Per migliorare la sicurezza di un sito web WordPress la base di partenza è chiara: devi scegliere un hosting affidabile e gestito con sguardo attento. Perché in questo modo puoi avere un monitoraggio alla base che ti consente di prevenire attacchi digitali di diverso tipo, come quelli brute force o l’infezione delle pagine web da parte di malware. Ma per proteggere un sito web devi fare qualcosa in più.
Ad esempio, bisogna lavorare sulle buone e cattive abitudini che contraddistinguono la gestione ordinaria del portale. A volte basta una disattenzione o una superficialità per lasciare le porte aperte ai malintenzionati. In realtà non bisogna essere esperti di web security o hacker etici per proteggere un sito web: basta ragionare con la stessa ottica del buon padrone di casa. Qualche esempio?
Argomenti
La base per proteggere il tuo sito web: aggiornare in modo costante. Se hai deciso di usare WordPress, magari grazie a un hosting con questo CMS preinstallato e ottimizzato come fa Serverplan, devi anche gestire questo aspetto della sicurezza.
Devi installare versioni migliorate dei temi, delle estensioni e del CMS stesso: qui non solo trovi nuove funzioni ma anche patch e aggiornamenti per prevenire falle nella sicurezza.
Quando uno sviluppatore trova un elemento di debolezza lo risolve con un aggiornamento. Ecco perché o ti prendi cura di aggiornare in modo costante il sito web o attivi un hosting con aggiornamenti automatizzati che si occuperà di gestire questo aspetto.
Per proteggere il tuo sito internet da qualsiasi grande inconveniente, anche da disattenzioni che possono interessare il tuo staff, conviene avere sempre a portata di mano un backup completo e giornaliero.
Di solito, gli hosting professionali mettono a disposizione un servizio interno e se hai delle esigenze specifiche puoi richiedere il backup orario, indispensabile per siti web di grandi dimensioni che nell’arco di una giornata possono effettuare un gran numero di modifiche. Per approfondire, puoi dare uno sguardo alla nostra guida per effettuare una copia di sicurezza da cPanel.
Uno dei modi migliori per proteggere il sito web da minacce esterne: la valutazione attenta dei plugin. Spesso, quando abbiamo bisogno di una funzione extra ci affidiamo alle estensioni che sono una soluzione rapida ed efficace per risolvere il problema.
In realtà ci sono delle controindicazioni importanti. In primo luogo, l’eccesso di questi elementi può portare a un incremento esponenziale di codice, Javascript e CSS che non sono sempre utili al funzionamento del portale. Questo però può avere delle ricadute negative sulla velocità di caricamento delle pagine web e sui Core Web Vitals, peggiorando l’esperienza di navigazione.
Inoltre, alcuni plugin non vengono aggiornati in modo costante e diventano delle backdoor perfette per consentire ai malintenzionati di hackerare il tuo sito. Quando vedi che un plugin non viene aggiornato da diverso tempo, che mantiene la compatibilità con una versione di WordPress molto vecchia e non risponde alle domande degli utenti nella directory ufficiale vuol dire che stai rischiando.
Quando gestisci un sito web e decidi di lavorare sulla sua protezione attiva devi anche organizzare diverse password, ma anche relativi nomi utente e indirizzi di login. Ed è qui che lasci le chiavi di casa sotto lo zerbino: il ladro guarda subito dove già sa che spesso trova ciò che vuole. Se questi tre elementi sono sempre gli stessi, il malintenzionato può entrare nel tuo sito internet in tempi record.
Per decifrare una password semplice di 6/8 caratteri bastano pochi secondi (fonte kaspersky.com). Quindi, se vuoi proteggere il tuo sito web devi scegliere chiavi d’ingresso articolate, con caratteri speciali e maiuscole. Al tempo stesso, scegli un nome utente che non sia il classico admin e cambia indirizzo del login WordPress. Per farlo, basta usare il plugin WPS Hide Login, semplice e poco invasivo.
Ormai è un mantra che tutti ripetono ma è giusto ricordarlo in questa guida dedicata alla protezione attiva e concreta del sito web: devi avere un certificato SSL per proteggere i dati che l’utente inserisce sul tuo portale. Come, ad esempio, nome, email ma soprattutto numeri di carta di credito e altre informazioni sensibili. Ora, di default su un hosting dovresti avere un certificato gratuito, Let’s Encrypt. Il quale può essere attivato facilmente da cPanel, in piena autonomia.
Proteggi i dati del tuo sito in modo sicuro
Bastano poche operazioni per attivarlo; ciò che puoi fare per proteggere il sito web e i tuoi utenti è valutare l’acquisto di un certificato SSL avanzato, con delle opzioni più selettive e controlli efficaci. Questa opzione è fondamentale per proteggere i dati su siti web particolarmente complessi e interessati da un traffico di dati delicati come, ad esempio, ecommerce o portali di prenotazioni. Senza dimenticare le società finanziarie, i portali turistici dedicati alle prenotazioni e i siti web che erogano servizi medici.
Questa tecnica arriva direttamente dall’archivio della cybersecurity più avanzata ma, al tempo stesso, più semplice e basata sul buon senso. Per proteggere il tuo sito web devi concedere il minor numero possibile di privilegi agli altri utenti e per il minor tempo possibile.
Spesso i collaboratori che scrivono articoli vengono accolti con privilegi di amministratore, che ha delle possibilità enormi e non necessarie. Poi, quando la collaborazione finisce, l’utente rimane e può accedere al backend: questi sono gravi errori che non devi commettere. Secondo la logica del privilegio minimo, devi ridurre le possibilità di intervenire sia in termini di opzioni che di tempo.
Da leggere: come migliorare il sito web con cPanel
Vero, la conclusione del discorso è questa: se scegli un hosting performante e di qualità hai già una buona parte dei task coperti. Se vuoi proteggere il tuo sito web non è possibile ignorare le fondamenta: avere un hosting con backup giornaliero automatico, controllo Bitninja, firewall, aggiornamenti automatici e anti-malware vuol dire avere le spalle coperte da un’infrastruttura IT importante.
