Una domanda che spesso mi viene posta riguarda la sicurezza di WordPress.
Il ragionamento è semplice: wordpress è un software open-source liberamente accessibile, il suo codice è leggibile e studiabile (anche dai malintenzionati).
Quindi è possibile che dei gruppi di hacker, o meglio cracker, ingegnino un sistema per hackerarti il sito e fare i loro porci comodi.
Allora WordPress è sicuro o no? Mi fido ad usarlo per creare il mio sito??
Non giriamoci attorno: sì, è possibile che un sito wp venga compromesso!
Ma ciò è possibile in qualsiasi altro sito web strutturato con un linguaggio di programmazione dinamico e un database (è possibile anche per i siti statici, creati solo con html).
Detto ciò ci sono delle disposizioni che renderanno sicuro il tuo sito wordpress. Seguile -almeno le prime 8- come se fossero parte di un testo sacro.
Un minimo di attenzione e cognizione di causa quando stiamo creando il nostro sito wordpress, ci permetteranno di poter utilizzare tutte le potenzialità del maestoso WordPress, facendoci allo stesso tempo dormire sonni tranquilli 😉
1. Prefisso tabelle installazione
Quando installiamo wordpress manualmente (quindi non con la procedura agevolata di cpanel o di altri manager) ci verrà chiesto quale prefisso usare per le tabelle del database.
Senza troppo complicarci la vita per capire che cos’è la tabella di un database, consiglio di cambiare il pre-impostato wp_ in una sequenza CASUALE tipo ak7_
Infatti avere un sito impostato con delle variabili “non-standard” sicuramente aumenta il grado di sicurezza di tale sito.
2. No admin please
Lo stesso vale per l’utente admin: NON USIAMOLO.
Per lo stesso discorso che abbiamo fatto per il prefisso tabella è meglio usare un utente amministratore con account diverso dal pre-impostato admin.
Possiamo scegliere semplicemente il nostro nome.
3. Usa password sicure
Questo dovrebbe essere un comandamento da aggiungere alla lista dei 10 più famosi al mondo.
Password sicura = password complessa = password difficilmente hackerabile
Con password complessa si intende una combinazione:
– minimo di 8 caratteri (meglio 12)
– caratteri alfanumerici
– testo minuscolo e MAIUSCOLO
– anche caratteri speciali .,-_$!@
Ti manca la fantasia? Usa questo tool.
4. Vuoi essere fico? Aggiorna!
I tempi passano, le mode cambiano, il codice si aggiorna, il core di wp cambia e i plugin aggiungono nuove funzioni.
E tu che fai, mentre wordpress è alla versione 4.2? Rimani alla 3.0??
NON VA BENE
Per tutto il discorso che ho fatto all’inizio (codice aperto e leggibile) è possibile che vengano trovati bug e punti deboli sia in wp, sia nei plugin e sia nei temi.
Non dobbiamo essere maniaci e controllare aggiornamenti di continuo.
Verificare ed aggiornare UNA VOLTA AL mese è sufficiente a mantenere il sito sicuro.
Ah, comunque, wp ha anche implementato gli aggiornamenti automatici, quindi niente scuse!
5. Plugin pochi E buoni
I plugin sono forse il punto più critico della sicurezza di wordpress.
Dobbiamo scegliere i migliori, quelli più usati e testati e inoltre dobbiamo tenerli aggiornati.
E mi raccomando:
– occhio al numero (meglio pochi plugin anche per migliorare la velocità del sito)
– disinstalliamo i plugin che non ci servono
6. Template
Anche i template posso avere delle falle quindi vanno sempre aggiornati.
Scegliamo temi conosciuti e sicuri, scaricati dalla repository ufficiale come WordPress.org o marketplace dove i temi vengono controllati da team di esperti come Themeforest.
MAI scaricare template premium (quindi che hanno un costo) dai siti di download free illegali.
In primo luogo stiamo rubando (sì è come rubare al supermercato) e poi è possibile che quei template siano modificati ad hoc per bucare i siti.
Come per i plugin, il nostro sito deve avere installato solo temi che usiamo: ogni sito wp può avere ovviamente solo 1 tema attivo, oltre ad esso lascia installato soltanto un altro tema, in caso di emergenza può essere utile.
Tutto il resto, via.
7. Ripeti con me: Backup, Backup, Backup
Non spiego l’importanza dei backup per non offendere la tua intelligenza.
Non si sa mai cosa possa succedere in futuro. Potrebbero nascere anche dei problemi all’hosting. Pensi stia scherzando? Sai che qualche anno fa un datacenter Aruba è andato a fuoco?
Noi che siamo previdenti dobbiamo effettuare un backup regolare e soprattutto salvare tale backup “all’esterno”. Infatti se l’hosting sarà compromesso dobbiamo poter recuperare tutto da un altro “luogo digitale”. Possiamo usare Dropbox, Drive, Amazon s3 o un altro server.
Per il plugin posso certamente consigliare il grauito BackWPup oppure a pagamento il superbo Vaultpress (creato dallo stesso team che ha creato wp).
8. Limit login
Utilizzando il plugin Limit Login Attempts eviteremo gli attacchi brute force.
Essi in pratica sono attacchi diretti al nostro sito, lanciati da script che provano di continuo migliaia di combinazioni username+password per cercare di trovare quella giusta.
Limit Login Attempts non fa altro che bloccare l’accesso all’ip (computer) che sbaglia combinazione più di tot volte (3 va bene come limite).
9. Plugin tutto fare
Ci sono dei plugin che sono dei veri e proprio tuttofare anche nel campo della sicurezza.
Uno di questi è sicuramente iThemes Security (una volta si chiamava Better WP Security).
Oltre a farti un rapido check di tutto il sito, mostrandoti i punti meno sicuri, il plugin ti permette di fare un sacco di robe come:
– verifica login utenti
– autenticazione in due passaggi (puoi usare anche l’autenticazione di Google)
– backup
– protezione accessi
– scanner malware
– verifica delle richieste di url “strane”
– tanto, tanto altro
10. Cambio url backend default
Un’operazione molto semplice ma molto potente è quella di modificare l’url standard del backend di wordpress.
Normalmente, infatti, per accederci basta aggiungere /wp-admin alla root del sito, wp ti indirizza automaticamente alla pagina di login.
Ma se noi cambiamo il wp-admin nessuno sa come potersi loggare, quindi togliamo alla partenza la possibilità a chi attacca i siti, anche solo di provarci.
Per fare ciò possiamo usare iTheme Plugin che abbiamo visto prima, ma se non abbiamo intenzione di installarlo c’è anche l’ottimo Lockdown WP Admin specializzato solamente nel nascondere il backend.
Avere paura della sicurezza è una cosa normale. Significa che c’è consapevolezza e piuttosto di essere dei facilitoni è meglio così.
Ma ciò non deve assolutamente fermarti!
Se vuoi creare un sito, e io ovviamente di consiglio di usare wordpress, fallo!
Ovviamente segui le -minime- indicazioni che ti ho dato e non farti fermare!
Hai già messo in sicurezza il tuo sito wp? Sei a conoscenza di altre problematiche, che magari ti hanno bloccato o intimorito??