Come mettere in sicurezza WordPress

Se vuoi imparare a mettere in sicurezza il tuo sito creato con WordPress, in questa guida trovi consigli utili derivanti dall’esperienza che ho maturato lavorando sul mio sito e sui siti dei miei clienti.

sicurezza-wordpress

Per ottenere l’obiettivo che ti sei prefissato, puoi agire su tre fronti:

  • Avere sempre un backup (copia di sicurezza) aggiornato dell’intero sito (quindi sia dei file che del database).
  • Tenere tutto aggiornato (WordPress, temi e plugin).
  • Innalzare delle barriere per proteggerti dai danni diretti e indiretti di un attacco.

Avere un backup (copia del sito) sempre aggiornato

Delle tre strategie che hai a disposizione per mettere in sicurezza il tuo WordPress, questa è la più importante perché è l’unica che ti da un livello di sicurezza del 100% e consiste nel creare una copia del sito (quindi, nel caso di WordPress, dei file e del database).

È una cosa che va fatta costantemente, la cui periodicità dipende dalla frequenza con cui aggiorni il sito (nel senso di pubblicare nuovi contenuti e modificare quelli già pubblicati).

Ci sono varie soluzioni per effettuare backup:

  • Li puoi fare a mano nel senso che scarichi i file e il database sul tuo computer.
  • Puoi usufruire del servizio offerto dal tuo fornitore di hosting (alcuni lo prevedono nel costo dell’abbonamento mentre altri prevedono un costo aggiuntivo).
  • Puoi utilizzare dei servizi esterni che si collegano al tuo WordPress tramite un apposito plugin (sono servizi a pagamento).
  • Puoi usare uno dei tanti plugin disponibili per fare questa cosa (ce ne sono sia di gratuiti che a pagamento con funzionalità in più).

La migliore è usufruire del servizio messo a disposizione dal tuo hosting in quanto i backup vengono generati automaticamente e hai la certezza che funzionino. È fondamentale:

  • Che il backup sia conservato in una locazione diversa da dove si trova il sito altrimenti se un malintenzionato riesce a entrare nella cartella del sito, può corrompere il backup
  • Oppure se c’è un danno alla macchina su cui è caricato il sito, si perde sia il sito che il backup
  • E che sia prevista una procedura di ripristino altrimenti, in caso di necessità, sei costretto prima a scaricare il backup sul tuo PC e poi a caricarlo in sostituzione dei file e del database attuali

Tra i servizi esterni, ci sono VaultPress (della Automattic, l’azienda produttrice di WordPress) e BackupBuddy.

Entrambi offrono diversi profili: quelli con un miglior rapporto costo/funzionalità per singolo sito sono 99 dollari l’anno per VaultPress e 80 dollari l’anno per BackupBuddy.

Con questi profili, VaultPress effettua un nuovo backup ogni giorno conservando gli ultmi 30 effettuati mentre BackupBuddy consente di programmarli mettendo a disposizione 1 GB di spazio.

Entrambi prevedono la possibilità di ripristinare un backup con una procedura guidata e offrono alcuni strumenti per la sicurezza.

Tra i plugin, i più apprezzati sono UpdraftPlus, BackWPup e BackUpWordPress.

Aggiornare sempre tutto all’ultima versione

A cadenza irregolare, vengono pubblicate nuove versioni di WordPress, dei temi e dei plugin: spesso, il motivo degli aggiornamenti, è risolvere uno o più problemi di sicurezza precedentemente individuati.

Aggiornare WordPress, i temi e i plugin gratuiti è molto semplice; lo è meno aggiornare temi e plugin a pagamento. Il vero contro però, è che a volte, effettuare un aggiornamento, può causare dei malfunzionamenti al sito.

A tal proposito, è fondamentale utilizzare un tema e dei plugin affermati e aggionare sempre tutto nel senso che, pensare ad esempio di aggionare solo WordPress e non i plugin, è un suicidio.

Perché dovrei effettuare gli aggiornamenti se mi impegno a tenere un backup aggiornato del sito?

Questa domanda mi viene fatta spesso. Se non effettui gli aggiornamenti, un malintenzionato può bucare facilmente il tuo sito sfruttando le falle di sicurezza presenti.

Ora, se sei sempre davanti al sito, te ne accorgi subito e quindi provvedi a ripristinare il backup: ma in caso contrario? Se non te ne accorgi subito, che succede?

Se Google viene a leggere i contenuti del tuo sito, riscontrando che è stato bucato, lo segnala nei risultati di ricerca. A quel punto, ripristinando il backup, non hai risolto tutti i problemi perché devi anche convincere Google che il sito è di nuovo pulito.

Inoltre, se sul sito arriva un potenziale cliente e vede qualcosa fuori posto o addirittura viene ridirezionato su un altro sito, ad esempio con contenuti per adulti, nella migliore delle ipotesi perdi del lavoro.

Per evitare questi effetti collaterali, è bene prevenire (effettuando gli aggiornamenti) oltre ad attrezzarti per essere in grado di curare in caso di necessità (effettuando i backup).

Innalzare delle barriere

Un’ulteriore step utile a mettere in sicurezza un sito in WordPress è innalzare delle barriere contro gli attacchi. In tal senso, i punti chiave sono:

  • Utilizzare un nome utente diverso da admin e una password il più possibile complicata
  • Bloccare i commenti di spam
  • Cambiare l’indirizzo di accesso all’area di amministrazione
  • Limitare i tentativi di azioni malevoli

Tra i plugin anti-spam, i più apprezzati sono Akismet e Antispam Bee.

Tra quelli per curare la sicurezza a tutto tondo, Wordfence Security, iThemes Security, All In One WP Security & Firewall, Sucuri Security, BulletProof Security.

Perché dovrei innalzare queste barriere se mi impegno a tenere un backup aggiornato del sito?

I motivi sono vari. Ad esempio, bloccare sul nascere gli attacchi a forza bruta. Un attacco di questo tipo, consiste nel tentare di accedere ad un sito inserendo nome utente a password a caso con l’obiettivo di individuare prima o poi quelli giusti.

Quello che avviene tipicamente è che il malintenzionato crea un software che si occupa di effettuare questi tentativi: quando il numero dei tentativi effettuati in un breve lasso di tempo è corposo, le risorse impegnate (mi riferisco alle risorse dell’hosting) possono essere oltre quelle previste.

In tal caso, nella migliore delle ipotesi, l’hosting ti avvisa invitandoti a risolvere subito il problema; nella peggiore, ti blocca rendendo il sito inaccessibile.

Io sono un “piccolo”: che senso ha preoccuparmi?

L’obiezione che mi viene sempre fatta quando parlo di sicurezza è: “Gennaro ma io sono un piccolo, non sono mica la NASA; vuoi che un malintenzionato si metta ad attaccare il mio sito?”

Quello che il malintenzionato fa è creare un software che scandaglia la rete in cerca di tutti i siti che abbiano una certa falla di sicurezza per poi attaccarli. Quindi il malintenzionato crea il software; poi è quest’ultimo che si occupa di attaccare.

Ad esempio, viene scoperto che il plugin Pincopallino nella versione 1.3 contiene una falla di sicurezza. Il malintenzionato crea un software che si metta a cercare i siti che abbiano questo plugin in questa versione e quindi li attacchi.

Questa risorsa ti è stata utile? Se si, supportami
votandola e condividendola così ne potrò creare altre!

Come mettere in sicurezza WordPress
5 (100%) 4 voti

Connettiamoci su Facebook!

Risorsa curata da Gennaro Di Fiandra - Esperto WordPress. Revisionata il .

Benvenuta/o su espertowp.it. Su questo sito utilizzo i cookie per offrirti l'esperienza migliore possibile e gratuitamente
contenuti veramente utili. Proseguendo nella navigazione, approvi i cookie. In alternativa, puoi leggere l'intera informativa