Come rinforzare le difese di WordPress

La sicurezza dei siti web richiede attenzione costante. Vediamo come rinforzare le difese di WordPress per renderlo più protetto.
Come rinforzare le difese di Wordpress

Tabella dei contenuti

Ci sono alcuni argomenti di cui si potrebbe parlare all’infinito, come le serie tv preferite o la squadra del cuore. Noi di WP-OK forse siamo un po’ strani, ma non smetteremmo mai di discutere dei metodi più efficaci per proteggere un sito WordPress. Ai non addetti ai lavori può sembrare che ci sia poco da dire, ma per noi è una specie di ossessione dettata dal fatto che gestiamo più di 100 siti e li teniamo sicuri e funzionanti, vogliamo sempre il massimo dai nostri siti, giorno dopo giorno.

Anche il team del celebre CMS prende l’argomento sicurezza molto sul serio, offrendo soluzioni rapide e un ottimo servizio di assistenza  in caso di problemi. Siccome però prevenire è meglio che curare, abbiamo deciso di condividere in questo articolo le abitudini più utili per rinforzare le difese di WordPress e ridurre le minacce. Vediamo quali sono.

Sicurezza dei siti WordPress: un obiettivo che cambia

Partiamo da una premessa fondamentale: per quante misure possiamo adottare, il nostro sito non sarà mai protetto al 100%. La sicurezza consiste nella riduzione del rischio al minimo, ma non si arriverà mai alla sua completa eliminazione. Possiamo raggiungere un livello di guardia altissimo, ma una nuova e inaspettata minaccia può comparire da un momento all’altro e costringerci a ripartire da capo.

Alcune regole di sicurezza cambiano anno dopo anno, mentre certi accorgimenti generali restano sempre validi per aiutare WordPress a diventare più forte.

Come proteggere WordPress

Pensa al tuo sito come se fosse la tua casa: un luogo in cui sentirti al riparo e poterti rilassare. Quando cerchi casa fai attenzione a una serie di dettagli importantissimi: il quartiere in cui si trova, la solidità delle fondamenta e della struttura, la qualità degli impianti e delle rifiniture. Per il tuo progetto web devi concentrarti sugli stessi elementi.

Mai sottovalutare la sicurezza di hardware e hosting

Partiamo dall’esterno, dal quartiere e dalle fondamenta. Ogni sito si sviluppa su una tripla base:

  1. una fisica, costituita dai dispositivi hardware con cui il sito viene sviluppato;
  2. due virtuali, e cioè l’hosting e il server che lo ospitano. 

Ne consegue che, se il tuo computer è compromesso da un virus, anche il tuo spazio web è a rischio. La prima cosa da fare è quindi scegliere un buon antivirus ed eseguire dei controlli periodici. Se attraverso la scansione trovi qualche malware, esegui subito un controllo approfondito e verifica che non si sia diffuso al sito.

Le due basi virtuali devono essere altrettanto solide. Oggi esistono molte opzioni per scegliere un hosting affidabile: assicurati che sia stabile, aggiornato, con un buon programma di backup automatici e con un sistema di assistenza rapido.

Assicurati anche che il tuo hosting utilizzi la crittografia e il protocollo sicuro SFTP per il trasferimento file al server. Questo sistema ti garantisce un livello di protezione più alto rispetto al classico protocollo di trasmissione dati (File Transmission Protocol, in inglese, da cui l’acronimo FTP) codificando le password e i dati per renderle illeggibili ai non autorizzati.

Riguardo al server, invece, se il tuo sito è ospitato su un servizio condiviso è molto importante che tu protegga con cura le tue pagine, nel caso in cui gli altri domini presenti sullo stesso server vengano compromessi. Se non ti occupi direttamente delle installazioni dei tuoi spazi web, parla con il tuo webmaster per controllare i tuoi standard di sicurezza.

Se poi hai più siti sullo stesso spazio web è davvero importante tenerli completamente separati e quindi in cartelle diverse.

Nell’ultimo anno abbiamo purtroppo assistito ad un proliferare di cross-site contamination cioè script malevoli che infettano tutti i siti installati nella directory ~/public_html.

Attenzione ai permessi dei file

Le impostazioni base di WordPress consentono l’accesso e la modifica di moltissimi file di sistema da parte del server. È una funzione che in teoria garantisce la massima efficienza, ma che può rivelarsi pericolosa in un hosting condiviso. 

Per sicurezza è meglio restringere i permessi dei file e concederli solo quando servono davvero. Vediamo nel dettaglio quali sono i file che devi blindare:

  1. la directory base di WordPress (la cartella si chiama “/”);
  2. i file di amministrazione nella cartella /wp-admin/;
  3. /wp-includes/, dove si trovano le applicazioni di sistema;
  4. per la cartella dei contenuti dei siti, /wp-content/, il discorso è diverso. Può essere opportuno, infatti, autorizzare il server ad accedere ai file della sotto-directory /wp-content/themes/ se usi il tema di default.

Per cambiare i permessi dei file devi avere accesso alla shell del tuo server, cioè il programma di interfaccia del sistema operativo. Se non hai idea di cosa stiamo parlando meglio chiedere subito l’intervento di un esperto.

Se invece sai come intervenire, inserisci il seguente comando per le cartelle:

find /path/to/your/wordpress/install/ -type d -exec chmod 755 {} \;

e questo per i singoli file:

find /path/to/your/wordpress/install/ -type f -exec chmod 644 {} \;

In questo modo sai sempre chi può accedere al tuo sistema e blocchi gli ingressi indesiderati.

L’importanza degli aggiornamenti WordPress

Dopo aver costruito la tua casa virtuale su solide fondamenta, controlla che abbia anche una buona struttura, e cioè che il sistema su cui si appoggia funzioni bene.

WordPress, come tutti i CMS, viene aggiornato di frequente per risolvere una serie di piccoli problemi di sistema e aumentare la sicurezza. Per mantenerti al passo controlla sempre di disporre della versione più recente, monitorando le notifiche di aggiornamento.

Ci è capitato spesso di lavorare con clienti che rinviano gli aggiornamenti per un mix di paura e pigrizia. È un problema comune, che espone al rischio che qualcosa vada storto quando alla fine si decidono a installarli: molto meglio dedicarti agli a a questo compito con costanza e regolarità. 

In fondo è un po’ come cambiare una lampadina: se se ne fulmina una abbiamo ancora la luce delle altre; se salta una seconda vediamo ancora qualcosa. Ma come facciamo a cambiarle se siamo rimasti completamente al buio?

Temi e Plugin WordPress: scegliere solo il meglio

Andiamo avanti con la nostra analogia con la casa e passiamo all’interno. Impianti e rifiniture sono importantissimi per creare uno spazio accogliente e così le estensioni che usiamo per progettare i siti. Scegli sempre temi e plugin prodotti da sviluppatori affidabili presenti nella directory di WordPress con:

  • un buon numero di installazioni;
  • una media di recensioni alta;
  • un aggiornamento rilasciato da pochi mesi;
  • una pagina di supporto attiva e veloce.

Scegliere delle componenti di qualità, però, non basta. Anche per gli strumenti esterni gli aggiornamenti hanno un’importanza fondamentale per risolvere piccoli problemi e alzare il grado di sicurezza.

Rinforzare gli accessi WordPress

Una volta che la tua casa è finita, devi proteggerla dai ladri con una bella porta blindata. L’ingresso principale del tuo sito è la schermata di login, bersaglio preferito dei cosiddetti attacchi brute force. Si tratta di bot che tentano in continuazione l’accesso nel pannello di controllo con credenziali casuali. Per difenderti procedi così:

  • scegli un nome utente diverso dal solito “admin”, che è in cima all’elenco di ogni bot; 
  • imposta una password forte con almeno 10 caratteri, una lettera maiuscola, un numero e un simbolo speciale;
  • elimina i profili utente che non accedono più al sito;
  • fissa un numero massimo di tentativi di accesso con un plugin come Limit Login Attempts.

Una volta che sarai al riparo dagli attacchi brute force, hai annullato gran parte delle minacce quotidiane al tuo sito raggiungendo un buon livello di protezione. Perché questa condizione si mantenga, non sottovalutare l’importanza di una manutenzione regolare.

Conclusioni

Queste regole di buona condotta ti aiutano a rinforzare il tuo sito WordPress e a tenere alta la guardia, ma non ti tutelano al 100% dai pericoli. 

Ci sono molte altre misure di sicurezza che potresti adottare con l’aiuto di un gruppo di esperti, come limitare gli accessi alla pagina wp-admin e difendere i file di sistema wp-config.php e .htaccess o l’FTP con sistemi di crittografia. 

La routine di sicurezza più importante, però, rimane il monitoraggio costante per risolvere i problemi appena si presentano. Proprio come in casa, c’è bisogno di attenzioni quotidiane per mantenere il tuo sito sempre in ordine.

Se cerchi il meglio per WordPress, una buona soluzione potrebbe essere usufruire anche dei nostri piani di assistenza. Lascia che sia il nostro team a sorvegliare le tue pagine web e concentrati sulle tue priorità lavorative senza più preoccupazioni.

Picture of Team WP-OK

Team WP-OK

Dietro ogni ticket di assistenza WordPress, dietro ogni malware da debellare, dietro ogni richiesta di supporto inviata a WP-OK ci siamo noi: una squadra di esperti di WordPress, al tuo servizio ogni giorno per prenderci cura del tuo sito con competenza, professionalità e cortesia.
Contattaci

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Ti potrebbero interessare

Esperti Yoast
Esperto Elementor
Assistenza WPML
Esperto Avada
Supporto ACF
Esperti Gravity Forms
Siteground hosting
Esperti plugin YITH
Aruba hosting
Supporthost hosting
Esperti CDN Cloudflare
ThemeForest

Pensa al tuo business
perché al tuo sito ci pensiamo noi !

WP-OK è il servizio di gestione siti WordPress e WooCommerce. Un team di esperti che si prende cura del tuo sito.

ABBONAMENTI
AGENZIE
WP-OK Supporto WordPress

WP-OK B.V.
Pieter Langendijkstraat 33-4
1054XX Amsterdam (Paesi Bassi)
P.IVA: NL860943161B01
Numero KVK: 77234073

Tel. 02.87169772 (commerciale)

* IVA applicata ai privati residenti in EU

AZIENDA

SOLUZIONI

PER AGENZIE

SERVIZI

SERVIZI PER ABBONATI

RISORSE

Supportiamo Trees for all
NetZero site
©2015-2024 WP-OK B.V. Tutti i diritti riservati

Privacy policy   Cookie policy   Condizioni d'uso

Qual è l'abbonamento giusto per te?

Compila il questionario per scoprire il piano giusto per le tue esigenze! Ci vogliono solo 2 minuti, parola di WP-OK.

Rispondi alle domande