WordPress e sicurezza: password, hacker e backup

 In Web design

Sviluppare un sito con WordPress è sempre un’avventura eccitante: fra idee, plugin da provare, “content creation” e design, mille test prima di raggiungere un prodotto finito. In mezzo a questo processo creativo, va considerata la sicurezza del sito WordPress. Un sito “sicuro al 100%” è difficile da ottenere, non per questo la questione va ignorata: i proprietari del sito sono anche i responsabili (per questo motivo, ogni e-commerce dovrebbe munirsi di un certificato SSL).

Qualcuno potrebbe pensare che “tanto non interesso a nessuno, tanto non mi beccano”... E si sbaglia: la popolarità di WordPress, il fatto che il suo codice sia di pubblico dominio, sono un punto forte ma anche uno debole. Sfruttando nuove vulnerabilità o di una vecchia versione, oppure sfruttando una password debole, si possono fare danni.

Vi sono accorgimenti e strumenti indispensabili, accessibili a tutti, per la sicurezza di WordPress. Vediamo quali sono.

Password complesse

Ogni qualvolta ci apprestiamo a installare WordPress, dobbiamo creare un database ed un utente ad esso associato. In seguito, creiamo un utente admin. In entrambi i casi, occorre creare una password. La regola d’oro è quella di creare password complesse, lunghe e difficili da indovinare. Per capirci, queste password non sono sicure poiché facili da indovinare:

test, 1234, 1976, Mendrisio, MarioRossi72  oppure Briciola

Una persona malintenzionata che tentasse di accedere alla bacheca, se digitasse “admin” e “test”, avrebbe il totale controllo del sito. Potrebbe immediatamente sostituire i vostri contenuti con altri (il classico “Hacked by”), eliminare pagine e plugin, inserire codice malevolo nei file php e… cambiare la vostra password. Ecco spiegato il motivo dietro la creazione di password complesse.  Una serie casuale di lettere e numeri rappresenta una buona soluzione:

AffcgdTCVG567nmqayLP09123tdfvboppure 33edsr-56fvBM-ZYLm89-56rVB-789mil

Qualora possibile, è utile aggiungere un secondo livello di sicurezza tramite l’invio di un codice tramite SMS da digitare dopo aver inserito la password.

In materia di gestione e creazione delle password, chi scrive consiglia fortemente l’acquisto di 1Password, sviluppato da AgileBits. Oltre a conservare le password in un archivio criptato, il software è in grado di suggerire password complesse. Ottimo supporto tecnico, esiste per Mac, Windows, iOS e Android e si integra nei browser. Un buon investimento.

1Password per Mac

Mantenere WordPress e plugin aggiornati

La seconda regola d’oro è mantenere WordPress e i plugin aggiornati. Proprio come un Microsoft Windows qualsiasi, anche un CMS riceve aggiornamenti di sicurezza, stabilità e nuove funzioni. Effettuare un aggiornamento richiede in genere poco tempo, qualche minuto ben speso. Non aggiornare il proprio sito, significa lasciarlo per maggiore tempo esposto a potenziali attacchi.

Proteggere WordPress grazie a plugin

La terza regola d’oro è mettere in piedi un sistema di protezione costante. Analogamente al gatto e al topo, in mezzo a due aggiornamenti chissà cosa succede! Esistono hacker molto preparati sempre alla ricerca di un modo per fare danni. Proteggersi è d’obbligo, il che significa Wordfence.

Wordfence per WordPress

Si tratta di un plugin gratuito (con funzioni aggiuntive a pagamento) che permette di tenere d’occhio la sicurezza del proprio sito. Grazie a un Web Application Firewall integrato, Wordfence impedisce di essere “hackerati” identificando il traffico sospetto e bloccandolo. Inoltre, blocca gli attacchi di forza bruta. Ciliegia sulla torta, Wordfence permette di bloccare regioni o Paesi interi, come pure singoli IP.

Fonti ufficiali

La quarta e ultima regola d’oro è quella di scaricare o acquistare temi e plugin da fonti ufficiali, dai siti dei rispettivi publisher oppure dal sito WordPress.org. I pacchetti piratati, provenienti da suti dubbi, possono contenere codice malevolo.

Bonus: backup regolare

Effettuare backup regolari. Generalmente, le aziende che vendono hosting offrono i backup automatici. In alternativa e in aggiunta, esiste un ottimo plugin: UpdraftPlus. Gratuito, questo plugin permette di effettuare e automatizzare i backup del sito. Da notare che è possibile configurare l’invio del backup verso una cartella ftp, verso il proprio account Dropbox, Google Drive, ecc.

UpdraftPlus per WordPress

Lo scenario tipico è il seguente: dopo un aggiornamento, stranamente il sito dà una pagina bianca, un errore del server… oppure risulta infettato da un codice php presente su tutti i file. Effettuando un “restore”, è possibile ritornare a una versione del sito pulita da cui ripartire. È essenziale avere in media gli ultimi 3-5 backup dei file del sito (immagini, php, css, ecc.) e del database, all’interno del quale sono salvati i contenuti.

Link interessanti

The Leading WordPress Plugin – UpdraftPlus
WordPress Security Plugin ⎢ Wordfence
1Password
WordPress security doesn’t have to be complicated (in Inglese)

Post suggeriti

Leave a Comment

Inizia a digitare e premi Enter per effettuare una ricerca