Logo Froglab Agenzia di Comunicazione

Proteggere un sito WordPress in modo semplice

Scritto da francesco nella categoria   il giorno 2 Luglio 2021
Schermata di login di WordPress

WordPress è uno dei CMS, ovvero dei sistemi per la pubblicazione di contenuti, più diffusi: basti pensare che, ad oggi, il 64% dei siti che utilizzano un CMS al mondo è basato su WordPress. Se da un lato questo è un tributo alla piattaforma, dall'altro significa anche che c'è più interesse da parte di hacker e malintenzionati a voler "bucare" il sistema.

Lasciare libero accesso al proprio sito significa consentire ad eventuali hacker di rubare informazioni sensibili riguardo i propri utenti, oltre a rischiare di venire penalizzati da Google. È responsabilità del gestore di un sito, come quella del proprietario di un negozio "fisico", di proteggere il proprio business al meglio delle proprie possibilità.

Questa necessità non deve però spaventare: utilizzando delle semplici strategie è possibile eliminare quasi totalmente la possibilità di trovare il proprio sito esposto a potenziali attacchi. Queste (e altre) sono le strategie che utilizziamo su tutti i siti prodotti da Froglab: alcune sono semplici pratiche di buon senso, altre invece non sono così banali.

La strategia del buon senso

Utilizza password e username sicuri

Il primo intervento da effettuare è quello di utilizzare un nome utente e una password sicuri. Utilizzare come nome utente "admin" significa dare agli hacker già metà delle chiavi di accesso al proprio sito; allo stesso modo è necessario utilizzare una password complessa, in modo da rendere più complicato l'accesso. Consiglio l'uso di password alfanumeriche che contengano anche simboli. Più la password è senza senso e complessa più sarà difficile da trovare. È possibile fare un divertente test sulla sicurezza delle password su questo sito e verificare di persona quanto tempo (teoricamente) un hacker impiegherebbe a crackare una password.

Animazione di inserimento passwrod
Da zero secondi a 21.000 anni in pochi secondi

L'utilizzo di password complesse è buona prassi in qualsiasi occasione e non deve assolutamente essere un deterrente il fatto che siano difficili da ricordare: non è necessario memorizzare le proprie password. Basta utilizzare un qualsiasi programma di gestione password (come 1password o LastPass, per fare degli esempi commerciali) o sfruttare la funzione di memorizzazione password del proprio browser.

Fai backup frequenti

La seconda strategia è quella di ricorrere a backup frequenti: spesso sono gli stessi hosting ad offrire questo servizio, incluso nel proprio pacchetto o come add-on. Di prassi in Froglab abbiamo backup programmati on-server (sul medesimo server del sito) e off-server (ovvero su altro server, diverso da quello del sito) per tutti i nostri siti. Quanto frequenti debbano essere sta alla volontà del singolo e al tipo di sito: un e-commerce o un blog necessiteranno di backup più frequenti (giornalieri) rispetto ad un sito statico.

Mantieni il numero di plugin al minimo

Maggiore è il numero di plugin utilizzati maggiore sarò il pericolo per la sicurezza e l'integrità del sito. Non si tratta di malafede da parte degli sviluppatori, ma di un semplice calcolo statistico: basta un solo plugin "bucato" per compromettere completamente il lavoro svolto; più sono i plugin utilizzati maggiore sarà il pericolo.

Serve quindi razionalizzare il numero di plugin utilizzati e trovare alternative, laddove possibile.

Schermata della repository di WordPress
Una delle categorie di plugin più ridicola è quella degli scroll to top: un plugin può essere letteralmente sostituito da una linea di codice CSS.

Mantieni WordPress aggiornato

È vitale mantenere WordPress e i plugin installati il più possibile aggiornati. Questo non significa necessariamente aggiornare sempre i plugin all'ultima versione disponibile, perché questo potrebbe creare problemi di compatibilità tra le versioni di WordPress e i plugin stessi. Per sapere se un plugin è testato con la propria versione di WordPress è necessario controllare il changelog dell'aggiornamento nella sezione plugin della bacheca.

Schermata di changelog su WordPress
Schermata di changelog per un plugin di WordPress

Attiva SSL sul sito

SSL sta per Secure Socket Layer ed è un protocollo che cripta i dati trasferiti dal sito al browser, rendendo di fatto queste informazioni sicure e non intercettabili. In genere un sito protetto da SSL è indicato da un lucchetto vicino al dominio nella barra dell'URL e dall'utilizzo del protocollo https invece dei http.

SSL attivato sui browser Chrome e Firefox

Di solito il servizio di SSL è incluso nell'hosting, tuttavia alcuni (Namecheap e GoDaddy, per esempio) impongono l'uso di un protocollo proprietario a pagamento. In questo caso l'unica possibilità é quella di sottostare alla "tassa" imposta oppure di migrare il proprio sito verso un hosting che includa di default l'attivazione di SSL sul proprio dominio.

Usa un hosting WordPress VPS

Utilizzare un hosting condiviso significa spartire il proprio server con un numero variabile di altri siti: un problema di sicurezza su uno qualsiasi di questi può compromettere anche il proprio, semplicemente perché si trova allo stesso "indirizzo". Utilizzando un hosting VPS significa mettersi al riparo da questo tipo di pericoli e ottenere una serie di benefici che vanno al di là della sicurezza. Scopri perché è meglio scegliere un hosting cloud.

Ulteriori step di sicurezza

Cambia la pagina di log-in

Uno degli step essenziali per proteggere un sito WordPress è quello di cambiare la pagina di login che, di default, si trova all'URL www.sitointernet.com/wp-admin. Questo step è essenziale perché tutti gli attacchi brute-force ai siti WordPress sono rivolti verso questo URL: semplicemente modificandolo sarà possibile rimuovere la possibilità di essere vittima di attacchi "di massa" rivolti verso questo indirizzo. Come fare? La strada più semplice è l'utilizzo di un plugin come Change wp-admin login, oppure è possibile modificare il file wp-login.php (fai un backup del file prima di procedere).

Basterà infatti aprire il file e rimpiazzare tutte le occorrenze della stringa wp-login.php al suo interno con il nuovo url per il nostro login, come ad esempio gestione-sito.php e salvare: in questo modo qualsiasi tentativo di raggiungere /wp-admin sarà bloccato e la nuova pagina di login si troverà su www.sitointernet.com/gestione-sito.php.

Usa un plugin per la sicurezza (e mantienilo aggiornato)

Esistono diverse soluzioni per garantire la sicurezza di un sito: una tra queste è l'utilizzo di un plugin specifico per la sicurezza. In Froglab utilizziamo WordFence per tutte le nostre esigenze. Questo plugin ci consente in una volta sola di:

  • bloccare il traffico da Paesi da cui provengono la maggior parte degli attacchi (Russia e Cina in particolare);
  • forzare l'utilizzo di password forti per tutti gli utenti;
  • attivare la 2 Factor Authentication per il login;
  • proteggere il file .htdocs;
  • bannare automaticamente IP malevoli.

Altri consigli

Esistono altri trucchi che possono aumentare la sicurezza di un sito WordPress, come ad esempio disabilitare l'editing di functions.php oppure cambiare il prefisso delle tabelle del database, tuttavia si tratta di procedure probabilmente troppo complesse per poter essere spiegate in questa occasione: anche solo utilizzando gli stratagemmi di cui abbiamo parlato è possibile diminuire drasticamente il pericolo di un eventuale attacco.

È importante ricordare come sia i nostri dati che quelli dei nostri utenti siano sempre e costantemente da difendere e come recuperare un sito compromesso sia molto più difficile e costoso rispetto a mettere in pratica dei semplici stratagemmi per fare in modo di poter far crescere il proprio sito in sicurezza.

Share