WordPress è vulnerabile a gli attacchi informatici?

Wordpres e la sicurezza del sito web
sicurezza attacchi informatici wordpress sito web wireup

WordPress è vulnerabile a gli attacchi informatici?

WordPress ha una reputazione ingiusta sulla sicurezza, spesso additato come CMS molto vulnerabile a gli attacchi informatici. Questa diceria è in circolazione da molto tempo ed è estremamente popolare, alimentando quasi il 30% del web. Di conseguenza, una vulnerabilità nel codice o un attacco di successo su un sito Web di spicco si trasforma in una grande notizia e WordPress diventa il capro espiatorio.

Ci sono due ragioni principali per cui le notizie sugli attacchi informatici riusciti fanno raffigurare WordPress come CMS non sicuro:

  1.  WordPress ha un sistema open search (aperto) per lo sviluppo di plugin e template (temi), la maggior parte dei punti deboli di WordPress riguarda in realtà plugin e template piuttosto che il sistema principale. Questo è il motivo per cui a WireUp limitiamo il numero di plugin che utilizziamo e utilizziamo solo plugin costruiti bene che aggiorniamo  regolarmente.
  2. Una delle principali cause di problemi avviene quando un sito Web non è aggiornato dopo che è stata rilasciata una patch di sicurezza. Come sapete, questo è vero per qualsiasi software: se un sistema non viene aggiornato, diventa vulnerabile agli attacchi informatici. WordPress ha introdotto gli aggiornamenti automatici un paio di anni fa, quindi le patch di sicurezza vengono aggiunte automaticamente all’installazione di WordPress non appena vengono rilasciate. Questo è stato molto utile, ma è ancora molto importante lavorare con un’agenzia WordPress che tenga aggiornati i plugin, effettuando i più importanti aggiornamenti di WordPress e monitorando in modo proattivo le impostazioni di sicurezza del sito.

Fondamentalmente, qualsiasi CMS (o software) di grandi dimensioni può contenere occasionalmente bug che rendono la sicurezza del sito vulnerabile. L’importante è che ci sia un’infrastruttura per trovare e gestire queste vulnerabilità nel più breve tempo possibile. WordPress è in realtà in una posizione fantastica a tale riguardo. Dal momento che è così popolare e ben utilizzato, è molto probabile che le vulnerabilità vengano scoperte dalla comunity prima di un hacker e, quando viene rilevata una vulnerabilità, esiste una comunity di centinaia di sviluppatori che supportano WordPress, quindi verrà tempestivamente riparata tramite un aggiornamento del sistema.

È FONDAMENTALE AVERE GIUSTA CONFIGURAZIONE DEL SITO PER RENDERE IMPOSSIBILE A UNA PERSONA NON AUTORIZZATA L'ACCESSO.

Come proteggiamo i nostri siti Web WordPress

Ci sono molti passaggi che possono essere adottati per garantire una configurazione sicura di WordPress, che può essere regolata per soddisfare le tue priorità. Come standard garantiamo quanto segue:

  • tutti gli account utente hanno password complesse e hanno accesso solo a ciò di cui hanno bisogno
  • disabilitiamo le funzionalità non richieste, come i commenti di WordPress
  • installiamo il software di controllo e registrazione della sicurezza che tiene traccia dell’utilizzo
  • installazione di un certificato SSL

Ulteriori misure da considerare

  • blocco dell’area Amministratore solo agli indirizzi IP autorizzati (quindi solo le persone che si trovano nella tua posizione possono accedere al back-end del sito)
  • doppia autenticazione per tutti gli utenti
  • usa un firewall per applicazioni Web come Cloudflare o Sucuri: il primo offre anche incrementi di prestazioni aggiuntivi
  • implementare altre misure lato server come un Content Security Policy e HTTP Strict Transport Security

Infine, vale la pena sottolineare che WordPress è utilizzato da un numero enorme di marchi globali, compresi alcuni che sono obiettivi ovvi per l’attacco.

Crediamo sinceramente che con la giusta configurazione del sistema principale, la giusta piattaforma di hosting e la manutenzione proattiva in corso, WordPress può essere reso sicuro come qualsiasi CMS disponibile oggi.

Articoli correlati