Come proteggere un sito WordPress

Gratuito, intuitivo e caratterizzato da potenzialità pressoché infinite, WordPress è il CMS più utilizzato del momento. Le statistiche pubblicate da W3Techs per il 2018 evidenziano un dato significativo: circa 1 sito su 3 è realizzato su piattaforma WP. La sua enorme visibilità, però, rende WordPress uno dei principali obiettivi di hacker e organizzazioni specializzate in cyber crime. Per questo, la sicurezza è un aspetto chiave quando si utilizza WordPress. Anche se è praticamente impossibile ottenere un sito sicuro al 100%, ecco qualche consiglio su come aumentare i livelli di sicurezza del vostro sito WordPress, riuscendo a superare indenni i molteplici attacchi massivi che gli hacker dedicano quotidianamente al sistema WP.

Parola d’ordine: Aggiornamento

WordPress è un CMS in continua evoluzione. Con ottima frequenza vengono rilasciate nuove versioni, disponibili sia sul portale ufficiale che attraverso le procedure di aggiornamento automatico o manuale del CMS stesso. Molti aggiornamenti servono proprio a bloccare minacce specifiche note. Tenere un CMS aggiornato è sicuramente la regola d’oro per aumentare la sicurezza generale di WordPress. L’update della sola piattaforma, però, non basta. È fondamentale aggiornare anche il tema utilizzato e tutti i plugin attivi, anch’essi vulnerabili se esposti ad attacchi mirati.

Login sicuro

Il login in WordPress si effettua da un URL di default, comune a tutti i siti se non modificato. Tutti gli utenti WP conoscono l’indirizzo classico “/wp-login.php” a cui corrisponde la pagina di login. Nasconderla, modificando la URL mediante appositi plugin come WPS Hide Login o Admin Custom Login può essere un buon modo per ostacolare attacchi brute-force. Installare sul proprio dominio un certificato SSL, inoltre, serve a far sì che lo scambio di dati avvenga mediante protocollo criptato, protetto da eventuali intercettazioni. Tutte queste precauzioni devono essere supportate dalla scelta di credenziali sicure e, in particolare, da una password difficile da identificare con tentativi ricorsivi. A tale scopo, il login con autenticazione a due fattori può rivelarsi un’ottima soluzione per aumentare la sicurezza di WordPress in fase di login.

Temi e plugin da fonti attendibili

Scaricate ed installate sulla vostra piattaforma WP soltanto codici provenienti da fonti attendibili. Spesso si trovano in rete temi o plugin premium (a pagamento) scaricabili gratuitamente da fonti non ufficiali. Al loro interno potrebbero nascondersi virus, trojan o backdoor che mettono in pericolo non solo il sito ma anche tutti gli altri ospitati dall’hosting condiviso. Oltre a creare ingenti danni, le backdoor determinano pesanti penalizzazioni del sito nei rank Google. Se pensate che il vostro sito possa essere affetto da una qualsiasi forma di minaccia, plugin come Wordfence Security – Firewall & Malware Scan o portali come Virustotal possono essere utili per una scansione dei file contenuti in FTP, alla ricerca di eventuali infezioni.

Nascondere il file “wp-config.php”

In questo file, presente nella root principale del sito, si trovano tutte le informazioni utili per accedere al database utilizzato da WordPress. Se finisse in mano a malintenzionati, sarebbe un autentico passepartout per entrare nel sito. Alcuni plugin come Hide My WP Ghost – Security Plugin permettono di nasconderlo.
Continuate a seguirci sul nostro blog per scoprire i consigli più aggiornati su come tenere, nel tempo, elevati gli standard di sicurezza in WordPress.

Menu