Tempo di lettura: 9 minuti

La sicurezza di WordPress è prioritaria per chiunque gestisca un sito. Aggiungiamo che la “sicurezza online” è sinonimo di tranquillità, specialmente quando si tratta di gestire un sito WordPress.

Nonostante la piattaforma WordPress sia altrettanto sicura rispetto ad altre, la sua crescente popolarità e il suo ampio utilizzo la rendono un bersaglio per gli attacchi diventando un obiettivo comune per gli aggressori, sottolineando l’importanza di implementare misure di sicurezza solide.

Fortunatamente, anche se non sei un esperto tecnologico, ci sono passaggi fondamentali che puoi seguire per proteggere il tuo sito. In questo articolo, esploreremo passaggi chiave e strategie essenziali per proteggere il tuo sito WordPress, rendendolo un ambiente virtuale sicuro e resistente agli attacchi. Dalla scelta di nomi utente intelligenti alla gestione dei privilegi e all’adozione di strumenti avanzati, scopriremo insieme come mantenere al sicuro la tua preziosa presenza online.

Vediamo quindi, in ordine di importanza, quali sono i passaggi da seguire per aumentare sensibilmente la sicurezza di WordPress.

Non utilizzare “admin” come nome utente

La maggior parte degli “hack” e degli attacchi a WordPress non fanno nulla di più sofisticato che tentare di farsi strada con la forza bruta (brute-force attack) nella tua area di amministrazione indovinando la tua password. È molto più semplice per loro se non devono indovinare anche il tuo nome utente amministratore. Evitare l’uso di parole comuni (come admin) per i tuoi nomi utente può rendere gli attacchi di forza bruta molto meno efficaci.

Se stai lavorando con un sito più vecchio che ha già un utente “amministratore”, potrebbe essere il momento di eliminare quell’account e trasferire qualsiasi contenuto o accedere a un nome utente più sicuro.

Utilizza una password complessa

Avere una password complessa può rendere molto più difficile indovinarla. Abbiamo dedicato un articolo a questo argomento che vi invitiamo a leggere come approfondimento: Come creare password sicure in 5 semplici passi

Ma le password univoche più lunghe possono essere difficili da ricordare, ed è qui che entrano in gioco strumenti come DashLane, 1Password e LastPass , poiché ciascuno di essi dispone di generatori di password. Digiti la lunghezza richiesta e genera una password per te. Salvi il collegamento, salvi la password, fatto. A seconda di quanto si desidera che sia sicura la password è sensato impostare una password lunga (18/20 caratteri vanno bene) e includere caratteri meno comuni come #, @ oppure *.

Aggiungi l’autenticazione a due fattori

Anche se stai adottando misure per bloccare il tuo sito, gli attacchi di forza bruta possono comunque rappresentare un problema. L’autenticazione a due fattori può aggiungere ulteriore sicurezza al processo di accesso e ridurre il rischio che qualcuno indovini la tua password.

Il principio è che, invece di inserire semplicemente i tuoi dati di accesso, devi anche confermare la tua identità inserendo un codice monouso da un altro dispositivo di tua proprietà (di solito tramite un’app sul tuo telefono).

Due plugin popolari per la gestione dell’autenticazione in WordPress sono Google Authenticator e Rublon Plugin (che adotta un approccio leggermente diverso). Assicurati solo di non perdere i codici di backup, altrimenti potresti ritrovarti bloccato.

Gestire oculatamente i permessi e i privilegi

Il team di WordPress.org ha messo insieme un ottimo articolo nel WordPress Codex riguardante Ruoli e Capacità (in inglese) . Ti invitiamo a leggerlo e acquisirne familiarità perché si applica al passaggio successivo.

Il concetto di meno privilegiato è semplice.
Concedere solo le autorizzazioni a:

  • quelli che ne hanno bisogno
  • quando ne hanno bisogno e
  • solo per il tempo in cui ne hanno bisogno

In sintesi: se qualcuno richiede l’accesso temporaneo come amministratore per una modifica della configurazione, concedilo, ma rimuovilo al completamento dell’attività. La buona notizia è che c’è molto da fare a questo punto se non che utilizzare queste migliori pratiche.

Contrariamente alla credenza popolare, non tutti gli utenti che accedono alla tua istanza WordPress devono essere classificati nel ruolo di Amministratore . Assegna alle persone i ruoli appropriati (come “Editor” o “Collaboratore”) e ridurrai notevolmente i rischi per la sicurezza.

Se hai bisogno di un controllo più capillare, plugin come User Role Editor ti consentono di modificare le regole di accesso e i privilegi dei singoli utenti.

Nascondi i file di sistema

I file wp-config.php e .htaccess possono essere fondamentali per la sicurezza di WordPress. Spesso contengono le credenziali del tuo sistema e possono esporre informazioni sulla struttura e sulla configurazione del tuo sito. È fondamentale garantire che gli aggressori non possano accedervi.

Nascondere questi file è relativamente facile, ma farlo in modo sbagliato potrebbe rendere inaccessibile il tuo sito. Diversi plugin applicano queste modifiche semplicemente flaggando una loro funzione, noi vedremo come fare modificando manualmente questi due file. Attenzione: effettua un backup prima di iniziare e procedi con cautela.

Partiamo dal file .htaccess, aggiungi queste poche righe di codice per proteggere wp-config.php quindi per una migliore sicurezza di WordPress:

Codice per proteggere il file wp-config.php

Codice per proteggere il file wp-config.php

Ciò impedirà l’accesso al file. Un codice simile può essere utilizzato per il tuo .htaccess file stesso:

Codice per proteggere il file .htaccess

Codice per proteggere il file .htaccess

Utilizza le chiavi di sicurezza di WordPress

Il tuo wp-config.php file ha un’area dedicata in cui puoi settare e gestire “Chiavi di autenticazione” e “salt“. Si tratta di un insieme di valori casuali, unici per il tuo sito web. Vengono utilizzati da WordPress per crittografare qualsiasi informazione memorizzata nei cookie, il che rende più difficile per gli aggressori intrufolarsi fingendo di essere un utente autenticato.

Esempio di chiavi di autenticazione wp-config.php

Esempio di chiavi di autenticazione wp-config.php

Puoi definire i tuoi valori casuali o utilizzare il pratico generatore per ottenere un set che puoi semplicemente incollare.

Disabilita la modifica dei file

Se un hacker entra, il modo più semplice per modificare i tuoi file sarebbe andare su “Aspetto > Editor” in WordPress. Per migliorare la sicurezza di WordPress, potresti disabilitare la modifica di questi file tramite quell’editor. Ancora una volta, puoi farlo dal file wp-config.php aggiungendo questa riga di codice:

define(‘DISALLOW_FILE_EDIT’, true);

Potrai comunque modificare i tuoi modelli tramite la tua applicazione (S)FTP preferita (esempio FileZilla). Semplicemente non sarai in grado di farlo tramite WordPress stesso.

Nascondi il tuo login e limita i tentativi di accesso

Gli attacchi di forza bruta di solito prendono di mira il tuo modulo di accesso. Quindi cambiare il luogo in cui si trova può rendere più difficile l’accesso agli aggressori. Il plug-in All in One WP Security & Firewall ha un’opzione per modificare semplicemente l’URL predefinito, da /wp-admin/ in qualcosa di più sicuro.

Oltre a ciò, puoi anche limitare il numero di tentativi di accesso da un determinato indirizzo IP. Esistono diversi plugin WordPress per aiutarti a proteggere il tuo modulo di accesso dagli indirizzi IP che attivano una moltitudine di tentativi di accesso.

Gestire XML-RPC

XML-RPC è un’interfaccia di programma applicativo (API) utilizzata da numerosi plugin e temi, quindi invitiamo i meno tecnici a prestare attenzione a come implementano questo specifico suggerimento, infatti la sua completa disabilitazione può comportare problemi e/o blocchi di funzionalità. Questo è il motivo per cui NON consigliamo di disabilitare tutto, ma di essere più selettivi su come e a cosa consentire l’accesso.

Esistono numerosi plugin che ti aiutano a essere molto selettivo nel modo in cui implementi e disabiliti XML-RPC per impostazione predefinita.

Ottieni un buon hosting

Anche se sei meticoloso quando si tratta della sicurezza del tuo sito web, se è ospitato da un’azienda che non è altrettanto meticolosa, potresti anche non aver fatto nulla.

Se un utente malintenzionato riesce ad accedere all’hosting del tuo sito web, può assumere il controllo completo di tutto. Ciò significa che è davvero importante scegliere (o trasferirsi a) un host che prenda sul serio l’hosting. Le opzioni di hosting più economiche spesso non sono dotate di una buona sicurezza o di backup oppure potrebbero non offrire supporto per aiutarti a ripulire un sito compromesso.

Trovare il giusto partner di hosting può essere complesso, noi ne abbiamo parlato in un articolo dedicato, in cui offriamo una guida completa alla scelta del provider di hosting giusto, nell’articolo troverai tutto ciò che devi sapere per selezionare il miglior hosting per il tuo sito web.

Effettuare gli aggiornamenti

È fondamentale aggiornare i temi, il software, i plug-in e gli altri componenti come parte di una routine continua. Altrimenti lasci la porta aperta agli aggressori. Se utilizzi una versione aggiornata di WordPress, puoi anche configurare il tuo sito e i plug-in in modo che si aggiornino automaticamente ogni volta che è disponibile una nuova versione.

Infine, non dimenticare di aggiornare tutto il resto, partendo dal sistema di hosting, al sistema operativo del tuo computer, tutto ciò che esegue software o utilizza password deve essere mantenuto aggiornato.

In un articolo tempo fa abbiamo spiegato perché è sempre importante aggiornare WordPress, ti invitiamo a leggerlo come approfondimento.

Effettua backup regolari

Se qualcosa va storto, è sempre meglio disporre di backup per ripristinare in sicurezza il sito ad una data precedente all’attacco. Le buone società di hosting forniranno funzionalità di backup come parte dei loro pacchetti, ma ovviamente sono disponibili alcuni plugin eccellenti.

Noi dello Studio Fabran offriamo ai nostri clienti un servizio di assistenza e manutenzione annuale che comprende, fra le altre cose, un servizio di aggiornamento mensile del core di WordPress e dei plugin oltre che di backup mensile di tutto il sito web, dei file e del database. Se dovesse accadere qualcosa di negativo nell’arco del mese si potrà sempre ripristinare la versione funzionante non più vecchia di qualche settimana.
Per saperne di più puoi consultare questa pagina oppure puoi contattarci.

Utilizzo di un plug-in di sicurezza

Se tutto questo ti sembra molto lavoro, non preoccuparti: è disponibile aiuto sotto forma di plug-in firewall e plug-in di sicurezza generale . Questi plugin cercano aggressori noti e modelli di attacco comuni e li fermano prima che abbiano la possibilità di compromettere il tuo sito.

Alcuni dei plugin di sicurezza più popolari (come Sucuri Security e Wordfence) sono gestiti da aziende che impiegano ricercatori di sicurezza che monitorano, istruiscono e risolvono i problemi. Ciò aiuta a mantenere il tuo sito protetto da tutte le minacce più recenti.

Dovrai comunque occuparti delle nozioni di base, ma questi plugin possono aiutarti a rafforzare le tue difese e a reagire rapidamente alle minacce emergenti. Vale la pena dedicare del tempo a esplorare le loro impostazioni, leggere la loro documentazione e assicurarti di aver personalizzato la configurazione per soddisfare le esigenze specifiche del tuo sito.

Ferma gli attacchi con l’aiuto di una CDN

Le migliori soluzioni di sicurezza impediscono agli aggressori di avvicinarsi al tuo sito web o ai controlli di amministrazione. Molti sistemi di distribuzione dei contenuti includono sofisticate funzionalità firewall; combinando l’ottimizzazione delle prestazioni con la protezione. Questi sistemi possono identificare e intercettare traffico dannoso a livello di rete e impedirgli di raggiungere il tuo sito web.

Cloudflare in particolare fa un ottimo lavoro nel bloccare il “traffico dannoso” e dispone anche di regole e scansioni sviluppate appositamente per proteggere i siti WordPress. Il loro approccio “Zero Trust ” alla sicurezza si espande sulle nostre raccomandazioni di impiegare i principi “meno privilegiati”, di presumere che tutto il traffico e le richieste siano “cattivi” fino a prova contraria, e i loro strumenti fanno un ottimo lavoro nel prevenire attacchi comuni e di forza bruta.

In un articolo realizzato qualche tempo fa consigliamo 9 migliori servizi CDN per WordPress.

Non dimenticare i registri e il monitoraggio

Anche con le migliori protezioni, a volte le cose possono andare storte. Se lo fanno, è importante essere in grado di scoprire cosa è successo e cosa puoi fare per evitare che accada di nuovo.

L’aggiunta di un plug-in di registrazione delle attività al tuo sito Web WordPress può essere di grande aiuto per diagnosticare cosa potrebbe essere accaduto dopo un hack, oltre ad aiutarti a tenere d’occhio l’attività quotidiana.

Conclusioni

Come abbiamo visto la sicurezza di WordPress è di fondamentale importanza. Questa guida completa ha fornito consigli pratici per rafforzare le difese del tuo sito web. Dall’evitare nomi utente comuni alla creazione di password complesse, abbiamo indicato come difenderti dagli attacchi di forza bruta.

L’implementazione dell’autenticazione a due fattori aggiunge uno strato extra di sicurezza. Nell’articolo è stato indicato anche come gestire le autorizzazioni degli utenti in modo mirato, nascondere file sensibili e utilizzare le chiavi di sicurezza di WordPress.
Un hosting affidabile è importante per la sicurezza di WordPress come mantenere il tuo sito e i plugin sempre aggiornati per ridurre i rischi. L’uso di plugin di sicurezza e l’adozione di pratiche avanzate possono ulteriormente proteggere il tuo sito da minacce esterne.

Insomma seguendo i passaggi indicati in questa guida, puoi creare un ambiente online più sicuro per il tuo sito WordPress. Ricorda però che, come l’ottimizzazione del tuo sito web per la SEO, la sicurezza è qualcosa a cui dovresti prestare attenzione in ogni momento. Ci sono molte, moltissime aree che dovresti esplorare e questo articolo con il suo elenco di consigli in realtà graffia appena la superficie, comunque è un ottimo inizio. Buon lavoro.

Icon 114 - Studio Fabran

Iscriviti alla NewsLetter

Vuoi ricevere i miei ultimi articoli comodamente nella tua email?
È gratis!
Oltre 700 persone lo stanno già facendo!

Iscriviti alla Newsletter

Niente spam o pubblicità, solo i migliori articoli del nostro blog pensati per te.
Che aspetti? Iscriviti ora ed unisciti agli altri 555 iscritti.
Useremo i tuoi dati esclusivamente per l'invio di articoli, guide ed approfondimenti. Metti una spunta se sei d'accordo al trattamento dei dati personali (artt. 13 e 14 del GDPR - Regolamento UE 2016/679). Per maggiori informazioni leggi la nostra politica sulla privacy.