La sicurezza del sito WordPress è uno dei temi decisivi per ottenere dei buoni risultati dalla tua presenza online. Il motivo di quest’affermazione? In primo luogo Google tende a penalizzare i siti che sono pericolosi per gli utenti, quelli che fanno spam e che sono stati violati. Ecco perché è sempre importante monitorare la search console e gli avvisi di malware.
Poi metti a repentaglio la tua autorevolezza e non puoi rischiare di incappare in un problema capace di mettere offline il tuo lavoro. I tuoi clienti non possono aspettare, soprattutto se hai un ecommerce. Vale a dire un sito web da usare per vendere online.
Cosa significa questo? In primo luogo devi assicurarti di avere un hosting di qualità al tuo servizio, con un backup giornaliero (se possibile orario) e un buon meccanismo per rendere la vita difficile ai malintenzionati. Sto parlando di Firewall hardware, da sempre una certezza. Ma poi? Come rendere sicuro e affidabile un blog su WordPress? Ecco una serie di consigli utili.
Argomenti
Inizio da una regola base: mai lasciare che gli aggiornamenti si accavallino. Questa è una brutta abitudine che rischia di portarti verso dei problemi perché spesso, non sempre, gli update riguardano patch di sicurezza che servono a evitare danni.
Ciò vale per i temi, ma anche per i plugin e per il CMS. Precauzioni da prendere? Fare un backup prima di qualsiasi azione, soprattutto quando si effettuano aggiornamenti di major release. Come è accaduto, ad esempio, con WordPress 5.0 che ha stravolto l’editor. Meglio aggiornamenti automatizzati o manuali?
Io preferisco controllare ogni update e assicurarmi che sia compatibile con quanto ho già installato. Quindi ho chiesto al mio provider di settare come opzione la disinstallazione degli update automatizzati su WordPress.
Aspetto importante: fai sempre attenzione ai plugin WordPress che installi. Se non ricevono aggiornamenti da molto tempo (la directory ti avvisa) probabilmente possono essere a rischio. Perché in caso di bug nessuno può accorgersene in anticipo.
Questa piccola attenzione ti permette di migliorare il blog in sicurezza, senza dover fare dei backup improvvisati (assicurati che il tuo hosting abbia sempre un servizio adeguato). Dai sempre uno sguardo alle recensioni, possono svelare in anticipo i problemi.
Da leggere: impostare pagina statica come home page
Questa è un’attenzione per garantire la sicurezza di navigazione. La presenza di un protocollo SSL per attivare l’HTTPS sul sito garantisce a chi inserisce dati di avere un passaggio criptato al server in modo da evitare possibili falle e furti d’informazioni.
Ma quale certificato SSL scegliere? Dipende dalle tue esigenze e necessità. Basta avere Let’s Encrypt se hai esigenze minime. Ma se vuoi una certezza in più ci sono diverse soluzioni a pagamento. Anche quella che mostra il nome dell’azienda nell’URL.
Per quanto possa essere banale, la gestione delle parole necessarie per entrare nei tuoi account (admin, cPanle, FTP e tutto il resto) è centrale per aumentare e migliorare la sicurezza del sito WordPress. Come generare password sicure?
Puoi lavorare con il tool www.roboform.com e conservare le combinazioni in un luogo sicuro. Attenzione, non essere dipendente da un’unica persona e neanche solo da te stesso: gestisci sempre le password in modo che possano essere recuperate.
WordPress ha un editor che ti consente di modificare il codice dalla dashboard. Questa funzione è un rischio per la sicurezza: meglio disattivarla. Puoi farlo aggiungendo una stringa (quelal che vedi in basso) codice nel file wp-config.php.
// Disallow file edit
define( 'DISALLOW_FILE_EDIT', true );
Una certezza che può aiutarti a mantenere il sito sicuro e affidabile: devi scegliere un hosting di qualità capace di garantirti affidabilità rispetto a traffico sospetto. E condivisione del server con siti di dubbia qualità. Non sempre il costo ridotto è un affare.
Come vengono bucati i siti web? Secondo il sito wpwhitesecurity.com la maggior parte dei danni arriva da problemi di hosting, che non riescono a garantire la massima sicurezza. I grandi progetti scelgono VPS e server dedicati per avere garanzie rispetto a chi condivide lo spazio hosting, ma puoi ottenere buoni risultati anche scegliendo un servizio di qualità.
Lo sai che i nostri server hanno anche la possibilità di essere affiancati da BitNinja con analisi log, black e whitelist management? Questa soluzione consente di avere una sicurezza in più, per scoprire di cosa si tratta puoi dare uno sguardo alla pagina ufficiale.
Una fonte di guai può arrivare da un uso abnorme dei metodi per inviare messaggi, email e commenti. Per questo ti consiglio di stroncare sul nascere qualsiasi intenzione malevola. Come contrastare i pericoli per la sicurezza di WordPress?
Aggiungi campi captcha per i moduli in cui c’è la necessità di aggiungere dati e inviare contenuti generati dall’utente. Assicurati anche che tutti i link siano nofollow. A tal proposito puoi dare uno sguardo al prossimo paragrafo nel quale consiglio una serie di plugin WordPress per tutelare la sicurezza generale del sito.
Ci sono una serie di punti deboli che un sito WordPress deve curare con grande attenzione. Per risolvere questi problemi devi essere in grado di modificare l’htaccess per aggiungere stringhe di codice specifiche per fare in modo che tutto sia più sicuro.
Puoi chiedere aiuto a un webmaster, in alternativa semplifichi il lavoro con un plugin WordPress la sicurezza. Qualche nome specifico? Di sicuro puoi usare l’estensione BulletProof Security. Perché questo nome è così importante? Ecco cosa puoi fare:
Chiaro, non puoi avere la stabilità di una personalizzazione effettuata a mano da un bravo webmaster. Ma è un punto di partenza. Inoltre puoi dare uno sguardo a questo articolo dedicato ai migliori plugin per aumentare la stabilità di WordPress.
Per proteggere al meglio la tua pagina di accesso puoi aggiungere un ulteriore step per l’accesso. È possibile aggiungere un’ulteriore protezione tramite password lato server che bloccherà le richieste malevole e gli attacchi di brute force.
Per scongiurare i tentativi di manomissione da parte di hacker che vogliono danneggiare il tuo lavoro devi anche cambiare URL di ingresso, tutti sanno che sarà www.esempio.com/wp-login.php. Anche chi vuole far danni. In questi casi consiglio di usare il plugin Protect WP Admin che offre tutte le sicurezze del caso.
I malintenzionati hanno sempre vita facile sulle versioni di WordPress non aggiornate. Per nascondere in modo preventivo questo dato puoi seguire le informazioni lasciate da Matt Cutts che suggerisce di celare il dato aggiungendo questa stringa.
<meta name=”generator” content=”WordPress <?php bloginfo(’version’); ?>” /> <!-– leave this for stats please -->
La presenza di tanti malintenzionati sul web è accertata. C’è chi si presenta con un’azione di commenti spam, chi tenta un attacco DDoS per far esaurire le risorse del tuo server. Questo avviene con richieste continue. Per evitare problemi devi avere a disposizione un buon plugin per attivare il firewall su WordPress. Scegli e installa quello che preferisci, ti difenderà da malware.
Un buon motivo per usare un buon plugin di firewall? Per impostazione predefinita, WordPress consente agli utenti di provare ad accedere tutte le volte che vogliono. Questo rende il tuo sito vulnerabile agli attacchi di brute force, e con un firewall puoi facilmente contrastare questi eventi. In alternativa puoi usare il plugin Login LockDown che limita i tentativi di accesso errati.
Certo, hai creato una password robusta. Ma il nome utente per accedere rappresenta una buona parte dei tuoi contatti per accedere al sito. Quindi devi rendere difficile la vita anche su questo fronte e non usare la semplice parola admin.
WordPress ti permette di selezionare un nome utente personalizzato all’avvio, se però ti dimentichi di farlo o un’istallazione facilitata salta questo passaggio puoi attivare quest’opzione in modi differenti. Qualche esempio concreto su come muoversi?
Crea un nuovo nome utente amministratore ed elimina quello vecchio, aggiorna il nome utente da phpMyAdmin, usa il plugin Username Changer. Senza dimenticare che molte estensioni per la sicurezza di WordPress aggiungono questa funzione.
Come ho detto è sempre importante aggiornare il CMS perché ti consente di evitare bug e problemi di sicurezza del sito WordPress. Ma con la versione aggiornata c’è una novità: si lavora per una struttura migliore, più veloce e più sicura.
Con alcuni strumenti essenziali soprattutto per amministratori e sviluppatori. Ad esempio con questa versione trovi le prime funzionalità di Site Health. WordPress inizierà a mostrare notifiche agli amministratori di siti che usano versioni obsolete di PHP.
Un caso concreto: quando installi un plugin, Site Health controllerà la versione di PHP con il quale viene eseguito. Se il plugin ne richiede una obsoleta, WordPress ti impedirà di installare quell’estensione. Per maggiori informazioni c’è make.wordpress.org.
C’è da aggiungere questo: per aumentare la sicurezza del tuo sito web devi utilizzare un hosting con le giuste protezioni, con le verifiche utili per bloccare le minacce che potrebbero vanificare il tuo lavoro. Qualche soluzione utile? Noi di Serverplan abbiamo le idee chiare e per i nostri web hosting abbiamo una base di sicurezza invidiabile:
A tutto ciò si aggiunge il certificato SSL gratuito Let’s Encrypt già installato. E per chi sceglie l’hosting WordPress è disponibile un plugin ben noto a chi vuole proteggere il proprio sito web e blog dallo spam, ovvero l’estensione per inserire il CAPTCHA nei form. In questo modo non puoi subire attacchi via email o commenti.
Per avere in mano la situazione devi agire con buon senso. Per ottimizzare la stabilità del sito WordPress devi svolgere azioni semplici per avere una buona base di partenza. Poi ci sono alcuni passaggi tecnici che puoi ottimizzare con il tuo webmaster o con plugin specializzati. Da dove inizia il tuo lavoro di ottimizzazione? Come hai deciso di operare per avere buoni risultati?