Pensi che mettere in sicurezza WordPress sia tutta questione di plugin famosi e password articolate? O, peggio ancora, che la sicurezza sia importante solo per chi vende online e per i siti delle banche? Allora ti consigliamo di continuare a leggere , perché a fine lettura avrai cambiato idea.
La protezione dei siti WordPress è una tematica ben più complessa di quello che si può immaginare e spesso viene presa sottogamba da chi non è mai stato vittima di attacchi.
Essendo un software open-source, WordPress offre vantaggi e svantaggi in fatto di sicurezza. Se da una parte il codice sorgente è controllato costantemente da una comunità di centinaia di sviluppatori attivi nel miglioramento costante del programma, dall’altra bisogna notare che, per natura, lo stesso codice è accessibile a malintenzionati che possono studiarne eventuali debolezze.
Inutile negarlo: come ogni altro CRM, WordPress è vulnerabile a operazioni malevole che possono compromettere il tuo sito con lo scopo di rubare dati, distribuire malware, o dirigere i tuoi utenti verso pagine terze. Questo non significa che WordPress non sia affidabile, ma che è importante prendere la sicurezza sul serio, seguendo best practices testate per proteggere il proprio lavoro.
È dal lontano 2015 che noi di WP-OK ci occupiamo di proteggere e riparare siti WordPress. Negli anni ne abbiamo viste di tutti i colori: da malware insediati tra i file attraverso il meno sospetto dei plugin, a centinaia di ore di lavoro perse a causa di un mancato backup. È per questo motivo che abbiamo creato la guida che stai leggendo. WordPress è affidabile? Sì, se utilizzato nel modo giusto.In questa guida andremo a spiegare cosa significa proteggere un sito WordPress da attacchi malevoli nel 2022, con tutti i suggerimenti pratici per dormire sonni tranquilli.
WordPress è sicuro?
La domanda – semplice e legittima – che ci fanno tanti nostri clienti è se WordPress sia effettivamente sicuro. La nostra risposta generale è senza dubbio sì. Un’occhiata alle statistiche relative a presenza di malware e attacchi hacker sembra però dimostrare il contrario.
Prendiamo questi dati di Sucuri, una società specializzata in piani e prodotti di sicurezza per siti web. Nel 2019 il 94% degli interventi di “pulizia” che hanno svolto riguardavano pagine WordPress. Un tendenza in continua crescita (nel 2018 erano il 90%, nel 2017 l’83%), che coincide con l’aumento della diffusione del CMS.
Sempre nel 2019, il 35.2% dei siti presenti su internet erano realizzati con WordPress. Un dato che attira gli interessi dei pirati informatici, che sanno di poter ottenere i migliori risultati concentrando i propri sforzi sulla piattaforma gestionale più diffusa al mondo.
Per evitare di esporti a rischi, un ottimo punto di partenza è seguire la routine di manutenzione che troverai in questo articolo.
Mettere in sicurezza il CMS WordPress che hai installato sul tuo spazio web equivale, in un certo senso, a installare un potente antifurto in prossimità delle porte di accesso ai tuoi contenuti digitali. Questi ultimi si trasformano di frequente in veicoli di informazioni importanti, che devono essere custoditi e protetti con attenzione.
Facciamo qualche esempio pratico. Pensa agli indirizzi email che si celano dietro ai commenti di un blog o nei vari step per la raccolta di lead, oppure a tutti i dati personali dei clienti di un ecommerce, e alle varie integrazioni con servizi esterni come Facebook, LinkedIn e via dicendo. WordPress è un software open source, quindi pubblico e accessibile a tutti; questo spesso trasforma gli errori e gli script difettosi in pericolosissimi canali di ingresso. Ecco perché rinforzare le difese di WordPress non è un’opzione ma una necessità, oltre che un dovere imprescindibile che hai nei confronti dei tuoi utenti.
Come viene hackerato un sito WordPress nel 2022
Prima di cominciare: quello degli hacker non è un problema solo di WordPress. Tutti i siti sono vulnerabili, ma si sente spesso parlare di attacchi a WordPress perché è su questo CRM che sono costruiti oltre un terzo dei siti nel mondo.
Il modo più comune per accedere ad un sito senza avere le credenziali è trovando punti deboli nel codice.
Il codice del sito, infatti, nasconde una serie di porte di accesso ai tuoi dati: immagina che qualcuno provi automaticamente ad aprirle, cercandone una non chiusa a chiave. È quello che fanno script automatici e hacker con operazioni di penetration test date dalla cosiddetta “distro live” di backtrack, una distribuzione di Linux fatta proprio per testare la vulnerabilità dei server.
Detta in parole semplici, il tuo sito WordPress viene testato per capire quanto sia facile accedervi e come entrare al suo interno, per poi passare all’attacco senza che tu te ne accorga.
Anche nel caso in cui il codice si riveli impenetrabile, esistono metodi per entrare. Il modo più semplice è accedere con il tuo permesso. Hai capito bene: non è necessariamente un’operazione di forza bruta a provocare l’hackeraggio, spesso è l’installazione volontaria di un plugin o un tema da parte dell’admin che permette a terzi di infiltrarsi.
Gli sviluppatori di plugin o temi, infatti, non sono necessariamente esperti di sicurezza WordPress e può capitare che siano le vulnerabilità presenti su questo tipo di software a compromettere il sito. In realtà, la maggior parte degli attacchi avviene proprio in questo modo: secondo Patchstack, tra il 95% e il 98% degli attacchi a siti WordPress avviene a causa di vulnerabilità dei plugin.
WordPress viene aggiornato regolarmente proprio per individuare queste lacune e prevenire accessi indesiderati, ma molti utenti preferiscono non installare questi aggiornamenti, pensando che possano andare a danneggiare il proprio sito, e rimangono esposti ad attacchi.
I principali pericoli su WordPress
Mettere in sicurezza WordPress è un processo in costante evoluzione, e non un’azione una tantum. Questo perché, quando si parla di sicurezza online, la gestione di un sito web ricorda un po’ il gioco “guardie e ladri”: per ogni passo avanti delle guardie, i ladri mettono a punto una nuova strategia di attacco da cui dobbiamo riuscire a proteggerci.
I programmatori del CMS più famoso al mondo rilasciano continuamente nuovi aggiornamenti per migliorare WordPress e gestire al meglio le principali minacce. Queste ultime vengono segnalate con periodicità dalla OWASP, un progetto anch’esso open source che nasce per aumentare la sicurezza delle applicazioni in vista degli ultimi sviluppi in tema di attacchi informatici.
Fra gli elementi più vulnerabili da tenere a mente quando ci attiviamo per mettere in sicurezza WordPress ricordiamo:
- la sessione di autenticazione di WordPress, spesso vittima di attacchi di “forza bruta”;
- componenti e plugin realizzati da terze parti;
- file temporanei contenenti i dati di accesso al CMS;
- script e porzioni di codice PHP vulnerabili, la falla preferita dei malware.
- il database SQL, il ‘cuore’ che contiene tutti i dati di WordPress;
- archiviazione e gestione dei dati sensibili.
Non mettere in sicurezza WordPress significa quindi dare il benvenuto a virus, malware e hacker e lasciare loro carta bianca, con conseguenze gravi e, in alcuni casi, irreversibili.
Come mettere in sicurezza WordPress
La sicurezza, per definizione, è riduzione del rischio. È importantissimo tenerlo sempre a mente, perché mettere in sicurezza WordPress significa di fatto ridurre il pericolo a un livello accettabile e, di conseguenza, gestibile.
Così come ha senso installare un antifurto satellitare su un’automobile di valore ma non su una vettura da rottamare (che potrebbe farne a meno), la scelta di proteggere un sito WordPress deve seguire lo stesso principio. Si tratta, in poche parole, di trovare un compromesso tra rischio e investimento, e lasciare che a farlo sia un professionista esperto di WordPress.
Ci sono però alcune operazioni fondamentali che riducono il rischio del 90% e che consigliamo a chiunque voglia davvero mettere in sicurezza il proprio sito WordPress. Questo significa attivare una gestione del sito web sana e professionale, e prenderti cura del valore del tuo progetto digitale. Lasciare tutto alla mercé dei tanti pericoli del web, al contrario, è come dichiarare apertamente che i tuoi contenuti digitali non ti interessano più di tanto. Attenzione però, perché se sul tuo sito ci sono anche dati sensibili di altre persone: non rendere sicuro il tuo WordPress potrebbe procurarti problemi anche legali, come previsto dal GDPR.
I passaggi base per proteggere un sito web e mettere in sicurezza WordPress sono molto semplici e sintetizzabili in cinque interventi chiave.
Proteggere sito WordPress: esegui backup periodici
Prevenire è meglio che curare e non c’è modo più efficace di proteggere il tuo lavoro che salvarne una copia a intervalli regolari su una memoria esterna. I backup possono salvarti in situazioni catastrofiche, permettendoti di recuperare il contenuto anche quando questi sono stati danneggiati in modo irreparabile.
Molti servizi di hosting includono servizi di backup per i propri clienti, ma come abbiamo già spiegato in questo articolo, non è una buona idea affidarsi completamente al proprio host, in quanto il backup è spesso solo parziale.
Esistono vari plugin, gratis e a pagamento, per automatizzare il processo di backup. Il più utilizzato è Updraft Plus, che può essere programmato per eseguire backup periodici.
Inoltre, in tutti i piani di supporto WP-OK è incluso un programma di backup in cloud giornaliero e incrementale, che mantiene copie del tuo sito per 90 giorni, così hai la certezza che niente vada perso.
Monitora WordPress con un plugin di sicurezza
Installare un plugin non è sufficiente a mettere in sicurezza di un sito, ma rimane un’azione importante per monitorare lo stato del proprio sito e ricevere notifiche ogni volta che un file viene modificato da terzi.
I plugin per mettere in sicurezza WordPress più famosi sono iThemes Security, Sucuri Security e WordFence, sviluppati per rintracciare la presenza di malware attraverso scansioni regolari dei file, bloccare attacchi brute force e rimuovere file infetti nel caso siano presenti.
Come già spiegato in questo articolo, installare un plugin di sicurezza è fortemente consigliato, ma è importante ricordare che la vulnerabilità di un sito non dipende solo da WordPress – la causa potrebbe essere l’hosting o il computer da cui lavori – e che nel caso di presenza di file infetti solo l’intervento di un tecnico può garantire una pulizia completa.
Aggiorna regolarmente WordPress e i suoi componenti
Di tanto in tanto, temi, plugin e WordPress stesso hanno bisogno di essere aggiornati a nuove versioni per garantire performance ottimali. Gli aggiornamenti sono rilasciati spesso dagli sviluppatori per riparare errori e bug di versioni precenti e rendere WordPress più sicuro.
È risaputo che gli aggiornamenti automatici di WordPress possono causare qualche problema dovuto alla compatibilità con elementi esistenti, ma i rischi sono molto maggiori se si evita di installare l’ultima versione. Se hai effettuato delle modifiche a un tema WordPress, ad esempio, l’aggiornamento sovrascriverà il tuo codice e le personalizzazioni andranno perse. Questa, però, non è una buona ragione per ignorare gli aggiornamenti, che rimangono essenziali per mantenere un sito sicuro.
Aggiungi il sito a Google Search Console
Google Search Console è una piattaforma gratuita per monitorare come Google vede il tuo sito e ottimizzare la tua presenza sul motore di ricerca. Questa risorsa permette di rilevare tutti i problemi relativi a navigazione o usabilità che impediscono alle pagine di essere indicizzate, ma non solo.
Google Search Console, infatti, fornisce un report completo sullo stato di sicurezza del sito, che include tutti gli elementi che potrebbero penalizzare il posizionamento delle pagine. Tra gli errori segnalati ci sono l’inserimento di URL o codice malevoli all’interno del sito, l’uso di pubblicità ingannevoli per l’utente e la presenza di file scaricabili che potrebbero danneggiare gli utenti.
Usa il protocollo sicuro HTTPS per tutte le comunicazioni
Quando parliamo di HyperText Transfer Protocol Secure (HTTPS) facciamo riferimento alla versione criptata del HTTP, che utilizza i protocolli SSL/TLS per criptare le comunicazioni digitali in modo i dati non possano essere rubati.
Ad oggi, utilizzare questo genere di protocollo è essenziale, non solo per garantire che le informazioni dei tuoi clienti siano mantenute al sicuro, ma anche per mostrare ai nuovi visitatori che prendi la sicurezza sul serio. Inoltre, dal 2017 Google penalizza i siti che non utilizzano il protocollo HTTPS.
Per passare a HTTPS è necessario ottenere un certificato SSL, ossia un documento digitale rilasciato da un’Autorità Certificativa (CA, Certificate Authority). La certificazione è depositata sul server e viene richiamata a ogni visita. Qui trovi una guida completa al passaggio a HTTPS.
Separa i siti su diversi account hosting
Se gestisci più siti internet, ti raccomandiamo di assegnarli a differenti account hosting ed evitare server condivisi. Le pagine web ospitate sullo stesso profilo, o addirittura sullo stesso spazio, sono esposte anche alle stesse minacce dei loro “vicini di casa”.
Quando un virus colpisce un sito e non vengono prese subito delle contromisure, questo può propagarsi anche a livello server e danneggiare altri domini ospitati sull’hosting. In altri casi, invece, l’infezione inizia proprio dal server per diffondersi su tutte le pagine in esso contenute.
Per evitare che i tuoi siti si infettino a vicenda, crea un profilo nuovo per ognuno di loro e scegli il miglior hosting in base alle tue necessità.
Con queste azioni alzerai uno scudo sul tuo sito, e potrai a intervenire in caso di attacchi. Nel prossimo paragrafo vediamo come rinforzare le pagine di accesso per evitare intrusioni non autorizzate.
Proteggi la pagina di login WordPress
La maggior parte delle minacce ai siti WordPress arriva dalla pagina di login: per gli hacker, infatti, penetrare nei siti con credenziali poco sicure è un gioco da ragazzi.
I tentativi che hanno come obiettivo l’accesso alle pagine di ingresso sono chiamati in gergo tecnico “brute force” (attacchi di forza bruta), e consistono in una serie infinita di tentativi di login con combinazioni casuali di nome e password. Esistono malware più e meno raffinati; alcuni – come il botnet che ha iniziato a circolare a novembre 2020 – sono in grado di attaccare il sito scelto da un indirizzo IP diverso al secondo, così da aggirare i controlli di sicurezza e non essere bloccati.
Per questo assicurati di dedicare il giusto tempo ad assumere delle contromisure per rafforzare il tuo sito, partendo da quelle che stiamo per suggerirti. Le prime due non richiedono conoscenze avanzate e possono essere implementate da qualsiasi utente WordPress, anche alle prime armi, mentre per le altre potresti avere bisogno dell’aiuto di un esperto. Vediamo quali sono.
Scegli uno username diverso dallo standard “admin”
La prima cosa che devi fare è modificare l’account di default “admin” che viene creato da WordPress al momento dell’installazione. Variare questa impostazione automatica è una prima mossa semplice ma fondamentale: l’username standard è il primo su cui si concentrano gli attacchi di brute force.
Purtroppo WordPress non permette di cambiare il nome utente, ma basta installare il plugin Easy Username Updater e potrai farlo.
Per rinominare l’utente, vai nella sezione “Utenti” del pannello di controllo. Sotto la voce “Username updater” potrai cercare l’utente admin da modificare e cambiare il suo nome.
Per ridurre i pericoli, assegna sempre il giusto ruolo ai tuoi eventuali collaboratori e tieni i loro profili attivi solo per il tempo necessario. Se affidi a una persona il tuo blog aziendale, per esempio, sarà sufficiente un ruolo di “autore” per consentirle di scrivere e pubblicare gli articoli. Quando non ti servirà più, elimina quell’utente.
Usa delle password forti
Ormai dovrebbe essere una regola scontata, ma spesso ci accorgiamo che i nostri clienti usano delle password davvero troppo semplici. I classici “123456” o “ciao” non possono garantirti il giusto livello di sicurezza. Con un codice d’ingresso sufficientemente complesso, invece, diventa molto più difficile forzare il sito.
Per essere davvero efficace, una parola chiave deve essere di dieci lettere o più e deve avere:
- almeno un carattere maiuscolo;
- almeno un carattere minuscolo;
- uno o più numeri;
- uno o più caratteri speciali come ?, !, €.
Se imposti una parola d’accesso con queste caratteristiche hai poco di cui preoccuparti. Per avere password sempre diverse puoi anche scegliere di affidarti a un generatore automatico per ottenere sequenze di testo e lettere casuali in modo semplice e veloce.
Temi di non ricordarti le password? Fai come noi: utilizza il software LastPass che, già dalla versione gratuita, ti permette di gestire le password in modo semplice e sicuro.
Qui il nostro video:
Rafforzare le credenziali di accesso garantisce un alto livello di protezione: il malintenzionato di turno si troverà davanti una serratura molto difficile da scassinare con i suoi “grimaldelli da hacker”.
Se vuoi davvero blindare l’ingresso al sito ci sono poi alcune misure ulteriori che puoi adottare, che richiedono qualche competenza in più.
Sfrutta l’autenticazione a due fattori
Esistono dei plugin (uno fra tutti WordFence) che permettono di impostare un doppio livello di controllo per entrare nel pannello di gestione. Dopo aver inserito i tuoi dati d’ingresso ricevi infatti una notifica che ti informa che qualcuno sta cercando di introdursi nel sito. Per proseguire dovrai digitare il codice usa e getta ricevuto sul tuo smartphone o scansionare il QR code comparso in un’apposita applicazione, come Google Authenticator.
Con l’autenticazione a due fattori saprai quando qualcuno sta usando le tue credenziali: un ottimo modo per impedire accessi indesiderati.
Vediamo in questo video come implementarla:
Limita il numero di tentativi di login
Con le impostazioni di base di WordPress chiunque può tentare all’infinito di entrare nel back-end del tuo sito. Un attacco brute force continua a provare combinazioni di nome utente e password sempre diverse, senza che tu te ne accorga.
Per fortuna basta un plugin per limitare il numero dei tentativi. Ti consigliamo di scaricarne uno tra Limit Login Attempts, WP Limit Login Attempts o Loginizer e attivarlo il prima possibile.
Inserisci i CAPTCHA
Lo sappiamo, i CAPTCHA sono una gran seccatura, ma sono utili come sistema di protezione. L’acronimo sta per “Completely Automated Public Turing test to tell Computers and Humans Apart”, vale a dire “Test di Turing pubblico e completamente automatico per distinguere macchine e umani”. Per passare il test devi copiare in un box delle stringhe di testo confuse e poco leggibili, distinguibili solo dall’occhio umano e non dai bot.
Si tratta di un ottimo livello di protezione per neutralizzare i malware, che puoi attivare con plugin come Captcha e Really Simple Captcha.
Consenti l’accesso solo a URL autorizzati
Per aumentare ancora di più il livello di guardia rendi la pagina di login visibile solo a una lista di IP di cui ti fidi. Basta un plugin come Restricted Site Access per compilare un elenco di indirizzi autorizzati e impedire ai malware di visualizzare la schermata di ingresso al pannello di controllo.
Questo sistema è molto affidabile, tuttavia non ci sentiamo di consigliarlo troppo, perché limita fortemente la possibilità di ricevere supporto di terze parti. Immagina di essere in vacanza, il tuo sito da errore e né te né altri possono collegarsi per risolvere il problema.
Plugin “nulled” e inutilizzati: un rischio per la sicurezza WordPress
WordPress è un software completamente gratuito, ma per migliorare le performance di un sito spesso sono necessari plugin venduti separatamente. Che si tratti di aumentare le vendite, migliorare il posizionamento sui motori di ricerca o aggiungere funzioni particolari a un tema, i plugin premium offrono un modo rapido per potenziare il tuo sito.
Per siti complessi, come ecommerce con tanti prodotti, può diventare necessaria l’installazione di diversi plugin che lavorano contemporaneamente. L’aggiunta di plugin, che spesso sono venduti sotto forma di abbonamento mensile o annuale, può far salire rapidamente i costi di gestione di un sito. Per questo, potresti avere la tentazione di installare plugin “nulled”, cioè copie piratate di plugin ufficiali.
I plugin “nulled” circolano da sempre e nonostante promettano di far risparmiare centinaia di euro, ti consigliamo fortemente di non utilizzarli sul tuo sito WordPress. Spesso e volentieri questi plugin sono la ragione per cui un sito viene violato.
Oltre a non poter essere aggiornati, questi plugin possono contenere malware inseriti di proposito per rubare dati sensibili. Non è possibile sapere in anticipo se un plugin nulled è sicuro o meno e quando ti accorgerai del danno sarà troppo tardi.
Vuoi risparmiare sui migliori plugin disponibili sul mercato e al contempo avere un sito ottimizzato? Ricordiamo che tutti gli abbonamenti WP-OK includono plugin premium del valore di oltre 500€.
Oltre a evitare l’installazione di plugin non autorizzati, consigliamo di rimuovere tutti i plugin non utilizzati presenti sul sito. Ridurre il numero di possibili porte d’accesso equivale ad aumentare la sicurezza (e anche la velocità di caricamento, perché i plugin tendono a rallentare le pagine!).
Suggeriamo quindi di:
- Disattivare i plugin che non servono;
- Rimuovere i plugin e i temi che sono disattivati, perché anche loro possono essere target di attacchi.
Miti e leggende sulla sicurezza WordPress
Tra gli esperti si discute spesso di ulteriori misure per mettere in sicurezza WordPress. Si tratta, in alcuni casi, di soluzioni di cui non è ancora del tutto chiara l’effettiva utilità. Più spesso, invece, siamo di fronte a vere e proprie convinzioni errate che vogliamo sfatare una volta per tutte.
Cambiare URL alla pagina di login serve a qualcosa?
Una parte dei professionisti di WordPress ritiene che modificare l’indirizzo web della pagina di login potrebbe aumentare il livello di protezione di un sito.
È possibile, infatti, cambiare la pagina di ingresso di default di WordPress, [es: www.iltuosito.com/wp-login.php], con un link personalizzato [es. www.iltuosito.com/accessopersonalizzato] per nasconderla agli hacker.
Con il plugin Rename wp-login.php puoi configurare un nuovo URL in pochi minuti. Ti basterà installare l’estensione e attivarla, recarti nella sezione “Permalink” sotto “Impostazioni”, nel menù generale del pannello di controllo, e:
- selezionare Rename wp-login.php;
- scegliere un nuovo indirizzo di login personalizzato, evitando nomi troppi generici come login, admin o backend, che non garantiscono una buona protezione;
- fare clic su “Apply Changes”.
Da questo momento in poi, la tua schermata di login sarà raggiungibile solo dal nuovo indirizzo che hai configurato.
Una precisazione: al momento in cui scriviamo (luglio 2021), non vengono rilasciate nuove versioni del plugin da circa due anni. Leggendo le recensioni sembrerebbe funzionare ancora senza problemi con le versioni più recenti di WordPress, ma raccomandiamo sempre di evitare plugin che non vengono aggiornati da più di sei mesi.
In alternativa, puoi modificare l’URL di login intervenendo via FTP direttamente sui file functions.php, wp-config.php e .htaccess, ma il nostro consiglio è di farlo solo se pensi di avere le competenze necessarie.
Un’ulteriore soluzione consiste nel download dell’estensione Protect Your Admin: ha un minor numero di installazioni e una recensione media più bassa rispetto a Rename wp-login.php, ma aggiornamenti più recenti.
Non è ancora chiaro se nascondere la pagina d’accesso all’interno di un indirizzo web personalizzato porti a un effettivo aumento della protezione del sito. Non è un errore, quindi, ma non rappresenta neanche l’antifurto definitivo per il web!
Cambiare il prefisso “wp_” nei file e cartelle WordPress
C’è chi sostiene che cambiare il nome della tabella del database WordPress ridurrebbe il numero di attacchi SQL injection. Questo tipo di intrusioni sfrutta una falla nel codice di un’estensione WordPress per raggiungere appunto il database del sito.
Ritenere il proprio sito non interessante per gli hacker
L’errore più diffuso in tema di sicurezza è credere che i pirati informatici siano interessati a colpire solo i siti delle grandi società.
In verità, qualsiasi falla nel sistema per gli hacker rappresenta un’opportunità per lanciare malware e spam in tutto il web. E sono proprio le piccole e medie imprese che attirano più facilmente le attenzioni criminali.
Le aziende ad alto capitale prevedono un’ampia porzione di budget per la protezione digitale. Le realtà minori non possono stanziare cifre ingenti e finiscono nella maggior parte dei casi per trascurare la difesa virtuale.
Pensare che il certificato SSL sia sufficiente per la sicurezza
Adeguarti al protocollo HTTPS consolida la fiducia del pubblico, ma non serve per tutelarti dagli attacchi informatici. Il certificato SSL non è un sistema di difesa per i tuoi dati, ma permette solo di proteggere la trasmissione di informazioni tra il sito e i visitatori attraverso la crittografia.
Come vedi, esistono diverse misure per proteggere sito WordPress in modo efficace. Per dormire sonni tranquilli, però, non devi mai trascurare una sua corretta gestione, come vedremo tra poco.
Mettere in sicurezza WordPress: ottieni il massimo della sicurezza per il tuo sito
Come abbiamo visto, per mettere in sicurezza un sito WordPress non basta affidarsi a qualche plugin e seguire un paio di tutorial su YouTube.
Ciò che riduce le minacce informatiche è un monitoraggio costante da parte di esperti in grado di analizzare le anomalie e i messaggi di allerta e intervenire prima che sia troppo tardi. Non dimenticare che a rischiare non sei solo tu e i tuoi contenuti online, ma anche i dati sensibili dei tuoi utenti.
Non per niente, secondo il più recente aggiornamento del Regolamento Europeo sulla Privacy (noto anche come GDPR), in caso di attacco hacker e data breach (violazione dei dati) la responsabilità ricade per intero sui proprietari dei siti web. A quel punto dovresti dimostrare di aver attuato le giuste procedure necessarie a mettere in sicurezza WordPress e l’archiviazione dei dati, e di aver valutato attentamente i rischi del tuo business. Ti senti di avere le competenze tecniche necessarie per garantire sicurezza e pronto intervento in caso di necessità?
A meno che tu non sia un programmatore WordPress, la risposta sarà certamente no. Una buona soluzione potrebbe essere, allora, quella di usufruire anche tu della gestione sicurezza inclusa in tutti i nostri piani di assistenza WordPress.
In questo video ti spieghiamo cos’è Sito Sicuro, come funziona e come tiene i siti protetto da malware e malintenzionati:
Dormi sonni tranquilli: concentrati su altre priorità in tutta serenità.
2 risposte
Articolo interessante… anche io uso Lastpass da anni e effettivamente come dici non se ne può fare a mano una volta che l’hai provato, davvero. Io al posto della app Authenticator uso invece le chiavette Yubico fisiche che sono un passo avanti come sicurezza. Peccato che LP abbia aumentato di parecchio il costo premium mi pare sia 36 euro l’anno… ma li spendo molto volentieri.
Siccome il video di LP è del 2017 volevo chiedere dove posso vedere la data di pubblicazione di questo articolo come degli altri, non mi pare averlo visto. grazie
Ciao Giuseppina!
LastPass è davvero utile, spero solo migliorino l’interfaccia che secondo me può essere più usabile.
La data di pubblicazione dell’articolo è in altro, sotto al titolo.
Questo è un articolo che aggiorniamo spesso, l’ultima volta era il 4 GIUGNO, 2021.
Un saluto