Come Rendere Sicuro un Sito WordPress al 99%

come rendere sicuro un sito wordpress

Come rendere sicuro un sito WordPress?

WordPress è la piattaforma di CMS più utilizzata al mondo e in Advertilo siamo sempre molto attenti alla sicurezza.

Ci occupiamo di realizzazione siti web professionali e ci avvaliamo (anche) di questo CMS per sviluppare progetti su misura.

Oltre a crearli, tuttavia, cerchiamo di renderli sicuri il più possibile da attacchi esterni e da tentativi di intromissione.

Per questo motivo ti invito a leggere questa guida su come rendere sicuro un sito WordPress al 99%.

Partiamo?

Leggila tutta con estrema attenzione!
E’ una guida molto importante, che verrà costantemente aggiornata!

 

Sicurezza WordPress tramite Backup

1) Aggiornare sempre plugins, temi e “core” di WordPress

Fattore non di poco conto, il primo passo per garantire un certo grado di sicurezza, è quello di mantenere sempre aggiornati tutti i plugins, i temi ed anche il “core” di WordPress.

Prima di effettuare qualsiasi aggiornamento, è buona norma fare sempre una copia di backup del sito e dei database, possibilmente salvando i files su un disco rigido, evitando che il backup stia fisicamente sul server.

I backup devono sempre essere maggiori di 1, quindi farne 2 o 3 è sempre una buona prassi.

Se il tuo sito risulta infetto, fare un backup di una copia corrente è, di fatto, totalmente controproducente.

Le sole parti che in caso malfunzionamento devono solo essere esportate sono quelli relative a PAGINE e POST, in modo da poterli riabilitare in caso di ripristino di una versione precedente.

Meglio avere quindi delle copie più vecchie e sane. In questo modo sarà più “semplice” andare a ricercare il problema che ha generato il malfunzionamento.

CONSIGLIO: per fare il backup ci si può affidare a UpdraftPlus, ottimo plugin che permette di fare quanto sopra indicato.

Sulla dashboard di WordPress è possibile andare nella sezione Plugin ed abilitare l’aggiornamento automatico. In questo modo il tuo server lavorerà per te, caricando tutte le nuove release dei plugin che il tuo sito sta utilizzando.

TIPS: i backup devono essere sempre scaricati (possibilmente) su un disco rigido.
Non lasciare MAI le copie di backup sul tuo server. Se il sito dovesse essere attaccato, con possibile furto di password, perderesti di fatto l’intera struttura del tuo sito!

L’aggiornamento automatico è sconsigliato in questi casi:

  • Utilizzo del solo tema principale, senza tema child ( si rischia di perdere porzioni di CSS inutilmente all’aggiornamento di una nuova versione del tema in uso ).
  • Quando temi possibili conflitti di funzionamento con i plugin che vanno ad impattare direttamente sulla porzione visiva (grafica e formattazione) del sito.

Per togliere qualsiasi dubbio, meglio sempre fare una nuova copia di backup prima dell’aggiornamento sui plugin che possono creare conflitti ( cache, sicurezza, CSS ecc… ).

Se hai dei temi inutilizzati, ti consiglio di eliminarli, lasciando eventualmente solo un tema classico di WordPress nel caso il tuo avesse problemi.

In ogni caso se hai dei temi diversi da quello che stai utilizzando, tienili sempre aggiornati.

Firewall Sicurezza WordPress

2) Utilizzare un buon firewall anti-intrusione e anti malware

Ogni giorno, migliaia di bot sono alla ricerca di un sito WordPress da bucare.

Devi sapere che la maggior parte degli attacchi avviene infatti per mezzo di “automatismi” e quasi mai direttamente dalla mano del singolo hacker.

Quando questi bot trovano una falla, la trasmettono a colui che ha lanciato i comandi.

In questo caso è molto facile che il tuo sito diventi “vittima” di un tentativo di intromissione di malware, spam, codice malevolo o, nella peggiore delle ipotesi, puoi ritrovarti a dire addio per sempre al tuo sito per come lo conoscevi.

Rimettere in piedi un sito “buggato” o “hackerato” non è cosa semplice.

Per farlo è necessario avere una discreta conoscenza del core di WordPress ed anche di informatica.

Solo se hai tenuto al sicuro tutti i tuoi dati, con backup sicuri ed esterni, potrai avere modo di resuscitare il tuo sito.

Questa tuttavia è la peggiore delle ipotesi!

Per evitare questi attacchi è bene affidarsi ad uno o più plugins di sicurezza, che includano:

  • Firewall
  • Anti malware
  • Sistema Anti intrusione (tentativi di accesso con credenziali random)
  • Protezione da SQL Injection o meccanismi simili
  • Blocco degli indirizzi I.P
  • Sicurezza dell’area di login
  • Autenticazione a 2 fattori
  • Scansione del malware

Consiglio: se non hai un sito di un certo valore e contenuti, puoi affidarti a Wordfence, oppure a Sucuri. Entrambi validi nella versione basic.

Wordfence nella versione premium sarebbe sicuramente da preferire per riuscire a proteggere siti di medie/grosse dimensioni date le sue funzionalità.

E’ infatti in grado di prevenire attacchi ad ampio spettro e su larga scala, senza prosciugare le risorse di RAM del tuo server.

Il settaggio non è semplicissimo, specie per chi non se ne intende. Tuttavia è meglio farsi assistere da personale qualificato.

Come rendere sicuro un sito WordPress con i giusti strumenti

In Advertilo non manchiamo mai di consigliare e di seguire al meglio i nostri clienti, in special modo per quanto riguarda la sicurezza.

Per avere un sito WordPress più sicuro puoi utilizzare l’autenticazione a 2 fattori.

Consiglio vivamente a tutti i possessori di siti web WordPress, ed anche ai miei clienti, di voler sempre impostare l’autenticazione a due fattori.

Attraverso l’utilizzo di un plugin ( es.: WordFence ) si può attivare questa modalità di accesso in modo semplice.

Al momento del login, oltre allo username ed alla password, verrà chiesto un codice che sarà visualizzato sul vostro dispositivo smartphone.

Per poter avere questa funzionalità di sicurezza aggiuntiva lo si può collegare ( facendo la scansione del QR code ) tramite Google Authenticator.

App che trovi gratuitamente su Google Play.

Qui trovi un video per poter settare questa funzione:

 

Rendere sicuro un sito WordPress con una CDN

3) Utilizzare una CDN

Utilizzare una CDN ( Content Delivery Network ) ti consente di impostare molti parametri per la sicurezza del tuo sito WordPress, specie quando si trova sotto attacco.

Settare una CDN è comunque un’operazione abbastanza complessa, che prevede di maneggiare alcune porzioni di input del tuo server di origine, come il cambio dei DNS ( Domain Name Service ).

Il consiglio in questo caso è di farti assolutamente aiutare da personale esperto.

L’utilizzo di una CDN può anche velocizzare il tuo sito WordPress oltre a rendendolo più sicuro, ma è anche molto facile incappare in blocchi totali dati da un imprudente settaggio.

Perchè utilizzare una CDN?

Il motivo principale è che una CDN è munita di WAF (Web Application Firewall) che serve sostanzialmente a fare da filtro in caso di attacchi.

La difesa “a strati” permette di gestire protezioni avanzate che hanno effetto contro:

  • Vulnerabilità zero-day
  • Attacchi “Top 10”,
  • XSS, SQLi ( sequel injecton ),
  • controllo delle credenziali esposte a rischio
  • Rilevamento degli attacchi DDoS
  • Controllo della velocità di banda in caso di attacco
  • Offuscamento delle e-mail in chiaro

La miglior CDN, per quanto mi riguarda, è sicuramente CloudFlare.

Sono molto innovativi e sempre attenti a fornire soluzioni all’avanguardia.

4) Abilitare sempre SSL/HTTPS

Di norma molti hosting installano già i certificati SSL sulle loro piattaforme.

Molto spesso sarà il Webmaster a fare questo lavoro, interfacciandosi sul pannello di controllo del server ed assicurandosi che tutto sia al suo posto.

Un certificato creato per errore o comunque non valido, creerà problemi a tutto il sito ed anche alle caselle di posta.

Controlla sempre se a fianco dell’indirizzo del tuo sito appaia un lucchetto come questo riportato in figura:

connessione https

 

Questo ti farà capire se la modalità crittografata di connessione sicura attraverso HTTPS sia effettivamente attiva.

Se il tuo sito è di vecchia data e non lo hai mai aggiornato ad HTTPS, affrettati ad effettuare un restyling del tuo sito web oppure a chiedere al tuo Webmaster che lo faccia per te.

 

Sicurezza Login WordPress

5) Metti in sicurezza le tue procedure di Login

Poco fa ti ho parlato dell’autenticazione a due fattori. Benissimo, ma questo ovviamente non basta!

Per avere una sicurezza maggiore ricordati sempre di:

  • Utilizzare una password molto complessa. Non usare password troppo “stupide” fatte di date, numeri, nomi e tutto ciò che possa essere in qualche modo “sniffato” da un software di hack per password.
  • Far generare una password sicura da WordPress nell’area Utenti > Profilo, oppure generane una molto difficile fatta di lettere maiuscole, minuscole e caratteri speciali ( es.: OjHb79]H#! ). Non salvarla sul tuo PC!
    Se è difficile da ricordare ( haha ), utilizza un software di Password Management tipo BitWarden. Ti sarà di estremo aiuto!
  • Non utilizzare mai come username il tuo nickname con il quale firmi gli articoli e nemmeno “admin”. Ti ricordo che con Wordfence puoi bloccare immediatamente username non validi escludendoli dal tuo sito a tempo illimitato! Occhio però a ricordarti sempre lo username corretto, se non sei una cima o ti sbagli spesso a digitare il tuo user, allora ti consiglio di provare BitWarden!
  • Limitare sempre il numero di tentativi di accesso. Questo esclude la possibilità di penetrazione nel sito se username e password risultino errati per un certo numero di tentativi.
  • Se è possibile, sostituisci sempre l’indirizzo di login ( di solito è /wp-login.php ). Ci sono plugin appositi per poterlo fare tipo WPS Hide Login. Questo limita di molto le possibilità di hacking eseguiti da bot.

6) Mantieni aggiornata la versione di PHP

Altro passo importante su Come Rendere Sicuro un Sito WordPress, è quello di aggiornare sempre la ultima versione di PHP sul tuo server.

Attenzione: prima di farlo, se non sei esperto, chiedi sempre!

Aggiornare la versione di PHP ha molti benefici, fra i quali velocità di caricamento delle risorse, sicurezza e minor latenza, tuttavia devi sapere dove stai mettendo le mani.

Essendo questa una guida per principianti, non ti consiglio di farlo da solo, ma tramite personale esperto in grado di capire se l’ultima versione di PHP sia compatibile con il tuo sito e con il tuo tema.

Su questo sito gira la versione 8.1, ultima release. Ma tutto è stato fatto con estrema cura e con l’ausilio dei nostri collaboratori esperti in campo di Hosting.

7) Rendi sicuro WordPress da attacchi DDoS

Un attacco DDoS  ( Denial of Services ) è un tipo comune di attacco che punta alla larghezza di banda del server.

L’attaccante può utilizzare più programmi e sistemi per sovraccaricare il tuo server.

Sebbene un attacco come questo non metta a rischio i file del tuo sito, se non viene risolto ha lo scopo di mettere fuori uso il tuo sito per un certo periodo di tempo.

Solitamente si sente parlare di attacchi DDoS solo quando capita a grandi aziende. Questo genere di attacchi sono condotti con il solo scopo di creare il caos.

Di norma i piccoli siti non vengono quasi mai attaccati con questa modalità.

Se questo ti preoccupa, ti consiglio di utilizzare Cloudflare, come ho menzionato prima. Questa soluzione dispone di firewall per applicazioni Web che analizza la larghezza di banda utilizzata e blocca completamente gli attacchi DDoS.

8) Inserisci altri utenti con molta cautela

Quando dai in gestione il tuo sito a terzi, accertati che abbiano conoscenza delle basi sulla sicurezza!

Ti faccio un esempio pratico.

Tu inserisci un utente che ha un ruolo di amministrazione o di editor.

WordPress informa l’utente che è stato aggiunto al tuo sito tramite e-mail.

A questo punto all’utente viene chiesto di cambiare la sua password.

Se non è una persona abituata a seguire le buone pratiche di sicurezza, è molto facile che inserisca password troppo semplici e quindi ( a tutti gli effetti ) insicure per il tuo sito.

Prima di inserire QUALSIASI utente, controlla la sua mail!

No, non ti sto chiedendo di fare Sherlock Holmes, ma di controllare che la mail che inserirai nel tuo sito nell’area Utenti non sia in qualche modo già stata compromessa.

Questa è una regola che quasi mai viene presa in considerazione.

Oggi voglio condividere con te anche questa chicca, sperando che possa essere d’aiuto anche per altre persone, quindi ti chiedo di condividere queste informazioni il più possibile.

Per controllare se una mail sia in qualche modo stata compromessa da qualche attacco di hacking, phishing o altre pratiche dannose, ti basterà visitare questo sito:

have i been pwned?

Digitando una singola e-mail nel box di ricerca è possibile effettuare un controllo, per assicurarti di una sua eventuale compromissione.

Se la ricerca risulta positiva…. evita di inserirla!

I dati di accesso a quella mail potrebbero essere già stati venduti ed in possesso di hacker o organizzazioni di cyberterrorismo.

Sarebbe quindi facilissimo per qualche malintenzionato avviare il recupero password tramite mail e trovarsi la porta spalancata.

Se il tuo sito gestisce in automatico le iscrizioni, ti consiglio di prestare molta attenzione.
Specie se gli user (che non conosci affatto) hanno possibilità di scrivere e/o editare del testo all’interno del tuo sito.

Sarebbe un gioco entrare ed editare del testo potendo inserire ( a piacimento ) link dannosi o, peggio, eseguire azioni di spam o hacking.

Controlla quindi i loro permessi e ( nel caso ) aumenta ancor di più il livello di sicurezza, chiedendo loro di cambiare le password di accesso ogni tot. tempo, avendo cura di mettere sempre in approvazione manuale ciò che viene pubblicato, anche per i commenti.

Mi raccomando, prudenza massima = massima sicurezza.

9) Non utilizzare mai temi gratuiti scaricati dal Web

Brutta prassi. Sul serio!

Capita molto spesso che, agenzie o webmaster senza scrupoli, pur di non pagare un centesimo ed offrendo al proprio cliente il peggior servizio esistente, scaricano illegalmente copie di temi WordPress ( spesso già impaginati ) e li rivendono ex-novo ai propri clienti.

Ti ricordo che al 99% un tema scaricato dalla Rete in modo illegale è quasi sicuramente pieno di backdoor di ogni tipo, nascoste nelle immagini e nel linguaggio di programmazione.

Spesso questi malware rimangono latenti per diverso tempo.

Una volta che il tuo sito abbia iniziato a macinare mail, contatti ed inizi ad inglobare dati succulenti… ecco che succede la magia!

Qualcuno prende il sopravvento sul tuo sito ed inizia a fare scraping delle mail e cerca di inserire malware ovunque.

Noi creiamo siti web professionali sia in WordPress che in Php o altri linguaggi nativi, ma ci premuniamo sempre, nel caso di utilizzo di un buon tema per costruire un piccolo sito, di acquistarlo regolarmente negli appositi store e di tenere sempre sotto mano la licenza di utilizzo.

Trovarsi nei guai per aver risparmiato qualche centinaio di euro, è davvero una pessima scelta!

Assicurati sempre di aver a che fare con professionisti del settore, evitando (se possibile) il lavoro “low-cost”.

10) Controlla sempre i LOG degli accessi

Avere un plugin che “registra” ogni cosa che accade all’interno del tuo sito WordPress è sicuramente una buona pratica.

Se hai diversi utenti, con diversi ruoli, puoi tranquillamente tracciare i loro “movimenti” all’interno del sito.

Fare tracing, in questo caso è del tutto legale. Infatti potrai eventualmente risalire ad un determinato utente che ha scritto, caricato o cambiato i settaggi senza che tu te ne sia accorto.

Avere sempre tutto sotto controllo si rivela sempre una buona scelta, specie nel caso tu stia gestendo un sito di e-commerce con diversi utenti oppure stia gestendo un Blog o qualsiasi altro sito che preveda l’accesso e la modifica dei contenuti.

11) Controllare se WordPress è affetto da Malware

Una delle cause più frequenti di iniezioni di Malware nelle piattaforme WordPress è quella di utilizzare temi e plugins “grattati”.

Molti “webmaster” inesperti ( o spavaldi ) installano versioni premium di temi e plugins scaricandoli dal web, senza ovviamente sapere che molte insidie si annidano nelle righe interne del codice sorgente.

Questi script aprono le porte ad intrusioni di ogni tipo, arrivando a trafugare dati e facendo danni di ogni sorta.

Se hai qualche dubbio, puoi controllare se il tuo sito WordPress sia in qualche modo affetto da Malware utilizzando due strumenti abbastanza potenti.

Stiamo parlando di SUCURI (plugin wordpress), malware scanner che analizza tutto ( o quasi ) il codice sorgente annidato nella cartella del server e di WP RECON (piattaforma online).
Quest’ultimo è uno strumento di scanning online messo in piedi da persone di un certo livello in tema di hacking!

12) Aggiungi un filtro anti spam ai tuoi form email

Altra scocciatura comune sui siti WordPress (ma non solo) è quella relativa all’invio di e-mail contenenti SPAM o messaggi indesiderati con link dannosi.

Ad essere presi di mira sono i FORM di contatto spesso mal progettati e privi di ogni forma di protezione.

Per poter ovviare a questa seccatura, che può anche rivelarsi dannosa ai fini della sicurezza informatica, è possibile prendere alcune precauzioni, fra le quali:

  • Inserimento di un sistema antispam come reCAPTCHA
  • Verifica delle email dell’utente

Nel primo caso ci basterà inserire nel form un modulo reCAPTCHA. I plugins più avanzati prevedono l’inserimento di questo tipo di protezione.

Per attivare reCAPTCHA basterà accedere agli strumenti per sviluppatori di Google ed attivare le chiavi.

Una volta registrate le chiavi ( chiave del sito e chiave segreta ) basterà inserirle all’interno del modulo antispam reCAPTCHA sul proprio plugin ed attivarlo.

Personalmente preferisco utilizzare la formula V2 Invisible. Molto meno fastidiosa e non richiede nessun intervento da parte dell’utente.

Per quanto riguarda la verifica della mail dell’utente prima dell’invio del form, ti segnalo che esistono alcuni plugin che effettuano un check in tempo reale, in special modo per WooCommerce.

Quest’ultima tecnica è consigliata solamente nel caso dovessero arrivarti continue richieste o acquisti con mail fake.

Altro ottimo strumento è Akismet, che controlla sia i commenti che gli invii di email confrontandoli con il suo database antispam.

come rendere sicuro un sito WordPress? Le Conclusioni:

Se non sai farlo, chiedi!

Sappi però che la sicurezza informatica non è mai un optional.

In caso di danni, non sarai solo tu a piangere, ma anche i tuoi clienti.

In caso di “breach” o sito bucato, dovrai contattare il Garante per la Privacy e comunicare ai tuoi clienti i dati che siano stati presumibilmente trafugati.

Non è nemmeno facile da sapere. Tuttavia esiste una grande probabilità affinché questo inconveniente possa accadere in un sito WordPress insicuro.

Stai allerta e segui questi preziosissimi consigli!

Aggiornerò spesso questo articolo con tutte le novità su come rendere sicuro un sito WordPress.

Ti piace questo articolo: condividilo!

Articolo scritto da: Thomas Mancin, responsabile di Advertilo.
Specializzato in comunicazione aziendale, commerciale, medica e politica.
25 anni di esperienza nel settore del web marketing dell’advertising digitale e ricercatore sulla cybersecurity.