Che cos’è WordPress?
WordPress oggi è la piattaforma CMS (Content Management System) più utilizzata al mondo, in grado di fornire agli utenti che ne fanno uso, la possibilità di gestire in totale autonomia e senza particolari competenze tecniche avanzate, i contenuti di siti web, blog, ecommerce.
Quanto è diffuso WordPress?
Secondo alcune statistiche, WordPress è il CMS in assoluto più utilizzato. Considerando i siti web presenti in rete, circa il 47% di essi utilizza un sistema per la gestione dei contenuti. In questo gruppo di siti WordPress risulta essere la tecnologia nettamente più diffusa. In definitiva, se torniamo a considerare il totale dei siti web al mondo, possiamo affermare che circa il 27% di essi (quindi un po’ più di 1 sito su 4), oggi è fatto con WordPress. Fonte: https://w3techs.com/technologies/overview/content_management/all
Quali sono i punti di forza di WordPress?
Oltre alla già citata semplicità, i principali punti di forza di WordPress sono:
- Facilità di installazione.
- Facilità di aggiornamento piattaforma e plugin.
- Possibilità di estendere le funzionalità di base tramite plugin gratuiti e/o a pagamento.
- Possibilità di applicare temi grafici sempre diversi, anch’essi, come i plugin, gratuiti e/o a pagamento.
- Possibilità di settare i permalink (friendly URL), per una migliore ottimizzazione SEO delle pagine.
- Gestione di tag e categorie.
- Funzionalità per l’inserimento di commenti sugli articoli.
- Editor visuale per l’inserimento di testi e contenuti multimediali.
- Creazione di pagine statiche e dinamiche (blog).
- Supporto alla gestione Multilingua dei contenuti.
- Possibilità di avere più redattori.
- Possibilità di registrare utenti esterni al sito.
- È responsive (adattabile ai diversi dispositivi).
Va bene per diverse tipologie di business, dai blog amatoriali, ai siti vetrina fino agli E-commerce medio/piccoli (grazie a Woocommerce).
WordPress è sicuro?
Non esiste un software sicuro al 100%, qualsiasi CMS può essere attaccato da numerose e diverse minacce presenti in rete. WordPress, come altri sistemi OpenSource, in passato è stato soggetto ad attacchi di hacker perché il suo codice è liberamente accessibile e analizzabile da chiunque. Queste problematiche sono comuni a tutti i siti, anche a quelli realizzati in semplice HTML.
Puntare il dito contro una tecnologia o un’altra è fondamentalmente sbagliato, perché la causa principale relativa ai problemi di sicurezza dei siti molte volte è imputabile, più che al codice, alla leggerezza e all’inesperienza dei webmaster.
Con poche e chiare regole possiamo rendere il nostro sito WordPress più sicuro, evitando il più possibile l’insorgere di eventuali problemi.
Suggerimenti per rendere più sicuro un sito fatto con WordPress
Rendere sicuro WordPress in fase di installazione
Prima di installare manualmente il nostro WordPress dobbiamo editare il file wp-config-sample.php, qui è consigliato fare le seguenti cose:
- Rinominare il prefisso delle tabelle del database. Trovate la stringa alla dicitura “Prefisso Tabella del Database WordPress”. È sufficiente, per ridurre il rischio di vulnerabilità, aggiungere una stringa personalizzata dopo il suffisso wp_ nel table prefix. Eesempio: wp_abc123_ (sono valide lettere, numeri e underscores).
- Inserire la salt key alla dicitura “Chiavi Univoche di Autenticazione”. Nelle varie voci “define” è possibile inserire le chiavi generate al seguente indirizzo: https://api.wordpress.org/secret-key/1.1/salt/
Evitare problemi di sicurezza legati all’account admin di WordPress
Un suggerimento molto diffuso in rete è quello di non utilizzare l’utente admin creato di default una volta installato WordPress. Questo utente è facilmente “bucabile” perché i malintenzionati sanno che l’utente con i privilegi di amminsitratore di WordPress ha di norma come nome utente proprio la parola admin.
C’è chi suggerisce di rinominare l’account admin e chi addirittura di cancellarlo, dopo aver creato un nuovo utente con i privilegi di amministratore. In tutti i casi è molto importante creare una password complessa e forte, che al suo interno abbia caratteri minuscoli, maiuscoli, caratteri speciali come punti esclamativi o parentesi e numeri, più la password è robusta più è difficile da individuare.
Aumentare la sicurezza di WordPress da attacchi esterni nascondendo la login
Per fortuna tra i vari punti di forza di WordPress citati in precedenza, abbiamo la facilità nel reperire plugin che ci possono dare una mano in diversi ambiti, anche legati alla sicurezza.
Per modificare l’indirizzo di login dei nostri siti possiamo usare, per esempio, WPS Nascondi Login. Questo strumento ci permette di modificare l’URL di login proteggendo il nostro sito da attacchi diretti alla pagina wp-login.php.
Come specificato nella pagina del plugin:
“Non rinomina letteralmente o cambia il file nel core, né aggiungere regole di riscrittura. Intercetta semplicemente le richieste alla pagina e funziona su qualsiasi sito web con WordPress. La pagina wp-login.php e la cartella wp-admin diventano inaccessibili, così dovreste inserirli nel segnalibro o ricordare l’url. Disattivando questo plugin riporta il sito esattamente allo stato che era prima.”
Installare plugin per la sicurezza
Esistono diversi plugin con funzionalità di sicurezza molto utili per proteggere l’installazione di WordPress da attacchi malevoli.
Un plugin che utilizzo spesso, e che consiglio, è Wordfence Security. Con questo strumento è possibile:
- Effettuare una scansione del proprio sito e risolvere le problematiche risultanti.
- Impostare un Firewall per limitare gli attacchi esterni.
- Monitorare le persone e i “bot” che navigano il tuo sito tramite la sezione Live Traffic.
- Limitare l’accesso a specifici indirizzi IP o a determinati paesi
- Aggiungere ulteriori funzionalità di sicurezza con la versione Premium (a pagamento).
Limitare il numero massimo di tentativi di login
Considerando che molti attacchi ai CMS provengono dal classico tentativo di forzare l’accesso al sistema tramite la login, un altro plugin che può esserci molto utile è Login LockDown.
Come scritto nella pagina del plugin, esso:
“Limita il numero di tentativi di accesso di un determinato intervallo di indirizzi IP entro un certo periodo di tempo.”
Questo tool di WordPress è molto semplice da impostare, tramite le opzioni possiamo, tra le varie cose:
- Impostare un numero massimo di tentativi di login.
- Impostare il tempo di attesa necessario prima di poter tentare un nuovo accesso.
Utilizzare temi e plugin originali
Installare temi e/o plugin piratati e scaricati da siti non sicuri, aumenta esponenzialmente le possibilità di incappare in trojan o backdoor, nascosti nei vari files. In definitiva, visti anche i costi non esorbitanti di determinati temi e plugin, non vale proprio la pena rischiare di compromettere il proprio lavoro affidandosi a risorse non sicure.
A volte non si è nemmeno sicuri installando plugin originali dal sito di WordPress, quello che mi sento di consigliarti è di verificare sempre:
- La compatibilità con la vostra attuale versione di WordPress.
- Quando è stata l’ultima volta che il plugin è stato aggiornato dal produttore.
- Quante sono le installazioni attive del plugin.
- Le stelline di valutazione degli utenti.
Tenere aggiornato WordPress, ma anche i temi e i plugin installati
WordPress e i suoi temi e plugin, vengono costantemente aggiornati dai vari produttori. Molte volte per aggiungere nuove funzionalità, ma spesso anche per correggere bug e falle relative alla sicurezza. Sono proprio queste falle che permettono agli hacker di attaccare i siti non aggiornati.
Effettuare regolari backup
Il backup dei dati è sempre un elemento importantissimo, come è importante salvaguardare i dati del proprio PC, a maggior ragione lo è se parliamo di siti pubblicati online, dove gli attacchi sono sempre in agguato.
In questo articolo abbiamo visto diversi modi per ridurre la possibilità di incappare in simili problematiche, ma come abbiamo già detto è impossibile ridurre del 100% i rischi, ecco che, nel malaugurato caso il nostro sito venga danneggiato, è fondamentale poter avere la copia dei dati conservata in un luogo sicuro.
Per fare questo esistono alcuni plugin, sia free, ma meglio ancora a pagamento, come per esempio UpdraftPlus. Uno, tra i vari, che conosco e che ho utilizzato in passato è WordPress Backup to Dropbox, il quale ci permette di impostare dei backup periodici dei files del sito e del database SQL direttamente sul nostro Dropbox. È possibile anche selezionare files e cartelle da escludere dal backup.
Se questo articolo ti è piaciuto, e ritieni possa essere utile per chi utilizza WordPress, condividilo!
Grazie!