Hai da poco installato wordpress ed hai iniziato a scrivere sul tuo nuovo blog, ma ti sei chiesto se l'installazione che hai appena fatto è sicura? Perché è importante mettere in sicurezza wordpress?
Per saperlo leggi questo mio articolo, la guida definitiva per mettere in sicurezza wordpress ed evitare attacchi hacker, http flood e crack di password con pochi semplici accorgimenti.
I programmatori di wordpress rilasciano costantemente aggiornamenti specifici sulla sicurezza, ma molto dipende anche da te e da quello che fai per rendere sempre più sicura la tua installazione.
I contenuti dell'articolo
Le 5 regole per mettere in sicurezza wordpress
Considera che la sicurezza è un tema molto complesso ed articolato, ma soprattutto non sarà mai possibile avere un website protetto al 100%, per cui quello che devi fare è ridurre il rischio al minimo fino a farlo diventare “accettabile“.
Ecco perché è importante rispettare queste cinque regole basilari, proprio per ridurre il rischio al minimo e renderlo gestibile
- utilizza un hosting sicuro e performante
- esegui backup giornalieri
- utilizza il protocollo https
- tieni sempre aggiornato il core di wordpress i plugin ed i temi
- usa una CDN
Inoltre puoi mettere i pratica ulteriori semplici accorgimenti per migliorare ulteriormente la sicurezza della tua installazione
- rimuovi plugin e template non usati
- usa un plugin specifico per la sicurezza
- usa password complesse
- usa username diversi dallo standard
- usa l'autenticazione a due fattori
- limita il tentativo di accessi falliti
- usa una pagina diversa per il login
- rimuovi file di log in chiaro
Andiamo a vedere nel dettaglio ogni singola voce
Metti in sicurezza wordpress con un hosting sicuro
Il tema hosting è molto importante, utilizzare un hosting sicuro e performante rende sicuro e performante anche il tuo website fatto in wordpress.
Con un hosting di qualità avrai a disposizione molti tool e features specifici sul tema sicurezza, log di accessi, statistiche e dashboard specifiche che potranno aiutarti ad identificare eventuali falle o script poco sicuri.
Se non sai quale hosting scegliere posso aiutarti io, sia che tu decida di utilizzare un hosting classico di tipo “managed” sia che tu decida di metterti in proprio ed utilizzare una VPS dedicata
Ti consiglio questo articolo se vuoi optare per la soluzione hosting classico
E questo articolo se vuoi optare per la soluzione VPS dedicata
Se invece vuoi una consulenza non esitare a contattarmi, sarò lieto di aiutarti nella scelta
Stai al sicuro con backup giornalieri
Sembrerà una cosa scontata ma per molti (purtroppo) ancora non lo è!
Avere un backup aggiornato è una delle cose più importanti quando si ha un blog wordpress, cosi come quando si utilizza un qualsiasi software online.
Se utilizzi un hosting serio ed affidabile, come quelli che ti ho elencato sopra, non devi preoccuparti di nulla perché avrai anche il backup giornaliero incluso nel canone del tuo servizio.
Se invece il tuo hosting non prevede un backup giornaliero (male) devi predisporlo tu, per cui il mio consiglio è quello di utilizzare un buon plugin che garantisca tale funzione.
Il migliore in circolazione è senza ombra di dubbio UpdraftPlus, un ottimo plugin utilizzabile sia in versione free che in versione plus (70 dollari) che offre una serie incredibile di opzioni per il backup e restore di wordpress
Utilizza il protocollo https
Ormai il protocollo https detto anche protocollo sicuro è diventato un fattore determinante in ottica sicurezza web e pertanto lo è per i website realizzati in wordpress.
Questi annunci dovrebbero convincerti a migrare su https:
- Google ha annunciato che l'https diventerà un fattore determinante in relazione alla ricerca sul suo motore (questo già basterebbe)
- L'utilizzo del protocollo HTTP/2, che ottimizza moltissimo i tempi di risposta di un website, sarà supportato dai browser solo su connessioni sicure.
- Google Chrome già indica, nella sua barra degli indirizzi, se un website è o meno sicuro
- Matt Mullenweg, il fondatore di wordpress, ha annunciato che nel 2017 alcune funzionalità e plugin saranno disponibili solo sui blog che utilizzano l'HTTPS
Insomma, la migrazione su protocollo https non è più procastinabile. Se vuoi sapere come attivare il protocollo https ti consiglio di leggere questo mio articolo
Nel quale parlo proprio di come installare (gratis) il protocollo sicuro da CPanel con let's encrypt
Tieni sempre aggiornato wordpress
Anche questo accorgimento potrà sembrarti scontato ma moltissime vulnerabilità di wordpress sono proprio correlate con plugin, temi e core di wp non aggiornati.
Per cui tieni sempre aggiornati i tuoi plugin, disinstalla quelli non più supportati che quindi non offrono più aggiornamenti.
Stesso discorso vale per i temi, utilizza un tema professionale che garantisca aggiornamenti periodici e stabilità, disinstalla tutti i temi che non utilizzi e non usare mai (ripeto) non usare i mai gli hacked wordpress theme.
Perché non usare un tema hacked? Te lo spiego in questo articolo:
Ricorda di tenere aggiornato anche il core di wordpress.
In tal senso potrebbe esserti di aiuto un ottimo plugin che, tra le tante cose, invia alert periodici proprio su vulnerabilità correlate a plugin e temi obsoleti o non aggiornati, oltre a fornire un vero e proprio filtro (firewall) nei confronti di accessi malevoli.
Il plugin si chiama Wordfence ed è uno dei più scaricati ed utilizzati in tema di sicurezza wordpress, per cui ti consiglio vivamente di utilizzarlo.
Disponibile in versione gratuita ed a pagamento, anche nella versione free offre ottime performance.
Usa una CDN e metti wordpress al sicuro
Ultimo accorgimento, ma non per questo meno importante, è quello di usare una CDN o Content Delivery Network che oltre a velocizzare il tuo blog grazie alla cache remota sia anche in grado di fare firewalling ovvero funga da protezione tra te ed Internet.
Su questo argomento non ci sono paragoni da fare, esiste (a mio avviso) una sola scelta e si chiama cloudflare
Cos'è cloudflare?
Cloudflare è un cloud reverse proxy che fa anche caching e firewalling ovvero ci protegge e ci velocizza
Per capire ancora meglio guarda questa immagine
Senza cloudflare il tuo webserver è direttamente esposto su internet e deve lui, in prima persona, rispondere sia alle richieste dei tuoi lettori, che dei crawler e bot (es. google) che, infine, di possibili attacchi.
Cloudflare, in automatico, filtra questi potenziali attacchi impedendogli di arrivare al tuo webserver (firewalling), rigira le richieste che non ha nella sua cache (reverse proxy) e fornisce lui in prima persona le pagine web che ha in pancia (caching)
E' quindi un vero e proprio “schermo” protettivo per il tuo website realizzato in wordpress.
Tutto questo si traduce in:
- tempi di risposta più rapidi
- riduzione della banda internet verso il nostro webserver
- azzeramento degli attacchi
Per cui se ancora non l'hai fatto inizia subito ad usare Cloudflare, anche nella versione gratuita offre delle funzionalità avanzate alle quali non si può prorpio rinunciare.
Se vuoi maggiori dettagli ne parlo in questo articolo
Altri accorgimenti consigliati
Oltre a quanto detto, per mettere in sicurezza wordpress il mio consiglio è di applicare anche i seguenti accorgimenti:
- usa password complesse
- usa username diversi dallo standard
- usa l'autenticazione a due fattori
- limita il tentativo di accessi falliti
- usa una pagina diversa per il login
- rimuovi file di log in chiaro
Conclusioni
In questo articolo ti ho fornito cinque consigli su come mettere in sicurezza wordpress ed evitare attacchi hacker, http flood e crack di password.
Ne conosci altri? Come gestisci la sicurezza del tuo blog wordpress? Discutiamone insieme nei commenti!