Sicurezza WordPress per il sito web
WordPress ha una reputazione ingiusta sulla sicurezza, spesso additato come CMS molto vulnerabile a gli attacchi informatici. Questa diceria è in circolazione da molto tempo ed è estremamente popolare, alimentando quasi il 30% del web. Di conseguenza, una vulnerabilità nel codice o un attacco di successo su un sito Web di spicco si trasforma in una grande notizia e WordPress diventa il capro espiatorio.
Ci sono due ragioni principali per cui le notizie sugli attacchi informatici riusciti fanno raffigurare WordPress come CMS non sicuro:
1. WordPress è un open search
WordPress ha un sistema open search (aperto) per lo sviluppo di plugin e template (temi), la maggior parte dei punti deboli di WordPress riguarda in realtà plugin e template piuttosto che il sistema principale. Questo è il motivo per cui a WireUp limitiamo il numero di plugin che utilizziamo e utilizziamo solo plugin costruiti bene che aggiorniamo regolarmente.
2. Aggiornamento del sito web
Una delle principali cause di problemi avviene quando un sito Web non è aggiornato dopo che è stata rilasciata una patch di sicurezza. Come sapete, questo è vero per qualsiasi software: se un sistema non viene aggiornato, diventa vulnerabile agli attacchi informatici. WordPress ha introdotto gli aggiornamenti automatici un paio di anni fa, quindi le patch di sicurezza vengono aggiunte automaticamente all’installazione di WordPress non appena vengono rilasciate. Questo è stato molto utile, ma è ancora molto importante lavorare con un’agenzia WordPress che tenga aggiornati i plugin, effettuando i più importanti aggiornamenti di WordPress e monitorando in modo proattivo le impostazioni di sicurezza del sito.
Fondamentalmente, qualsiasi CMS (o software) di grandi dimensioni può contenere occasionalmente bug che rendono la sicurezza del sito vulnerabile. L’importante è che ci sia un’infrastruttura per trovare e gestire queste vulnerabilità nel più breve tempo possibile. WordPress è in realtà in una posizione fantastica a tale riguardo. Dal momento che è così popolare e ben utilizzato, è molto probabile che le vulnerabilità vengano scoperte dalla comunity prima di un hacker e, quando viene rilevata una vulnerabilità, esiste una comunity di centinaia di sviluppatori che supportano WordPress, quindi verrà tempestivamente riparata tramite un aggiornamento del sistema.
È FONDAMENTALE AVERE GIUSTA CONFIGURAZIONE DEL SITO PER RENDERE IMPOSSIBILE A UNA PERSONA NON AUTORIZZATA L'ACCESSO.
Come proteggiamo i nostri siti Web, WordPress sicurezza
Ci sono molti passaggi che possono essere adottati per garantire una configurazione sicura di WordPress, che può essere regolata per soddisfare le tue priorità. Come standard garantiamo quanto segue:
- tutti gli account utente hanno password complesse e hanno accesso solo a ciò di cui hanno bisogno
- disabilitiamo le funzionalità non richieste, come i commenti di WordPress
- installiamo il software di controllo, wordpress security plugin e registrazione della sicurezza che tiene traccia dell’utilizzo
- installazione di un certificato SSL
–
Ulteriori misure da considerare
- blocco dell’area Amministratore solo agli indirizzi IP autorizzati (quindi solo le persone che si trovano nella tua posizione possono accedere al back-end del sito)
- doppia autenticazione per tutti gli utenti
- usa un firewall per applicazioni Web come Cloudflare o Sucuri: il primo offre anche incrementi di prestazioni aggiuntivi
- implementare altre misure lato server come un Content Security Policy e HTTP Strict Transport Security
–
Infine, vale la pena sottolineare che WordPress è utilizzato da un numero enorme di marchi globali, compresi alcuni che sono obiettivi ovvi per l’attacco.
Crediamo sinceramente che con la giusta configurazione del sistema principale, la giusta piattaforma di hosting e la manutenzione proattiva in corso, WordPress può essere reso sicuro come qualsiasi CMS disponibile oggi.
–
Alcuni plugin sicurezza wordpress, WordPress security
Wordfence per proteggere server e aumentare la velocità
WordFence è uno dei più popolari e diffusi plugin sicurezza wordpress. Si tratta di un plugin per la sicurezza che analizza in maniera approfondita il sito verificando l’a presenza di malware e notificandola immediatamente all’utente. WordFence è in grado di condurre un’analisi accurata che va a interessare non solo i file WordPress ma anche il tema e tutti i plugin installati.
BulletProof Security per proteggere i file
BulletProof Security è un altro wordpress security plugin utilizzato perchè consente di prendersi cura riguardo a differenti aspetti di sicurezza del proprio sito web, come la sicurezza del database e quella dei login.
iThemes Security per proteggersi dai brute force
iThemes Security è anch’esso un plugin di sicurezza con delle funzioni di sicurezza ampie come l’analisi delle vulnerabilità del sito, backup regolari del database, rimozione delle informazioni utilizzate dagli hacker per accedere al sito, il rafforzamento delle credenziali d’accesso, prevenzione dagli attacchi brute-force e l’attivazione di un antivirus per WordPress.