Ogni sito, indipendentemente dal CMS (Content Management System) che utilizza, è esposto nel tempo a rischi di sicurezza, siano essi attacchi hacker mirati o frutto di un’attività casuale a tappeto sul web.
Com’è noto, la piattaforma più utilizzata al mondo per la gestione di siti web è WordPress. Sicurezza WordPress: seguendo i 10 consigli di questo articolo sarà possibile diminuire le vulnerabilità del CMS più amato.
I 10 consigli di sicurezza WordPress
Ecco la “to do list”, ossia le attività da effettuare (alcune di esse a cadenza almeno mensile) per mantenere il tuo website al sicuro:
1. Aggiorna regolarmente WordPress
WordPress viene migliorato – anche e soprattutto a livello di sicurezza – ogni volta che viene rilasciata una nuova versione: vengono risolti bug e vulnerabilità. Inoltre, in caso di bug particolarmente dannosi, i key user di WordPress si attiveranno per promuovere la release di una nuova versione sicura. Più non si aggiorna, maggiori nel tempo saranno le minacce per le quali non si hanno strumenti di difesa.
2. Aggiorna i temi e i plug-in
Per lo stesso motivo del punto 1., dovresti aggiornare anche il tema corrente e i plugin che hai installato sul tuo sito WordPress.
Infatti, come succede per la maggior parte dei prodotti software, di tanto in tanto alcuni plugin possono essere violati o si possono scoprire buchi di sicurezza.
Se non utilizzi più un plugin, rimuovilo: non è solo un tema di pesantezza del sito, ma proprio perché inutilizzato non ha senso che venga sfruttata una sua eventuale vulnerabilità per infettare il sito.
3. Effettua regolarmente il backup del tuo sito
Crea una copia di tutti i dati del sito e archiviali in un luogo sicuro: in caso di problemi, potrai ripristinare il sito da quella copia di backup. A volte può capitare se un aggiornamento di un plugin non è compatibile con il tema su cui poggia il sito: ecco che anche un amministratore poco esperto può rimediare facilmente ripristinando l’ultima versione antecedente l’aggiornamento.
4. Limitare i tentativi di accesso e cambiare spesso la password
Non lasciare che il tuo modulo di login consenta un numero illimitato di tentativi di username e password: questo è esattamente ciò che aiuta un hacker ad avere successo. Se gli permetti di provare un numero infinito di volte, alla fine scopriranno i tuoi dati di accesso. Limitare i tentativi disponibili è la prima cosa da fare per evitarlo.
Inoltre, variando periodicamente le password, diminuisci ulteriormente le possibilità di hackeraggio del tuo sito. Con quale frequenza? Una volta ogni 3 mesi dovrebbe essere sufficiente.
Ti sta piacendo l’articolo? Iscriviti alla newsletter di Noi Sicurezza per ricevere altri consigli interessanti sulla sicurezza! (promettiamo di non essere troppo invadenti 😉 Buona continuazione di lettura!
[wysija_form id=”1″]
5. Installare un firewall & soluzioni di sicurezza gestita
Sul tuo pc e la tua rete aziendale
Per i blogger privati: firewall e antivirus di solito proteggono il tuo computer da varie minacce online. In questo modo, ogni attività “strana” che cerca di connettersi con te sarà messa in discussione e tenuta lontana se giudicata sospetta.
Per le aziende: oltre ai sistemi sopracitati è necessario adottare soluzioni di sicurezza informatica avanzata (“sicurezza gestita”), erogati da società che spesso hanno una soluzione “a canone”: servizi di rilevazione allarmi informatici e dispositivi di sicurezza forniti in comodato (e quindi sostituiti in caso di obsolescenza).
Questo non ha nulla a che fare con il tuo sito WordPress (almeno non direttamente), ma l’installazione di un firewall sul tuo computer vale comunque lo sforzo perché utilizzi il tuo computer per connetterti con l’area di amministrazione del tuo sito web: se il tuo computer è stato compromesso, anche la tua connessione con il sito web può essere a rischio.
Sul tuo sito Web WordPress
Oltre all’installazione di un firewall su computer e rete aziendale, devi installare gli strumenti di sicurezza direttamente sul tuo sito Web WordPress. Questo tipo di protezione previene i rischi da virus, malware, attacchi di hacker, ecc.
6. Limitare l’accesso di utenti e amministratori
Se non sei l’unico utente che ha accesso al tuo sito, fai attenzione quando configuri nuovi account con privilegi da utente (o addirittura da amministratore). Si dovrebbe tenere tutto sotto controllo e cercare di limitare l’accesso di qualsiasi tipo agli utenti che non ne hanno necessariamente bisogno.
Se hai molti utenti, potresti limitare funzioni e permessi. Dovrebbero avere accesso solo alle funzionalità essenziali per svolgere il proprio lavoro.
7. Rinominare l’URL di accesso
Un consiglio tanto fondamentale quanto sottovalutato. Per impostazione predefinita, l’URL che utilizzi per accedere al tuo dashboard è wp-login.php o wp-admin, aggiunto dopo l’URL principale del tuo sito. Ad esempio, YOURSITE.com/wp-login.php
Di conseguenza questi due sono anche gli URL più noti (e quindi accessibili) per gli hacker che vogliono accedere nel tuo database. Se modifichi quell’URL, riduci le possibilità di essere attaccato. Scoprire un URL di accesso personalizzato è molto più difficile per gli hacker.
8. Abilitare le scansioni di sicurezza
Le scansioni di sicurezza sono fatte da software / plug-in specializzati che scandagliano l’intero sito Web alla ricerca di qualcosa di sospetto. Se viene trovato qualcosa, viene rimosso immediatamente. Quegli scanner funzionano proprio come gli anti-virus.
9. Usa SSL
Vero che ormai la maggior parte dei siti opera via SSL (Secure Socket Layer), ma è importante ribadirne l’importanza (e non solo per logiche di posizionamento su Google).
Grazie all’SSL è possibile crittografare i dati di amministrazione. SSL rende sicuro il trasferimento dei dati tra il browser dell’utente e il server. Tutto più sicuro, quindi.
10. Proteggi il tuo wp-config.php
Il file wp-config.php è uno dei file più importanti e quindi vulnerabili del tuo sito. Ospita informazioni e dati cruciali sull’intera installazione di WordPress. Tecnicamente è il cuore del tuo sito WordPress. Se viene attaccato, non sarai in grado di usare il tuo sito web.
Anche qui la posizione è fondamentale. Un semplice consiglio: prendi il file wp-config.php e spostalo al di fuori della directory principale di WordPress. Il tuo sito WordPress non sarà interessato da questa mossa, ma gli hacker non saranno più in grado di trovarlo.
Hai trovato interessante questo articolo? Scrivi a Noi Sicurezza per un tuo parere o per qualsiasi dubbio, saremo lieti di aiutarti!
CHIEDI INFORMAZIONI