assistenza in italiano (24 ore su 24 – 7 giorni su 7), ha data center anche a Milano e un ottimo rapporto qualità prezzo. I servizi di hosting shared (condivisi) offrono tutto quello che serve per siti di piccole/medie dimensioni e servizi di WordPress Cloud Hosting Managed per siti di grandi dimensioni.
Per acquistare i servizi su Siteground: clicca qui
WP Engine offre il servizio di assistenza solo in inglese (24 ore su 24 – 7 giorni su 7), ha data center in Europa (Inghilterra e Belgio). I costi del servizio sono decisamente più alti confrontati con Siteground, il loro servizio base parte da $ 29 al mese ma vale ogni centesimo pagato.
Per acquistare i servizi su WP Engine: clicca qui
5 + 1# Non sei sicuro, chiedi aiuto ad un professionista.
5 regole di base le abbiamo viste, regole semplici e facili da applicare, che rendono WordPress un po’ più sicuro.
Ma queste operazioni non sono certo tutto. Per rendere WordPress sicuro bisogna intervenire anche lato server e sui file di configurazione della sua installazione.
È qui, in questa fase che la tentazione è forte, ma prima di mettere mano al codice dovresti fermarti un secondo e farti un paio di domande:
-> Conosco veramente WordPress e so dove mettere le mani?
-> Ho un piano B in caso che qualcosa vada storto?
Se anche solo per una di queste domande la tua risposta è NO… Ecco, è questo il momento di chiamare un professionista per aiutarti a mettere al sicuro WordPress.
Se ti serve aiuto oppure semplicemente un consiglio, contattaci, saremo ben felici di darti una mano.
Hai mai avuto problemi con WordPress legati alla sicurezza?
Faccelo sapere nella sezione commenti qui sotto!