Quali sono i problemi più frequenti e ignorati legati alla sicurezza di WordPress? Lo abbiamo chiesto a Bonaventura di Bello, specialista di WordPress e autore di molti libri tra cui “WordPress: La Guida Completa”.

WordPress è uno strumento eccezionale per chi vuole fare comunicazione online, ma al tempo stesso presenta dei problemi legati alla sicurezza: essendo il CMS più utilizzato al mondo, è sempre più soggetto ad attacchi informatici.

Come tutti i software utilizzati da migliaia e migliaia di persone, WordPress ha delle vulnerabilità che possono essere sfruttate dai malintenzionati per hackerare i siti web.

Questa minaccia, però, può essere limitata innanzitutto acquisendo la consapevolezza che i siti web vengono attaccati costantemente. Ad oggi infatti non c’è una vera consapevolezza di questo problema e la maggior parte degli utenti ne ignora l’importanza, quando invece bisognerebbe sempre tenere a mente che nel momento stesso in cui apri un sito, seppur tu non te ne accorga, lo stanno già attaccando.

Ma veniamo al dunque: quali accorgimenti puoi mettere in pratica per aumentare la sicurezza del tuo sito web o blog WordPress?

Ecco 4 misure di base consigliate da Bonaventura Di Bello.

1. Aggiorna il sistema

WordPress viene continuamente attaccato ma, allo stesso tempo, gli sviluppatori si occupano di aggiornarlo molto spesso per ottimizzarlo al massimo, per cui cerca sempre di mantenere aggiornati WordPress, tutti i plugin e il template.

2. Effettua il backup del sito

Un’azione che ti permetterà di non perdere tutti i contenuti del tuo sito web o blog in caso di attacco informatico è effettuare periodicamente il backup del tuo sito web o blog.

Puoi farlo a mano dal pannello di hosting o dall’FTP, oppure installare alcuni plugin che ti permetteranno di fare il backup del tuo sito web o blog WordPress in maniera più semplice:

• plugin WordPress per backup database: WP-DB-Backup;
• plugin WordPress per backup completo (database + file): BackWPup o UpdraftPlus Backup, che permette di fare dei backup suddivisi in cartelle compresse.

3. Tieniti informato

Per capire se il tuo sito web o blog WordPress sta subendo degli attacchi informatici, ti basta installare un plugin come Wordfence o iThemes Security e attivare il monitoraggio degli attacchi. Grazie a questi plugin puoi ricevere delle newsletter settimanali riguardo la vulnerabilità del tuo sito web direttamente nella tua casella di posta.

In relazione a questo tema, Bonaventura Di Bello ha anche pubblicato un eBook: Blindare WordPress con iThemes Security e Wordfence: Proteggi il tuo sito WordPress dagli attacchi informatici GRATIS!

Perché un eBook focalizzato su iThemes Security e Wordfence? Bonaventura spiega che trovare delle guide complete in italiano è difficile e, inoltre, questi due plugin hanno una tale varietà di impostazioni al loro interno che risulta difficile utilizzarli al massimo delle loro potenzialità se non si ha una guida di riferimento come questo eBook.

Un altro modo per tenerti continuamente aggiornato è Sucuri Site Check, un sito che ti permette di inserire l’indirizzo del tuo sito e fare un check per verificare la presenza di malware.

4. Prendi le giuste precauzioni

Uno degli attacchi più frequenti su WordPress è l’attacco a forza bruta, in cui il pirata informatico cerca di entrare attraverso il login e prendere possesso del sito.

Perché prendere possesso di un sito che magari è stato appena pubblicato e non contiene nulla? Semplice: qualsiasi sito può diventare un sito zombie, cioè uno strumento per spammare, fare operazioni illecite, pubblicizzare siti porno o casinò e così via. Gli attacchi a forza bruta rischiano di farti ritrovare da un momento all’altro il tuo sito bannato da Google e considerato pericoloso.

Cosa puoi fare per proteggere il sito dagli attacchi a forza bruta?

• evita di usare alcuni nomi utenti per l’amministratore: admin, administrator, amministratore, nome del tuo sito;
• utilizza password sicure, addirittura nelle ultime versioni WordPress vengono generate in automatico;
• cambia l’indirizzo di login: normalmente quando si entra in WordPress si utilizza il link nomedelsito/wp-admin/, ma cambiando l’indirizzo di accesso la maggior parte degli attacchi via software (automatici) non riuscirebbero a entrare perché non troverebbero l’indirizzo. Per cambiare l’indirizzo di login ti basta installare un plugin come Rename wp-login.php;
• inserisci il captcha: il plugin Better Login Security and History ti permette di inserire il captcha al momento del login e tenere una traccia cronologica di tutti gli accessi che ci sono stati sul sito, dandoti la possibilità di identificare gli accessi illeciti;
• inserisci una protezione geografica: il 90% degli attacchi provengono dall’estero per cui un’alternativa potrebbe essere impostare il tuo sito in modo che sia visibile solo dal pubblico italiano;
• disabilita la libreria XML-RPC se usi l’app mobile di WordPress: il meccanismo XML-RPC in WordPress consente all’amministratore di utilizzare il sito attraverso le app mobili, permettendo l’accesso da una app piuttosto che da un browser. È quindi un accesso che avviene in una modalità totalmente diversa. Disabilitare la libreria XML-RPC ti aiuta a proteggere ulteriormente il tuo sito da eventuali attacchi.

Ascolta il Podcast e Iscriviti

a cura di Giulio Gaudiano

Scopri idee, novità e consigli per imprenditori e professionisti appassionati di Web Marketing e Business Online.

a cura di Marzia Tomasin

Ascolta le storie di coloro che hanno pubblicato un libro (e la loro vita non è stata più la stessa).

a cura di Paolo Pugni

Impara a uscire dalla guerra dei prezzi al ribasso per vendere meglio, di più e con più margini.

a cura di Fabio De Vita

Aumenta il fatturato e il numero di clienti con LinkedIn e il Social Networking.