Di come mantenere un sito sicuro abbiamo già parlato a lungo su queste pagine, ma una domanda alla quale ci troviamo spesso a rispondere riguarda l’efficacia dei plugin di sicurezza per WordPress. Basta installare un plugin per proteggere WordPress? Quanto sono efficaci i plugin di sicurezza per WordPress?
Chiunque lavori con WordPress, e in particolare chi deve gestire dati sensibili, sa bene quanto utili siano plugin come WordFence o Sucuri Security nell’identificare attacchi e modifiche dei file. Installare un plugin, però, non significa gestire gli aspetti legati alla sicurezza con il pilota automatico. Esistono aree vulnerabili che un plugin da solo non è in grado di proteggere.
Come avevamo già spiegato nella nostra guida sul mettere in sicurezza WordPress, è sbagliato pensare che esista un sistema in grado di mantenere il nostro sito costantemente protetto su tutti i fronti. Eliminare del tutto i rischi non è possibile: per questo, gestire la sicurezza significa utilizzare tutti i mezzi a disposizione per ridurre la vulnerabilità al minimo e risolvere i problemi in modo rapido ed efficace quando questi si presentano.
In questo articolo andremo a vedere quali sono sono i limiti dei plugin di sicurezza. Capiremo quali genere di operazioni malevole non sono in grado di intercettare e come puoi fare per assicurati di non perdere il lavoro a cui hai dedicato soldi, tempo ed energie.
I migliori plugin di sicurezza per WordPress e i vantaggi che offrono
Prima di cominciare a parlare delle mancanze dei plugin di sicurezza, facciamo una panoramica di quali sono i software più utilizzati, a cosa servono e come il tuo sito ne può trarre beneficio.
Gestire la sicurezza del proprio sito significa essenzialmente occuparsi di tre operazioni: limitare gli accessi indesiderati, assicurarsi che in caso di accesso i danni possano essere ridotti al minimo e prepararsi a incidenti attraverso monitoraggio e backup. I plugin svolgono parte di queste operazioni.
Esistono decine di plugin di sicurezza per WordPress disponibili sul mercato. Alcuni con versioni gratuite sufficienti a proteggere siti di piccole dimensioni e altri più potenti, pensati per ecommerce con funzionalità avanzate. I più utilizzati sono iThemes Security, Sucuri Security e WordFence, che è quello che utilizziamo anche noi di WP-OK. WordFence offre già un firewall completo nella versione gratuita e garantisce scansioni di sicurezza regolari.
In linea generale, i sofware di sicurezza svolgono queste funzioni principali:
- Monitorano il tuo sito scannerizzando regolarmente i file per capire se sono stati modificati da terzi
- Effettuano una scansione per rintracciare la presenza di malware
- Proteggono da attacchi brute force, ossia i tentativi di indovinare le credenziali di accesso attraverso algoritmi
- Offrono un servizio di firewall, che rileva e blocca gli attacchi dall’esterno
- Ti comunicano attraverso una notifica quando il tuo sito è stato compromesso e ti permettono di rimuovere o pulire i file infetti.
Considerando che molte di queste funzioni sono accessibili gratuitamente e sono svolte in modo automatico, è fortemente consigliata l’installazione di un plugin di sicurezza per WordPress.
Un plugin può potenziare la tua strategia di sicurezza. Ti aiuta a limitare gli accessi indesiderati e a monitorare giorno e notte quello che accade ai tuoi file. È proprio così che utilizziamo WordFence per gestire il sito di WP-OK.
Perché un plugin di sicurezza non basta a proteggere il tuo sito
Seppure essenziali, la prevenzione e il monitoraggio offerti dai plugin non sono sufficienti a farti dormire sonni tranquilli. Vediamo perché.
1. Non basta installare un plugin
Molti utenti pensano che basti scaricare il plugin ed installarlo per rendere il proprio sito una fortezza inaccessibile. Non è così. Le misure di sicurezza sono solitamente divise in più livelli. Per questo è importante impostare correttamente il software per fare in modo che esegua le operazioni desiderate senza peggiorare la performance del sito.
2. Non è sufficiente suonare l’allarme
Il vantaggio principale dei plugin di sicurezza WordPress, oltre al livello di protezione aggiuntivo che offrono, è la rapidità con cui riescono a lanciare l’allarme in caso di compromissione dei file del sito.
Puoi già immaginare dove stiamo andando a parare: un allarme da solo non è una soluzione. È importante che qualcuno sia sempre all’ascolto e pronto ad intervenire prima che il problema diventi irreversibile. Se il plugin limita gli accessi e controlla la situazione, l’intervento di un tecnico è necessario per contenere il danno.
Un software di sicurezza, quindi, dovrebbe operare in combinazione con l’intervento di una persona esperta.
3. Non tutte le azioni malevole sono intercettate dai plugin
Sebbene i plugin di sicurezza per WordPress intercettino la maggior parte degli attacchi più comuni, ci sono operazioni che non vengono tracciate. Il monitoraggio effettuato dal plugin non si può considerare completo. Non tutti gli attacchi o le azioni di hackeraggio, infatti, possono essere prevenuti da un software.
Cosa non vedono i plugin? Ecco alcuni esempi:
- Script o codici malevoli. I plugin lavorano attraverso database di codici noti o provenienti da fonti terze note. Questo significa che sono in grado di riconoscere i codici malevoli più comuni, ma non quelli più nuovi e sofisticati.
- Può capitare che non notino alterazioni riguardanti metodi di pagamento, che spesso si appoggiano a piattaforme esterne. Se un hacker cambiasse l’indirizzo email del conto PayPal impostato sul sito, non è detto che il plugin identifichi questa azione come malevola.
- Lo stesso vale per modifiche a dati sensibili avvenute in seguito a un accesso malevolo. Chi attacca potrebbe modificare indirizzo email, IBAN o altri contatti senza essere intercettato dal software.
- Il plugin potrebbe non individuare se un account admin aggiunto dopo un hack è vero o malevolo.
4. La vulnerabilità non è solo di WordPress
WordPress non è l’unico canale di accesso che un hacker può utilizzare per attaccare il tuo sito. Per quanto efficaci siano i plugin di sicurezza per WordPress nel prevenire attacchi brute force, forzare le password è solo uno dei tanti modi che i malintenzionati del web possono compromettere il tuo lavoro.
Un esempio è uno spyware installato sul tuo computer: nessuna misura di sicurezza in WordPress sarà sufficiente, se chi ti vuole attaccare ha modo di osservare quello che fai sul tuo PC (e quindi rubare tutte le credenziali necessarie ad accedere).
Ci è capitata di recente la richiesta da un cliente, preoccupato per la sicurezza del suo sito WooCommerce dopo che un acquirente ha segnalato un tentativo di pagamento non autorizzato poco dopo aver completato un ordine sul suo sito. In questo caso non c’entrava nulla WooCommerce, ma il problema era un virus sul PC dell’acquirente!
Assicurati di avere sempre un buon antivirus installato e aggiornare il tuo sistema operativo regolarmente perché garantisca la massima protezione contro sistemi di attacco più moderni.
Lo stesso vale per il servizio di hosting che utilizzi: anche i server che ospitano i tuoi file, infatti, possono essere vulnerabili e per questo è importante scegliere host affidabili che oltre a vendere spazio web pongano attenzione alla sicurezza.
Considera anche che se un server è condiviso e un sito presente sullo stesso server è compromesso, c’è la possibilità che anche il tuo sito venga contagiato. Gli host più seri, in casi come questi, sono in grado di identificare il problema e mettere in quarantena il sito infetto, ma è una buona idea chiedere sempre quali misure di sicurezza sono messe in atto.
Cosa puoi fare per proteggere il tuo sito in modo efficace?
Quello della sicurezza è un mondo che si evolve in modo costante e restare aggiornati su quel che accade in questo settore può essere difficile, in particolare per chi è poco pratico con gli aspetti tecnici di WordPress. Come abbiamo visto, i plugin svolgono un ruolo importante nella protezione del tuo sito, ma spesso non sono sufficienti.
Ci sono azioni che puoi implementare in modo autonomo per incrementare il livello di sicurezza del tuo sito, come scegliere password complesse e modificarle a intervalli regolari, scegliere un servizio di hosting affidabile, installare software anti-virus e anti-spyware nel tuo computer e nel tuo browser e evitare di salvare le credenziali di accesso in luoghi poco sicuri.
Un’altra cosa che non ci stanchiamo mai di ripetere è l’importanza di fare backup di tutti i dati più spesso possibile: che sia giornaliero o in real-time, il backup è l’unico modo certo per recuperare i tuoi dati nel caso vadano persi a causa di un attacco o un incidente.
Detto ciò, visto il livello di sofisticazione raggiunto dagli hacker moderni, fare affidamento su una o più persone esperte per mantenere il tuo sito in sicurezza è uno dei metodi più efficaci per avere la certezza di una situazione sempre sotto controllo.
Affidati agli esperti di WP-OK per la sicurezza del tuo sito
Monitoraggio costante, interventi rapidi e backup continui: con i piani di assistenza WordPress di WP-OK avrai sempre a disposizione un team di esperti di sicurezza a tenere d’occhio il tuo sito e risolvere i problemi prima che sia troppo tardi.
Un servizio di pronto intervento completo, che garantisce di avere un sito sempre pulito e sotto controllo e ti aiuta a gestire i dati sensibili dei tuoi clienti senza preoccupazioni.
Scopri cosa è incluso nei nostri piani di abbonamento per siti di ogni dimensione.