Questo è un post tecnico di 6 anni fa. Le istruzioni potrebbero non essere più valide. Publicato: Aprile 16, 2019 Aggiornato: Marzo 30, 2022
Affidarsi ad un’installazione pulita di WordPress non è sempre la scelta migliore sotto il profilo della sicurezza. In questa guida voglio mostrarti i passi fondamentali che devi effettuare per blindare WordPress in maniera ragionevole, il tutto senza ricorrere ad esperti di sicurezza o spendere soldi in costosi tool.
WordPress è il CMS maggiormente preso di mira dagli hacker. Rendiamo la vita più difficile a chi vuole bucare il nostro sito!
La sicurezza di un sito web dipende da molti fattori. Dai server utilizzati alla configurazione dell’hosting, senza dimenticare il controllo di tutti coloro che hanno un accesso da amministratore e naturalmente all’aggiornamento dei temi e plugin del tuo sito WordPress.
Come ben sa chi si occupa di sicurezza e di come rendere sicuro WordPress, sono tante le potenziali falle di sicurezza e per tenere tutte sotto controllo è necessario un team di professionisti.
Naturalmente non tutti hanno queste esigenze. Non tutti accumulano i dati di centinaia di migliaia di persone tramite il loro sito web e non tutti possono permettersi di investire parte del fatturato in un gruppo di esperti della sicurezza.
Questo non significa però che bisogna prendere sotto gamba l’aspetto della sicurezza: anche un sito con poco traffico e privo di un e-commerce può essere preso di mira da un hacker che vuole fare esperienza con bersagli facili.
Fortunatamente WordPress è un sistema ragionevolmente sicuro e semplice da blindare, a patto di seguire una serie di semplici accorgimenti che sono alla portata di tutti e che scoprirai continuando la lettura di questa guida.
Proteggere la tua installazione di WordPress richiede una serie di regole e accorgimenti precisi da seguire: un po’ come nel gioco delle carte, dove se non conosci le regole puoi solo sperare nella fortuna del principiante.
Aggiornare WordPress, i suoi temi e i suoi plugin
La maggior parte degli attacchi ai siti WordPress sono legati a dei bug non risolti. Piccole banalità che però possono compromettere la sicurezza dell’intero sito web altrimenti a prova di manomissione.
Non è raro imbattersi in installazioni di WordPress con e-commerce che installano versioni vecchie di un anno o più senza preoccuparsi di effettuare una minima manutenzione.
Questo accade perché dopo aver fatto creare il sito web, non ci preoccupiamo di pagare quel minimo di assistenza necessaria per fare una costante verifica complessiva del sito web.
Una scelta sbagliata, ovviamente: per risparmiare pochi euro all’anno si rischia di dover spendere cifre di molti ordini di grandezza superiori per rimediare ai danni fatti.
E dire che non ci vuole un esperto per effettuare queste semplici operazioni: basta accedere con un account amministratore del sito e verificare la presenza di aggiornamenti importanti, sia dell’installazione di WordPress, sia dei plugin o del tema utilizzati sul sito. In alcuni casi potrebbero esserci dei conflitti tra la nuova versione di WordPress e alcuni plugin più vecchi, se questi non sono aggiornati con frequenza.
Solitamente si verrà informati del problema e si potrà rimandare l’aggiornamento sino all’uscita di una nuova versione del plugin o del tema. In casi più rari può succedere che il plugin o il tema non sia più sviluppato. In questi casi la soluzione deve essere radicale: eliminarli e sostituirli con uno che svolga le stesse funzioni ma che sia costantemente sviluppato.
Operazioni preliminari per rendere sicuro WordPress
Dopo la verifica degli aggiornamenti di temi e plugin WordPress, è necessario verificare le impostazioni di sicurezza di base per assicurarsi che tutto sia impostato correttamente.
Solitamente queste operazioni vengono fatte all’atto dell’installazione di WordPress, ma non tutti seguono questi passaggi preliminari.
La prima cosa da verificare sono le password: da quanto non vengono cambiate?
Le password devono essere aggiornate con una certa frequenza, almeno una volta ogni 2/3 mesi, ma chi per tempo o chi per inesperienza non sempre attua questo accorgimento.
E dire che modificare le password è di una facilità disarmante: basta installare un apposito plugin, come ad esempio Expire Users
Per maggiori dettagli, dai un’occhiata alla guida come installare un plugin WordPress.
Dopo aver installato ed attivato il plugin, devi andare nel menu Utenti e da qui cliccare sulla voce Expire Settings. In questa schermata puoi impostare i giorni per cui considerare valida una password e i ruoli a cui applicare questa regola.
Impostato il cambio password dopo i giorni desiderati, gli utenti al successivo login seguiranno una semplice procedura guidata per aggiornare le loro credenziali di accesso.
Se ti sei accorto ora che anche nel tuo sito le password non sono state cambiate da anni, è consigliabile un reset immediato di tutti gli account.
Non sottovalutare questa operazione perché negli ultimi anni sono stati resi pubblici un’infinità di dati di accesso, che potrebbero includere quelli del tuo sito web.
Per verificare se la tua email fa parte della lista di quelle compromesse puoi verificarlo andando sul sito https://haveibeenpwned.com e inserire i tuoi dati. Qui, invece, trovi la versione tradotta in italiano: https://www.digitale.co/email-check
Plugin per la sicurezza di WordPress che non devono assolutamente mancare!
L’installazione base di WordPress è priva delle funzioni ormai presenti su qualsiasi servizio cloud o anche sui più economici NAS casalinghi, come l’autenticazione a due fattori.
Nessun problema! Perché per attivare queste funzioni è sufficiente scaricare ed attivare uno dei tanti plugin disponibili, come Two Factor o Google Authenticator, che nelle versioni free supportano la verifica tramite app.
Wordfence Security
Tra i migliori plugin per la sicurezza di WordPress, sicuramente spicca Wordfence Security.
Dopo averlo installato, puoi immediatamente provare a scansionare il tuo sito web. Verranno verificati tutti i file di sistema e quelli relativi a temi e plugin alla ricerca di malware o altre minacce note.
Verificato che tutto è a posto puoi attivare anche il firewall e tutte le altre opzioni di live monitoring.
L’interfaccia di Wofdfence è molto ben studiata e comprensibile anche dai meno esperti: per attivare le funzioni di sicurezza, infatti, è sufficiente spuntare qualche voce e non viene richiesta alcuna competenza.
Comode sono anche le funzioni di sicurezza per il login, che permettono di attivare l’autenticazione a due fattori senza ricorrere ad altri plugin e di fare un controllo delle password, alla ricerca di quelle più deboli. Comoda è anche la funzione per il controllo degli account compromessi: con Wordfence potrai scoprire se gli account presenti nel tuo sito sono nella lista di quelli compromessi ed in tal caso procedere immediatamente alla loro cancellazione.
Sucuri
Un’alternativa a Wordfence è Sucuri che offre le stesse opzioni, scansionando in tempo reale l’installazione di WordPress per proteggerla dagli attacchi hacker noti.
Anche con Sucuri, l’interfaccia è semplice e basteranno pochi click per attivare le impostazioni base.
Lo scanner contro le minacce è aggiornato in tempo reale anche nella versione free, mentre Wordfence lo aggiorna dopo 30 giorni, a meno di essere utenti premium.
Abbonarsi a Sucuri non è economico, parte da 200 dollari all’anno ma offre anche dei servizi di disaster recovery con assistenza da remoto entro 24 ore.
Prova Sucuri Gratuitamente per 30 giorni
IthemeSecurity Pro
Si tratta di un plugin che unisce il meglio dei due precedenti e in più aggiunge una comoda interfaccia per il backup automatico.
Sarebbe da consigliarlo senza se e senza ma se non fosse che manca una versione gratuita. Gli 80 dollari all’anno in ogni caso sono una cifra più che accessibile.
Evitare assolutamente il DOWN del sito web
Tutte le soluzioni presentate fino ad ora su come rendere sicuro WordPress sono eccellenti per proteggere il sito web dalle minacce più comuni ma ci sono dei casi dove anche poche ore di down del sito possono generare danni enormi: pensa ad esempio ad un e-commerce durante il periodo dei saldi, che se messo giù anche per pochissimo tempo potrebbe perdere guadagni notevoli.
In questi casi è consigliabile affidarsi a soluzioni specifiche come Cloudflare, utilizzato dalle realtà più importanti per proteggere le loro attività online dagli attacchi e per garantire la disponibilità dei dati anche in caso di picchi di accessi.
Devo ammettere che nonostante per l’installazione sia sufficiente solo un plugin e che sia presente un’interfaccia grafica, andare oltre le funzioni base non è banale e richiede tempo e dedizione. Solo amministratori molto esperti saranno in grado di gestire tutto senza supporto esterno.
WordPress e CloudFlare: proteggi il tuo sito web da attacchi hacker
Un hosting non vale l’altro
Possiamo aver fatto del nostro meglio per seguire tutte le buone pratiche e mettere in sicurezza i nostri siti WordPress ma se il punto debole è chi “hosta” il sito web, il massimo che possiamo fare è affidarci a frequenti backup.
I sistemi illustrati in questo tutorial su come rendere sicuro WordPress possono essere utili per limitare i possibili attacchi hacker ma se ci affidiamo – per esempio – ad Aruba e i suoi server vengono messi fuori gioco da un attacco, possiamo fare ben poco.
Quando scegliamo a chi affidare i servizi dobbiamo sempre verificare che il piano hosting includa degli snapshot giornalieri del server e, soprattutto, che il ripristino sia gratuito o per lo meno abbia un prezzo accessibile.
Molto spesso viene trascurata l’assistenza, che invece dovrebbe essere uno dei fattori principali nella scelta. Si spera che capiti molto raramente di dover chiamare qualcuno per risolvere un problema ma, se è necessario, è fondamentale sapere di poter contare su qualcuno disponibile 24/7, anche durante le feste e – soprattutto – che lo faccia gratuitamente.
Posso garantirvi che i costi elevatissimi degli interventi di emergenza faranno velocemente rimpiangere di non aver speso una manciata di euro in più invece di puntare con poca lungimiranza sul piano più economico.
Attenzione anche alla lingua in cui viene fornito il supporto: alcuni eccellenti servizi includono l’assistenza ma non è detto che sia in italiano, fattore che potrebbe risultare limitante.
Tra i migliori hosting oggi presenti in rete, il mio consiglio si concentra su due in particolare: Siteground e Vhosting Solution.
Siteground
Siteground che di recente ha ampliato le sue funzionalità su tutti i piani hosting.
Il piano StartUp ora avrà i Ripristini Backup gratis. Con questo piano base ora possiamo fare tutti i ripristini che vogliamo direttamente dallo strumento di ripristino backup offerto da Siteground.
Voglio ricordarti che Siteground conserva 30 copie di backup automatiche su tutti i piani e che il ripristino del tuo sito è spesso il modo più rapido per risolvere i problemi che hanno reso il tuo sito inaccessibile.
Il piano GrowBig è stato migliorato inserendo lo Staging per WordPress e Joomla e i Backup On Demand, prima disponibili solo su GoGeek e piani superiori.
Tutti i siti WordPress e Joomla, ospitati su un piano GrowBig, possono ora usufruire dello strumento di staging. Questo strumento ti permette, con un click, di creare una copia del tuo sito su cui puoi lavorare quando hai necessità di fare delle modifiche. Pertanto, puoi testare le modifiche prima di renderle attive ed evitare problemi con il tuo sito online.
Un’altra funzione che gli utenti GrowBig ora avranno gratuitamente è l’opzione di backup On Demand. Se lavorare in un ambiente di staging ti sembra una seccatura, quando devi fare solo alcune piccole modifiche, puoi comunque stare tranquillo creando una copia di backup On Demand appena prima di iniziare a fare le modifiche.
Il piano GoGeek ora offre supporto prioritario avanzato – non solo le richieste di assistenza saranno gestite con priorità, ma saranno anche assegnate ai rappresentanti Siteground più esperti. Ciò garantisce una qualità e una velocità eccezionali che non è seconda a nessun altro hosting premium.
SiteGround WordPress Hosting 2017: la mia impressione 2 anni dopo
Per avere il massimo dal tuo sito web scegli SiteGround. Il miglior hosting per WordPress
La scelta vincente!
Siteground
è la scelta vincente anche per l’e-commerce
SiteGround ha creato anche una soluzione già pronta per vendere online, un e-commerce con tutto incluso anche gli acquirenti.
Siteground
è la scelta vincente per tutti i tuoi business
Scegli SiteGround con AlfonsoStriano. Assistenza e impostazioni, website transfer, domain trasfer GRATUITI.
In un giorno sarai operativo, con la mia assistenza 24h/365.
Se non sei soddisfatto delle prestazioni del tuo vecchio hosting, questo è il momento giusto per trasferire il tuo sito web sull’hosting web Siteground.
Clicca qui per scoprire SiteGround
VHosting Solution
Un’alternativa più economica della precedente ma altrettanto professionale è data da Vhosting Solution, l’hosting Italiano affidabile, semplice, economico e più veloce che mai.
Non sai cosa ottimizzare per rendere veloce il sito WordPress? Non c’è problema, lo ha già fatto per te Vhosting Solution!
Hosting WordPress italiano: scegli il Migliore, scegli VHosting Solution
I loro piani WordPress Veloce e Super Veloce sono configurati nell’hardware e nel software per rendere il tuo sito WordPress davvero prestante anche nella sua installazione standard.
Per il piano WordPress Veloce, corredato dal Web Server Apache, è stata configurata la Varnish SuperCache che agisce su più livelli e utilizza i sistemi di Static e Dynamic Cache.
Il piano WordPress Super Veloce invece sfrutta il potente LiteSpeed Web Server e la sua cache integrata. Entrambi i sistemi, supportati dai relativi plugin per WordPress, forniscono un aumento di performance straordinario.
Il caricamento del tuo sito sarà inoltre velocizzato grazie all’utilizzo del protocollo HTTP/2 per tutti i piani, attivo automaticamente per le connessioni protette da SSL.
I piani WordPress Super Veloce, in più, sono anche già compatibili con il nuovo protocollo sperimentale HTTP-over-QUIC, ancora più performante e sicuro, attivo sulle connessioni protette da SSL.
Se non sei soddisfatto delle prestazioni del tuo vecchio hosting, questo è il momento giusto per trasferire il tuo sito web sull’hosting web Vhosting Solution.
Clicca qui per scoprire VHosting Solution
Una checklist per rendere sicuro WordPress
Le opzioni di controllo dei login di WordPress sono basiche, ed è necessario seguire alcuni accorgimenti fondamentali per rendere sicuro il tuo sito web.
Verifica le password per assicurarti che non siano disponibili in qualche leak.
Prevedi una policy per il cambio frequente delle password.
Blocca i tentativi di attacchi Brute Force tramite i plugin dedicati.
Scansiona regolarmente il tuo sito web tramite i plugin per la sicurezza o i tool online
Un modo veloce e semplice per verificare che un sito WordPress non si affetto da palesi minacce è quello di usare uno dei tanti scanner online, come quello offerto dagli sviluppatori del plugin Sucuri: https://sitecheck.sucuri.net oppure dal sito VirusTotal.
Basta inserire nella barra il link del sito da controllare e attendere pochi minuti per ottenere un report che include dettagli come la versione di WordPress e dei plugin installati, che permettono di scovare facilmente vulnerabilità non ancora risolte.
Fai un backup periodico di tutti i sistemi presenti nel tuo sito web.
Un errore piuttosto comune è quello di non pensare al backup del database e del sito WordPress, magari pensando che a noi non capiti mai un attacco hacher.
Tra i tanti plugin disponibili per il backup, in questa guida, ti suggerisco BackWPup perché permette di automatizzare i backup di tutti i file necessari, velocizzando il ripristino e la migrazione di siti WordPress.
Supporta il protocollo FTP ma anche i principali sistemi di cloud come Dropbox o Google Drive. La versione free è sufficiente per la maggior parte degli utilizzi, mentre i piani a pagamento partano da un minimo di 50 dollari annuali.
Un’alternativa è rappresentata dal plugin Migrate Guru completamente gratuito, anche se offre meno opzioni di configurazione avanzata.
Per maggiori dettagli leggi la guida dedicata a Migrate Guru: Trasferire automaticamente un sito web sul nuovo hosting [garantito 100%]
Sicurezza WordPress 🔒
Misure di sicurezza per i siti WordPress
Esistono diverse procedure per blindare il proprio sito web. Ecco le migliori 9 misure di sicurezza per i siti WordPress.
Come rimuovere il link Password dimenticata dal login di WordPress
Ecco come rimuovere il link Password dimenticata per aggiungere un nuovo livello di sicurezza e di protezione al tuo sito web WordPress
Leggi di più Come rimuovere il link Password dimenticata dal login di WordPress
Ti piace?
Se hai trovato utili le informazioni che ho condiviso, iscriviti subito al mio gruppo chiuso Facebook [WordPress primi passi] o al mio canale Telegram per ricevere in anticipo nuove chicche e nuovi trucchi per il successo del tuo Blog WordPress.
Se ti piace quello che scrivo, fai una donazione per contribuire a sostenere il mio blog! Fai Ora una donazione con PayPal 😉
Mi puoi trovare anche su questi social: Twitter, Facebook, YouTube, Linkedin, e Instagram.
Lascia un commento