Introduzione
In questo post affronteremo il vasto e delicato tema della sicurezza WordPress. Naturalmente, un argomento così ampio non può essere risolto in un singolo articolo.
Ho quindi cercato di sintetizzare qui di seguito i concetti chiave, offrendo al lettore una panoramica più o meno ampia su come affacciarsi al tema della sicurezza WordPress.
Inoltre, nel corso dell’articolo, troverai link di approfondimento su determinati argomenti.
WordPress è sicuro?
Prima di entrare nel vivo del discorso, vorrei tentare di dare una risposta a questa domanda più che lecita, facendo anche una piccola premessa.
WordPress è il CMS più utilizzato al mondo, basti pensare che è il “motore” di quasi il 30% di tutti i siti a livello globale.
Ed è stata proprio la sua enorme diffusione a renderlo uno strumento sempre più potente e flessibile.
Nato come CMS (Content Management System) ideale per aprire e gestire un blog personale, è ormai da tempo altrettanto valido per qualsiasi genere di sito (aziendale, E-commerce, portale, directory, ecc.).
Le vulnerabilità di WordPress sono anche la conseguenza di questa grande diffusione. In informatica si sa, più qualcosa è diffuso e più entra nel mirino di hacker e malintenzionati.
Quindi alla domanda WordPress è sicuro? direi che sì e no è la risposta migliore.
Del resto, sì e no è la risposta che potrebbe riguardare qualsiasi applicativo. Vengono violati siti governativi, siti di banche, social network, ecc. Tutti siti non certo sviluppati in WordPress, quindi ciò indica che è tutto molto relativo.
In linea di massima, dipende sopratutto da come viene gestito il discorso sicurezza, adottando ad esempio misure adeguate al caso specifico.
La decisione quindi di utilizzare o meno WordPress, dipende dal progetto che si vuole sviluppare, da dati e informazioni che saranno presenti sul sito e dal budget che si ha a disposizione.
Eviterei di sviluppare il sito di una banca in WordPress (anche se c’è chi valuta l’idea, io personalmente non dormirei sonni tranquilli). Ma lo consiglierei, oltre che per un sito personale, anche per un sito aziendale, un portale o un E-commerce.
Sicurezza WordPress base
Ma veniamo a noi e iniziamo a parlare di sicurezza, quella base.
Almeno parte del rischio di eventuali attacchi al sito credo possa essere scongiurato con semplici accorgimenti:
- Aggiorna alle nuove versioni di WordPress
- Mantieni aggiornati i plugin installati
- Effettua un backup periodico di database e files
Il Core di WordPress è di per se piuttosto sicuro. E appena dovesse emergere un bug di sicurezza viene risolto piuttosto tempestivamente col rilascio di un aggiornamento. Le vulnerabilità derivano normalmente da plugin aggiuntivi, temi e codice personalizzato. E questa è la ragione per cui sarebbe bene cercare di limitare l’utilizzo di plugin a quelli strettamente necessari.
Generalmente è consigliabile la gestione automatica degli aggiornamenti, almeno per le versioni minori.
Vediamo ora ulteriori accortezze:
- Disabilita la navigazione nella directory
La navigazione nella directory può essere eseguita da hacker per scoprire se si dispone di file con vulnerabilità note, in modo che possano trarre vantaggio da questi file per ottenere l’accesso.
Questa operazione può essere effettuata mettendo mano al file .htaccess oppure attraverso l’utilizzo di plugin di sicurezza.
Per farlo tramite .htaccess sarà sufficiente aggiungere questo codice alla fine del file:
Options All -Indexes
- Utilizza solo i plugin indispensabili per il tuo sito: meno plugin uguale a minor rischio di minacce (e anche a miglior performance, ma questo è un altro discorso).
- Elimina i temi che non usi (una delle prime 10 cose che si consiglia fare dopo l’installazione di WordPress)
Ora non vorrei dilungarmi troppo su tutte le regole base di sicurezza. Se desideri approfondire questo discorso, troverai una lista esaustiva in questo articolo.
Il mio interesse adesso è fornirti una panoramica completa ma anche snella e “pronta per l’uso” su come muovere i primi passi per rendere sicuro il tuo blog o sito in WordPress.
Ti consiglio, pure in un secondo momento, di fare comunque un “ripasso” di tutte quelle che sono le buone regole generali di sicurezza.
L’importanza dell’hosting
Prima di entrare più nello specifico nel discorso sicurezza WordPress, faccio un passo indietro per parlare dell’hosting che ospita il sito.
Su un hosting condiviso le risorse del server sono in comune con molti altri utenti. In altre parole, significa che sul server risiederanno molti altri siti, oltre al tuo. Ciò espone al rischio di una contaminazione tra siti, ovvero un hacker potrebbe utilizzare un sito “vicino” per sferrare un attacco al tuo blog. In pratica, la vulnerabilità di un sito potrebbe essere una porta per attaccare un altro sito sullo stesso server. C’è anche da dire che un buon servizio di hosting prevede comunque misure di sicurezza per almeno quelle che sono le minacce più comuni.
L’utilizzo di un hosting dedicato ovvierebbe a questo tipo di problema e anche ad altri. In generale un hosting dedicato rappresenta di per sé una piattaforma più sicura e performante.
Inutile dire che le due soluzioni hanno diversi costi di mantenimento. Se per un buon hosting condiviso te la puoi cavare anche con circa 50 € l’anno, per un hosting dedicato ce ne vorranno almeno 300 o 400 €.
Come sempre, la scelta dipende da molti fattori e non è questa la sede per entrare nel dettaglio in questo vasto argomento.
Mi limito a dire che nella maggioranza dei casi (e in particolare per chi si appresta ad aprire un nuovo sito), un hosting condiviso andrà più che bene.
Tra i servizi di hosting condiviso, consiglio Siteground o BlueHost.
L’importanza del backup
Di tutte le misure di sicurezza che si possano prendere per proteggere un sito, il backup è la prima. Qualsiasi cosa succeda al tuo sito, avrai sempre l’opportunità di ripristinarlo al momento in cui ancora tutto funzionava, se hai il backup. Una specie di macchina del tempo, insomma.
Se non hai un backup, il rischio maggiore è quello di ritrovarsi un sito irrimediabilmente compromesso, che non è poco…
Molti fornitori di hosting offrono un sorta di backup standard: un servizio incluso nel pacchetto hosting ma limitato. Questo non è sufficiente per stare tranquilli. Occorre fare l’upgrade a un servizio di backup professionale, che normalmente offrono, oppure utilizzare un plugin per WordPress.
Ed è proprio relativo alla gestione del backup, il primo plugin sulla sicurezza WordPress che ti consiglio di installare in WordPress.
Prima di passare in rassegna i migliori plugin di backup per WordPress, è importante capire i punti chiave da soddisfare.
I backup devono essere:
- programmati regolarmente (quotidiani o real time)
- dell’intero sito (database e files)
- salvati in ambienti remoti (non dentro l’hosting)
Aumentare il livello di sicurezza
Adesso che nella peggiore delle ipotesi possiamo contare su un backup, siamo già più sereni. Tuttavia sarebbe bene non arrivare a tal punto. Infatti, il backup, per quanto utili, non va a risolvere le falle di sicurezza del sito che rimarrebbe in ogni caso attaccabile.
Proprio per cercare di ridurre il numero di plugin installati nel sito, consiglio l’installazione di un buon plugin in grado di coprire diversi aspetti chiave della sicurezza. Potremmo al limite considerare la sinergia tra due plugin con diverse funzionalità per ampliare il raggio di protezione.
Esagerare col numero di plugin di sicurezza, sarebbe poco utile se non dannoso (anche fosse solo a livello di performance).
Le opzioni di plugin per aumentare il livello di sicurezza WordPress del sito sono numerose. Tuttavia, i plugin più affidabili, costantemente aggiornati e che offrono protezione su svariati fronti, non sono poi così tanti.
Ovviamente tutti i plugin forniscono una protezione parziale gratuita e una completa a pagamento.
