Seleziona una pagina

SICUREZZA WORDPRESS

Come rendere sicuro un sito creato con WordPress

Stai navigando in internet alla caccia di soluzioni relative a problemi di sicurezza WordPress? Continua a leggere per mettere in sicurezza un sito WordPress, per sapere tutto di plugin sicurezza WordPresssicurezza informatica e su come proteggere il tuo sito web.

Spesso la sicurezza della piattaforma su cui viene sviluppato un sito viene trascurata, ma è sicuramente un aspetto fondamentale. Ti spiegherò come prima cosa gli aspetti fondamentali di un’installazione WordPress sicura e scoprirai come rendere sicuro WordPress senza usare codice attraverso alcuni plugin.

 

 

Inoltre, se vuoi approfondire il funzionamento di WordPress e le altre tematiche relative ai contenuti digitali, la nostra scuola digital Coach mette a disposizione il corso SEO Specialist Certification. Scopri se è il corso giusto per te grazie ai consigli di un consulente digitale. 

 
 
 

WordPress è uno dei CMS (Content Management System) più utilizzati al mondo, pensa che ospita un sito su 7 ed è quindi talmente popolare da essere costantemente sotto il tiro degli hacker. I rischi vanno dal cosiddetto “de-facing” di un sito, cioè il cambiamento del suo contenuto, alla perdita di dati sensibili e del controllo dei server con conseguenze anche gravi.

 

Vulnerabilità di WordPress

Per mantenere un sito protetto è necessario monitorarlo costantemente per poter intervenire prima che sia troppo tardi.
È altrettanto importante conoscere quali sono gli elementi più vulnerabili e soggetti a maggiori probabilità di attacco.
Vediamo insieme i principali elementi vulnerabili di un sito WordPress:

  • La sessione di autenticazione di WordPress, spesso vittima di attacchi conosciuti come “Brute Force”, che utilizzano script automatici per sfruttare le password deboli e ottenere l’accesso al tuo sito. Consistono in una serie infinita di tentativi per scoprire la password. In pratica un bot prova diverse combinazioni fino a trovare l’utente e la password corretti. Ciò è possibile in quanto WordPress non blocca ripetuti tentativi di login, pertanto un bot può provare migliaia di combinazioni in un secondo. Solitamente vengono usati degli algoritmi e dei dizionari per cercare di indovinare le password più comuni.
  • Componenti e plugin realizzati da terze parti. Un codice malevolo viene iniettato in WordPress attraverso un tema infettato oppure una versione vecchia di un plugin. Il malware può estrarre dati dal sito oppure inserire dei link al contenuto.
  • File temporanei contenenti i dati di accesso al CMS.
  • Script e porzioni di codice PHP vulnerabili, considerati la porta di accesso preferita dei malware. PHP è considerato la spina dorsale di ogni sito WordPress, è quindi fondamentale utilizzare sempre la versione più aggiornata, per risolvere bug e problemi di sicurezza.
  • Il database SQL, che contiene tutti i dati di WordPress. Una volta effettuato l’accesso, l’hacker può manipolare il database e ottenere l’accesso come admin o cambiare le credenziali di accesso. Questo è uno dei metodi più vecchi per hackerare un sito: si inietta una query SQL usando un form con l’intento di corrompere il database (SQL Injection).
  • Archiviazione e gestione dei dati sensibili.
  • Versioni obsolete di WordPress. Le vecchie versioni di WordPress sono facili da hackerare in quanto contengono delle vulnerabilità conosciute. È fondamentale mantenere sempre aggiornato il sito WordPress e a tale scopo sono rilasciate continuamente versioni con aggiornamenti di sicurezza.

 

test seo

 

Principali attacchi su siti WordPress

Ecco alcuni degli attacchi preferiti dagli hacker ai danni dei siti web.

 

Cross-Site Scripting

Uno degli attacchi più comuni, conosciuto anche come attacco XSS. Un codice JavaScript viene iniettato in un sito web e lo scopo è solitamente quello di acquisire cookie o dati di sessione, in alcuni casi anche riscrivere l’HTML su una pagina.

 

Denial of Service (DoS)

Tipo di attacco tra i più pericolosi, sfrutta bug ed errori nel codice per compromettere la memoria dei sistemi operativi. In questo modo sono stati compromessi milioni di siti web.

 

Distributed Denial of Service (DDoS)

È la versione evoluta del DoS, che utilizza una sola sorgente ed è quindi più facile da bloccare. Per i DDoS gli attacchi partono da centinaia o migliaia di IP in simultanea, rendendone molto più complicato il blocco.

 

Backdoor

Gli hacker sfruttano passaggi nascosti per ottenere l’accesso a siti web per devastare i server di hosting, attraverso contaminazioni cross-site, ovvero attacchi che compromettono più siti web ospitati sullo stesso server. I backdoor vengono creati utilizzando wp-admin, FTP, SFTP e altri protocolli inserendo codici di reindirizzamento nel sito web, indirizzando il traffico verso siti potenzialmente dannosi.

 

Hai bisogno di aiuto per la tua azienda? Sei preoccupato per la sicurezza del tuo sito web?

RICHIEDI UNA CONSULENZA STRATEGICA GRATUITA

 

Come rendere sicuro un sito WordPress

Iniziamo con l’elencare una serie di best practice in tema sicurezza WordPress che ti permetteranno di metterti al riparo da un attacco hacker.

 

Compra un Hosting sicuro

Il primo passo da fare per mettere in sicurezza un sito WordPress è raccogliere informazioni sull’Hosting, ovvero lo spazio sul quale il nostro sito viene ospitato. Questo è di fondamentale importanza, in quanto il server dell’Hosting contiene fisicamente tutti file del tuo sito e può essere condiviso o dedicato; nel primo caso è più vulnerabile, perché se uno degli altri siti che ospita viene hackerato anche tutti gli altri saranno a rischio.

Un server dedicato ospita invece solo i file del tuo sito e garantisce performance più alte ed è garanzia di maggiore sicurezza. Più avanti vedremo nel dettaglio l’importanza del Back-Up, ma qui è bene ricordare che usare un hosting con cui il salvataggio dei dati avviene in modo gratuito e/o periodico è di grande rilevanza prima di deciderne l’acquisto. Stessa considerazione va fatta per FTP (File Transfer Protocol) per la protezione dei dati trasferiti, meglio ancora l’SFTP. Qui puoi trovare la classifica dei migliori hosting del 2021.

 

Utilizza il protocollo https e attiva un certificato SSL per criptare le informazioni

L’acronimo https sta per HyperText Transfer Protocol over Secure Socket Layer e  protegge la connessione tra client e server. Si riconosce subito grazie al lucchetto chiuso posto a sinistra dell’URL nella barra degli indirizzi del tuo browser. Il lucchetto attesta che il certificato TSL è attivo. Il TSL (Transport Layer Security) è la versione più recente dell’SSL ed il cui utilizzo è dunque fortemente consigliato rispetto alla precedente. Un certificato SSL/TSL permette di mantenere criptate le informazioni che vengono scambiate tra il server e il client, rendendo agli hacker la vita più difficile.

Google preferisce il protocollo https rispetto al classico http in quanto ritenuto più sicuro rispetto al primo. Attenzione: ciò non significa sia inviolabile, ma può garantire maggiore sicurezza al tuo sito WordPress criptando i dati richiesti al server dal browser prima di essere trasferiti. Questi poi vengono decriptati dal client che li riceve e resi consultabili all’utente in maniera più sicura.

 

proteggere sito wordpress

 

Installa temi e Plugin da fonti sicure

Scaricando temi e Plugin da siti poco conosciuti potresti incappare in malware o piccoli programmi il cui scopo è quello di ottenere le password per accedere e modificare il sito web. Puoi trovare tutti i Plugin di cui hai bisogno direttamente dal sito di WordPress. Come riconoscerli? Verifica ad esempio il numero di installazioni, il numero di recensioni e il voto in stelline, a quando risale l’ultimo aggiornamento effettuato (se è recente, non più di 6 mesi l’ultimo aggiornamento) e la proprietà del prodotto.

 

Aggiorna WordPress e i suoi Plugin

Non aggiornando la piattaforma ed i Plugin WordPress installati il sistema diventa vulnerabile. Aggiornali quindi appena escono le nuove versioni ed in maniera costante, in quanto quando WordPress rilascia un nuovo aggiornamento fornisce una lista dei problemi e dei bug della versione precedente, dando così agli hacker meno campo libero. Cerca poi di cancellare i Plugin che non usi più e installare solo quelli principali per il tuo sito. Prima di eseguire l’aggiornamento ricordati di effettuare un backup di tutto ciò che hai salvato sul sito.

 

CORSO WORDPRESS & WEBSITE CREATION

 

Usa password complesse e nascondi i dati di Login

Parlando di sicurezza WordPress è necessario non trascurare anche i dettagli più banali. Scegliendo password semplici da ricordare gli hacker vengono avvantaggiati. Opta quindi per password complesse, inserendo numeri, simboli, maiuscole e minuscole, a livello di pagina o per utente. Esistono anche siti gratuiti di generazione password che possono aiutarti. Altre piattaforme addirittura gestiscono in automatico le tue password, cambiandole periodicamente, come suggerito dallo stesso supporto di WordPress. Puoi, inoltre, scegliere di proteggere interamente il tuo sito WordPress con un Plugin, come “Passowrd Protected“, uno dei migliori. In secondo luogo rendi il pannello di amministrazione di WordPress difficilmente raggiungibile nascondendo il nome utente dell’Admin.

Per farlo, copia nel file functions.php il seguente codice:

add_action(‘template_redirect’, ‘bwp_template_redirect’);
function bwp_template_redirect()
{
  if (is_author())
{
  wp_redirect( home_url() ); exit;
}
}

Anche la pagina del pannello di controllo di WordPress è facilmente individuabile aggiungendo all’url del dominio del sito /wp-admin.php o /wp-login.php. È possibile proteggere la pagina di accesso al pannello di controllo cambiando l’url rispetto a quello di default attraverso l’utilizzo di appositi Plugin: uno particolarmente efficace è HC Custom WP-Admin URL.

 

Modificare il nome utente “admin” predefinito

Lo username è la prima cosa su cui si concentrano gli attacchi di brute force. In passato, il nome utente admin di WordPress predefinito era “admin”. I nomi utente rappresentano metà delle credenziali di accesso e questo rendeva più facile agli hacker effettuare attacchi.
Fortunatamente, WordPress ora richiede di selezionare un nome utente personalizzato al momento dell’installazione, anche se ancora esistono alcuni programmi di installazione che automaticamente impostano il nome utente amministratore come admin.

 

Proteggi i Database

Il tuo database contiene tutte le cartelle del sito ed i dati dei tuoi iscritti o clienti e se viene quindi hackerato può portarti vari problemi. Considera che se hai diversi siti su uno stesso server o database e questo server viene violato, tutti i tuoi siti web saranno a rischio; è quindi buona norma avere un database diverso per ognuno di questi e gestito da utenti separati con differenti credenziali di accesso.

 

Nascondere la versione di WordPress

Ogni versione di WordPress ha delle criticità e vulnerabilità note agli hacker. È buona prassi nascondere la versione di WordPress per rendere più difficoltosa la possibilità di danneggiamento o di intrusione nel sistema.

 

Modifica il file wp-config.php

Uno dei file più importanti della tua installazione WordPress è il wp-config.php, dove sono citati il nome del database sul quale è installato WordPress e le credenziali di accesso al MySql. Per mettere in sicurezza queste preziose informazioni è sufficiente agire sul file .htaccess copiando ed incollando il seguente codice al suo interno:

<Files wp-config.php>
order allow,deny
deny from all
</Files>

 

Utilizza un computer privo di virus

Basta l’installazione di un keylogger sul tuo pc perché tutto ciò che digiti sulla tastiera sia intercettato da malintenzionati. Perciò usa un filtro antivirus affidabile ed esegui frequenti controlli di sicurezza. Infatti, nonostante si presti attenzione alle azioni svolte sul web, è praticamente obbligatorio avere un antivirus. Gratuito o a pagamento? Sicuramente i secondi sono più efficaci per un’alta protezione da attacchi informatici.

 

Autenticazione a due fattori

Questa opzione è attivabile solo attraverso alcuni Plugin quali: “Two Factor Authentication“, Duo Factor Authentication e Google Authenticator tra i più usati che permetteranno, tramite un’app secondaria da scaricare sul proprio cellulare, un’ulteriore autenticazione convalidata dall’inserimento di un codice che apparirà proprio su questa app.

 

Limitare il numero di tentativi di login

Le impostazioni di base di WordPress consentono o un numero illimitato di tentativi di login al back end del sito. Questo consente agli attacchi brute force di avere facilità di accesso al nostro sito provando illimitate combinazioni di username e password. Basta l’istallazione di un plugin per limitare il numero di tentativi di accesso.

 

SCOPRI TUTTI I CORSI SEO

 

Attivare Web Application Firewall (WAF)

È possibile impostare una regola secondo la quale soltanto un determinato indirizzo IP può accedere all’area amministratore. Questa soluzione non può essere utilizzata però su siti che consentono agli utenti l’accesso all’area riservata.

 

Aggiungere domande di sicurezza

Alcuni plugin consentono di aggiungere delle domande di sicurezza alla schermata di accesso di WordPress per bloccare eventuali accessi non autorizzati.

 

Modificare il prefisso del database di WordPress

Come impostazione predefinita, WordPress utilizza wp_ come prefisso per tutte le tabelle nel suo database. Ciò rende più semplice agli hacker indovinare i nomi delle tabelle, ecco perché è vivamente consigliato di modificarlo.

 

Separare i siti su diversi account hosting

Nel caso ci si trovi a gestire siti differenti, è altamente raccomandabile evitare server condivisi, assegnandoli a differenti account hosting. Quando un sito web viene colpito e la minaccia non individuata tempestivamente, è molto facile che si propaghi ad altri domini ospitati sullo stesso hosting.

 

Inserire i CAPTCHA

I CAPTCHA sono considerati un ottimo livello di protezione dai malware. L’acronimo sta per “Completely Automated Public Turing test to tell Computers and Humans Apart” e servono per distinguere gli umani dalle macchine. Per superare il test è necessario copiare in un box delle stringhe di testo poco leggibili, quindi distinguibili dall’occhio umano e non dai bot.

 

Vorresti lavorare nel digitale ma non sai qual è il lavoro giusto per te? Segui il corso gratuito “Lavorare in proprio online“!

ACCEDI AL CORSO

 

Pianificare il Back-Up del sito

Per proteggere il tuo sito, come per il cellulare, è sempre bene pianificare dei backup regolari dei tuoi dati che ti permettono di avere una copia del tuo sito web aggiornata da ripristinare in caso di attacco hacker.

Per eseguire un backup regolare dei tuoi dati puoi utilizzare:

  • I Plugin di WordPress.
  • La funzione Export di WordPress, che permette di salvare i contenuti dei sito.
  • Il backup dell’hosting scelto.

Un famoso Plugin per il backup è UpdraftPlus, sia gratuito che a pagamento: una volta attivato da Impostazioni del back-end di WordPress puoi scegliere quando e su quali file fare il backup.

 

 

Dal back-end di WordPress, da Strumenti, è possibile selezionare l’opzione “Esporta” che ti permetterà di esportare su un file xml: articoli, pagine e/o media. Successivamente potrai importarli sempre dalla funzione “Importa” di WordPress da Strumenti.

Anche il tuo hosting ti permetterà di fare il backup tramite il suo cPanel in cui potrai controllare la frequenza dei backup e le copie salvate prima dell’ultimo backup.

 

Sicurezza WordPress Plugin

Trattando il tema della sicurezza WordPress, è altrettanto importante parlare di Plugin; che tu lo stia utilizzando per creare un sito web o una semplice landing page, ecco i migliori plugin di sicurezza WordPress.

 

sicurezza wordpres

 

Wordfence

Con oltre un milione di download e un rating quasi al massimo, questo Plugin di sicurezza WordPress è uno tra i più popolari. Analizza approfonditamente il sito, esaminando i file WordPress ed il tema e verificando l’eventuale presenza di malware. WordFence effettua inoltre un’approfondita analisi lato server del codice sorgente e rende il sito web sul quale è installato fino a 50 volte più veloce e sicuro. Altre funzionalità permettono di bloccare gli accessi da determinati paesi, include firewall con sistemi di ban per determinati indirizzi IP e traffico fake, e permette di gestire la cache e di monitorare il traffico sul proprio sito in tempo reale.

 

BulletProof Security

Plugin di sicurezza WordPress estremamente versatile, è di semplice installazione e funziona come una sorta di firewall che interviene direttamente sui file limitando intrusioni e furti o perdite di dati. BulletProof Security rende sicuri i file, in primis il file di sicurezza WordPress .htaccess ed i file di configurazione, effettuando dei controlli su tutti i permessi di file e cartelle. Effettua inoltre un’analisi accurata di tema e plugin installati ed inviando una notifica immediata in caso di problemi. Grande attenzione viene poi dedicata al login: questo plugin di sicurezza WordPress è in grado di bloccare un account in seguito a diversi tentativi falliti di login, limitando eventuali intrusioni di bot. Questo Plugin sarà molto di aiuto nel difendere il tuo sito WordPress.

 

iThemes Security

Altro Plugin di facile installazione e dall’interfaccia semplice è iThems Security che consente innanzitutto di incrementare di ben 30 volte i livelli di protezione di un sito web. Le funzioni di sicurezza sono piuttosto ampie e comprendono l’analisi accurata delle vulnerabilità del sito, backup regolari del database, rimozione delle informazioni utilizzate per tentativi di accesso sospetti, rafforzamento delle credenziali di accesso ed attivazione di un vero e proprio antivirus per WordPress.

Questo Plugin di sicurezza è poi in grado di individuare e di bloccare indirizzi IP indesiderati inserendoli in una “lista nera” ad hoc e, come gli altri, invia una email di notifica all’amministratore in caso di tentativi di accesso indesiderati. Questo Plugin offre infine un supporto importante per il rilevamento delle pagine 404, consente di definire una specifica fascia oraria per accedere al pannello di controllo, di modificare il percorso di accesso al pannello di amministrazione e di “obbligare” tutti gli utenti del sito a creare delle password sicure.

Altri Plugin utili per prevenire spam e malware sono: Akismet Spam Protection (utile per commenti indesiderati, Titan Anti-Spam & Security Free WordPress, Antispam CleanTalk, Ceber (per antimalware e protezione di accessibilità).

 

Vorresti ottenere maggiori informazioni da un consulente specializzato? Richiedi una consulenza strategica gratuita!

RICHIEDI UNA CONSULENZA STRATEGICA GRATUITA

 

Perché la sicurezza di WordPress è importante

Una sempre maggiore diffusione di WordPress porta ad interrogarci sui livelli di sicurezza dei nostri siti e sulle “precauzioni” indispensabili da adottare per salvaguardarci da attacchi informatici.

WordPress è ormai uno dei principali CMS open source più utilizzati e chiunque può contribuire al suo sviluppo.
Ciò lo rende da un lato sempre più ricco di temi, plugin e funzionalità sempre nuove, ma dall’altro lato questa apertura porta con sé dei problemi di sicurezza che non devono essere assolutamente sottovalutati.

Ogni nuovo tema o plugin può portare con sé delle vulnerabilità di vario genere, che devono essere costantemente monitorate e tenute sotto controllo per evitare danni al proprio sito e fuga di dati sensibili. Come per ogni software popolare, WordPress è uno dei bersagli preferiti da hacker e malintenzionati di qualsiasi genere, che cercano di sfruttare le vulnerabilità del sistema per poter accedere a dati sensibili o prendere il controllo del server su cui il sito è ospitato.

Ciò che spinge un malintenzionato a forzare l’accesso WordPress del nostro sito è la volontà di collegare qualche suo script al nostro codice per prendere il possesso del server o utilizzare il nostro sito per fare attività criminali (aggiunta di spam, distribuzione di malware, ecc…). In ogni caso avremmo una perdita economica, un danno all’immagine e soprattutto un danno SEO con un declassamento del posizionamento nella SERP di Google.

 

Sicurezza e protezione di dati sensibili

sicurezza wordpressTroppo spesso il tema della sicurezza dei siti viene preso sotto gamba, con conseguenze gravi per il funzionamento dei siti e per il furto di dati sensibili degli utenti.
Basti pensare alla quantità di dati accumulati tramite i commenti nei blog, la registrazione a newsletter, i dati personali rilasciati dagli utenti di un e-commerce.
Secondo l’ultimo aggiornamento del GDPR, il Regolamento Europeo sulla Privacy, in caso di un attacco hacker o di un data breach, la responsabilità ricade sul proprietario del sito web, che deve dimostrare di avere messo in atto tutte le procedure necessarie per mettere in sicurezza WordPress e tutti i dati in esso contenuti.
I programmatori di WordPress rilasciano di continuo nuovi aggiornamenti, proprio per migliorare la gestione del sito e per tenere sotto controllo le principali minacce.

 

Test Sicurezza WordPress

Per finire il nostro discorso su come rendere un sito sicuro, vediamo ora una serie di strumenti per effettuare dei test di sicurezza sul tuo sito web.

  • WordPress Security Scan
  • Strumento gratuito nelle funzionalità base, mentre la scansione avanzata necessita invece di un account premium.

  • Sucuri SiteCheck

    Gratuito. È il portale di un’azienda che lavora nel campo della sicurezza informatica e che ha individuato diverse vulnerabilità sulla piattaforma WordPress. Permette di scannerizzare il sito web inserendo l’URL per rilevare eventuali errori o minacce web oppure c’è la possibilità di gestirlo all’interno di WordPress installando l’omonimo Plugin.

  • Acunetix

    Si può utilizzare senza impegno per 14 giorni previa registrazione.

  • Unmask Parasites

    Sito gratuito. Utile per verificare l’eventuale presenza di malware ed affini, simile a Sucuri.

 

Il tuo sito WordPress è al sicuro?

In questa pagina abbiamo analizzato quali siano i migliori modi e le best practice da seguire per difendere il proprio sito web WordPress da possibili attacchi hacker. Per avere una visione più generale della materia, e per imparare a padroneggiare la piattaforma di content management più diffusa al mondo, un’ottima scelta è quella di seguire un corso di formazione a riguardo, come la Certificazione SEO Specialist. Per saperne di più su date di partenza dei corsi, modalità di frequenza, e altro ancora siamo a tua disposizione.

 

Non esitare a contattarci per qualunque chiarimento sui nostri corsi “digitali”!

SCRIVICI PER SAPERNE DI PIÙ