Sia che il tuo sito sia finalizzato alla vendita, sia che si tratti di un semplice blog amatoriale, la sicurezza è un aspetto molto importante, che non devi sottovalutare mai.
WordPress di sicuro è fantastico, una delle scelte migliori per la realizzazione di un sito (in questo articolo ho elencato ben 10 motivi per cui sceglierlo). Non dimentichiamoci però che si tratta del CMS open source più utilizzato al mondo (il 35% dei siti esistenti lo usa): un invito a nozze per hacker e ospiti indesiderati.
Va da sé che mettere in sicurezza il tuo sito WordPress nuovo di zecca, così come mantenerlo protetto nel corso del tempo, è una pratica alla quale non puoi rinunciare per ridurre il rischio di attacchi sgraditi. Come fare?
Nel caso in cui tu non abbia affidato la manutenzione e l’aggiornamento ad un professionista, ci sono alcuni passaggi che puoi eseguire in completa autonomia per proteggere il tuo sito WordPress, senza dover ricorrere all’utilizzo di codice. Vediamo quali.
1. Scegli un buon hosting
Come ti ho spiegato in questo articolo, la scelta dell’hosting è importante per molti motivi, tra cui anche la sicurezza del proprio sito web e dei suoi contenuti.
Un buon servizio hosting offre backup periodici automatici e server ben protetti da efficaci antivirus e firewall.
Nel momento della scelta del tuo servizio hosting hai tralasciato questo aspetto?
Non preoccuparti: verifica ora che ti vengano fornite queste protezioni. Se non sono comprese, valuta un piano di livello superiore oppure scappa via e trasferisci il sito presso un hosting più sicuro!
2. Non usare lo username admin
È un’abitudine ancora molto in voga e, a quanto pare, difficile da debellare.
L’utente “admin” è ancora molto utilizzato per accedere al backend di WordPress, perché molto comodo e semplice da ricordare. Ma non tutti sanno che è anche molto rischioso!
Moltissimi malintenzionati riescono ad accedere ai siti e alle aree private proprio perché viene utilizzato questo username: è il primo nome che provano ad usare per entrare!
Utilizza un nome utente più complesso e personale: sarà più difficile da individuare.
3. Scegli una password forte e cambiala periodicamente
Se è meglio evitare lo username “admin”, allo stesso modo è preferibile lasciar perdere la password “123456” e simili, facilissime da scoprire.
Per una maggiore sicurezza del tuo sito WordPress, scegli password forti, composte da lettere maiuscole e minuscole, numeri e caratteri speciali. Una password priva di significato, inoltre, è molto più efficace. Ometti nomi, date di nascita o informazioni personali facilmente identificabili.
Vuoi aumentare ulteriormente il grado di sicurezza? Cambia frequentemente la password! Puoi pensare, ad esempio, di aggiornarla ogni 3 mesi!
4. Usa un certificato ssl
Usare il protocollo HTTPS è ormai d’obbligo. Esso permette una connessione sicura al tuo sito web, proteggendo i dati che vengono trasmessi ed evitando che cadano nelle mani di soggetti indesiderati. Se vuoi approfondire l’argomento, ho scritto un intero articolo raggiungibile a questo indirizzo.
Moltissimi siti non usano ancora il protocollo HTTPS: li puoi riconoscere con facilità perché vengono chiaramente segnalati come non sicuri dal tuo browser, nella barra degli indirizzi. Se il tuo sito è tra questi devi correre ai ripari e dotarlo di un certificato SSL, che serve proprio per aggiungere quel livello di sicurezza che manca.
5. Utilizza recaptcha
I form contatti sono molto utilizzati per fare spam. Per proteggerti da questo fastidioso problema ti consiglio di appoggiarti al servizio reCAPTCHA di Google.
Si tratta di uno strumento gratuito che individua e blocca i bot che, navigando da un sito all’altro, approfittano dei form presenti per fare attività di spam.
Google mette a disposizione due tipologie di reCAPTCHA: reCAPTCHA v2, che richiede all’utente di identificarsi come umano attraverso il compimento di un’azione, e il nuovo reCAPTCHA v3, che lavora dietro le quinte, valutando l’utente in base alle sue interazioni.
Se per il tuo form contatti utilizzi Contact Form 7, puoi aggiungere reCAPTCHA al tuo sito in modo estremamente semplice, utilizzando l’apposito modulo presente nelle impostazioni del plugin.
6. Installa un plugin per la sicurezza
Esistono dei validi plugin che possono aiutarti a rendere più sicuro il tuo sito WordPress.
iTheme Security, ad esempio, ha molteplici funzioni e ti permette, tra le altre cose, di limitare gli accessi ai file e alle cartelle che compongono il tuo sito, oppure di bloccare l’indirizzo IP dopo un certo numero di tentativi di accesso. WordFence, invece, permette di effettuare degli scan all’interno del sito ed individuare eventuali malware.
Ovviamente non ti basta installare dei plugin per eliminare ogni rischio di attacco, ma è innegabile che possano esserti davvero di grande aiuto, se configurati correttamente.
7. Aggiorna sempre WordPress, tema e plugin
Il codice di WordPress viene costantemente aggiornato e migliorato non solo da un punto di vista funzionale, ma anche a livello di sicurezza. Di conseguenza, per proteggere il tuo sito, è opportuno aggiornarlo sempre all’ultima versione rilasciata.
Lo stesso occhio di riguardo devi averlo anche per i componenti installati, ovvero tema e plugin. Devi sapere che molti problemi di sicurezza derivano proprio da falle presenti in questi componenti, quindi è molto importante che siano sempre aggiornati e compatibili con l’ultima versione di WordPress.
8. Utilizza solo plugin affidabili e aggiornati
Su WordPress esiste un plugin per ogni cosa e il rischio è quello di lasciarsi prendere la mano, minando la sicurezza del sito. Devi sapere che il 52% delle vulnerabilità sono da attribuire all'utilizzo di plugin obsoleti e inaffidabili.
Prima di installare un plugin nel tuo sito assicurati sempre della sua attendibilità attraverso le recensioni e controlla che sia compatibile con l’ultima versione di WordPress.
L’ultimo aggiornamento rilasciato risale a un anno fa? Scartalo senza pensarci due volte e cercane uno più sicuro e aggiornato, per evitare brutte sorprese.
9. Elimina i plugin che non usi
Mi è capitato spesso di vedere siti in WordPress in cui giacevano innumerevoli, vecchi plugin inutilizzati. Il pensiero comune è: “magari lo disabilito ma non lo elimino, mi potrebbe tornare utile” (cosa che il più delle volte non si verifica).
Molto spesso i plugin inutilizzati, in quanto tali, non vengono nemmeno aggiornati ed eccola lì: una bella falla di sicurezza.
Erroneamente si pensa che i plugin disabilitati siano innocui, ma in realtà essi sono comunque accessibili da malintenzionati che possono mettere a repentaglio la sicurezza del sito. Perciò effettua un controllo: ci sono dei plugin che non utilizzi? Eliminali senza pensarci due volte!
10. Esegui backup periodici
Ultimo ma non per importanza: effettua periodicamente dei backup del tuo sito WordPress. Questo è l’unico passaggio che non porta benefici attivi a livello di sicurezza, tuttavia può rivelarsi un prezioso salvagente qualora, nonostante tutte le accortezze, il tuo sito subisca un attacco.
Un backup può essere anche un importante alleato in fase di aggiornamento, qualora qualcosa andasse storto. In entrambi i casi, infatti, ti permetterà di rimettere in piedi il sito senza alcuna perdita.
Come avrai notato, proteggere il tuo sito WordPress riducendo il rischio di attacchi è un’attività che richiede cura e attenzione, ma seguendo queste dieci regole sarai sicuramente in grado di fare un buon lavoro.
Non ti senti abbastanza sicura di procedere in autonomia e preferiresti affidare il compito ad una professionista? In questo caso scrivimi! Sarò felice di aiutarti! ;)
Siti web in Wordpress