Mantenere sicuri i siti web WordPress

WordPress non ha sempre goduto di una reputazione positiva per quanto riguarda la sicurezza. Tuttavia, è importante fornire un po’ di contesto per comprendere meglio la situazione. WordPress è attualmente al primo posto nella classifica dei CMS, con una quota di mercato del 64,7% ad aprile 2021. Al secondo posto si trova Shopify con il 5,4%. Infatti, WordPress possiede quasi il doppio della quota di mercato dei successivi 90 CMS più popolari. Esistono molte piattaforme che i “cattivi attori” (nel senso informatico, non cinematografico) mirano ad attaccare.

Inoltre, un gran numero di siti WordPress si basano su temi o plugin preconfigurati per gestire parti o l’intero sito. Spesso, questo può creare situazioni problematiche. Compromettendo un tema o un plugin ampiamente utilizzato, un hacker potrebbe potenzialmente accedere a milioni di siti, rendendo questi temi e plugin obiettivi interessanti.

D’altra parte, esiste un’enorme comunità di sviluppatori di WordPress e, poiché il software è open source, i patch di sicurezza vengono rilasciati rapidamente non appena viene identificata una vulnerabilità. L’ultima versione di WordPress al momento della scrittura aveva ben 481 contributori individuali solo per quel rilascio.

La conclusione principale è che, se stai realizzando un sito web basato su WordPress utilizzando un front-end personalizzato e mantenendo aggiornati sia WordPress stesso che i plugin, sei al sicuro. Tuttavia, ci sono alcune altre cose da tenere sotto controllo e quindi ecco un elenco di consigli per mantenere sicuro un sito web WordPress:

 

1.Usare un firewall per le applicazioni web (WAF). Così come si potrebbe avere un software antivirus sul proprio computer, è consigliabile avere un firewall sul server. La maggior parte degli hosting gestiti, come WP Engine o Kinsta, offrono un WAF. Se si gestisce autonomamente il server, è possibile utilizzare un servizio come Cloudflare o Sucuri per implementare il firewall prima che le richieste arrivino al server (entrambi offrono soluzioni specifiche per WordPress). Se modificare le impostazioni DNS per farle passare attraverso uno di questi servizi risulta problematico, un’alternativa lato server come WordFence può comunque essere efficace.

 

2. Modificare i percorsi predefiniti. Anche se il principio generale della sicurezza tramite oscuramento non rende il software intrinsecamente più sicuro, può contribuire a proteggere dai cosiddetti attacchi automatizzati. Sebbene si possa immaginare la violazione di siti web come un’azione mirata, in cui qualcuno sceglie un sito web specifico e poi lavora per comprometterlo, la realtà è che la maggior parte degli attacchi avviene in modo automatizzato. Strumenti e bot scandagliano la rete alla ricerca di siti che utilizzano software con vulnerabilità note e, una volta individuati, possono essere utilizzati strumenti automatizzati per comprometterli. Apportare modifiche semplici come cambiare l’URL di accesso predefinito, installare WordPress in una sottodirectory in modo che i percorsi di backend siano nascosti rispetto all’installazione standard, o spostare il file di configurazione principale di WordPress, può significare che gli strumenti automatizzati non riconosceranno il sito come basato su WordPress o non riusciranno a eseguire le scansioni, poiché si aspettano percorsi diversi.

 

3. Eseguire versioni aggiornate di PHP. In passato, PHP aveva un ritmo di rilascio piuttosto lento. Tuttavia, negli ultimi anni le cose sono cambiate e ora i rilasci di PHP avvengono più frequentemente, apportando miglioramenti in termini di velocità, stabilità e, soprattutto, sicurezza. Solitamente, è un compito abbastanza semplice assicurarsi di utilizzare una versione aggiornata di PHP, e vale la pena dedicare del tempo a farlo per avere maggiore tranquillità.

 

4.Implementare l’autenticazione a due fattori (2FA). 2FA (autenticazione a due fattori) è il processo di conferma di un tentativo di accesso inviando un codice (solitamente a un indirizzo email o a un dispositivo mobile) oppure generando un codice tramite un’app di autenticazione, come Google Authenticator, quando si effettua un tentativo di accesso. Questo rappresenta un ulteriore livello di sicurezza oltre al nome utente e alla password e garantisce che, anche se un nome utente e una password vengono rubati o compromessi, un attaccante avrà bisogno di un accesso aggiuntivo al tuo indirizzo email o dispositivo mobile.

Per WordPress sono disponibili molte soluzioni di 2FA, a seconda delle specifiche esigenze.

 

5. Limita i tentativi di accesso. Limitando il numero di volte che un utente può provare a effettuare l’accesso, puoi rallentare notevolmente gli sforzi di un attaccante. Limitare il numero di tentativi di accesso a circa 3-5 all’ora è di solito un buon equilibrio tra sicurezza e tener conto di eventuali errori umani.

 

6. Utilizza HTTPS e imponi il suo uso ovunque. Installando un certificato SSL valido sul server del sito, è possibile servire il sito in modo sicuro attraverso una connessione HTTPS. Questo garantisce che tutti i dati scambiati tra il sito web e l’utente siano criptati, proteggendoli dagli attacchi “man-in-the-middle” che possono portare al furto di password o dati inseriti nei moduli.

Un ulteriore vantaggio di una connessione HTTPS è la possibilità di servire il sito web e i suoi contenuti tramite una connessione HTTP/2, permettendo la consegna di risorse al browser dell’utente in modo più rapido ed efficiente, migliorando così la velocità del sito web.

Inoltre, HTTPS è un fattore di ranking confermato nell’algoritmo di valutazione delle pagine di Google.

È fondamentale garantire che una connessione HTTPS sia obbligatoria in tutto il sito una volta installato un certificato SSL. Questa configurazione avviene solitamente tramite il proprio server web (NGINX o Apache, di solito).

 

7. Disabilita l’Editor di file integrato disponibile per gli amministratori connessi. WordPress include un editor integrato che permette agli amministratori di modificare i file dei temi. Lasciando attivo questo editor, se qualcuno dovesse ottenere accesso a un account amministratore, potrebbe inserire il proprio codice nel sito direttamente dal pannello di amministrazione di WordPress, senza mai dover accedere al server stesso. Questa funzionalità dovrebbe sempre essere disabilitata.

Inoltre, la maggior parte dei siti web dovrebbe utilizzare un sistema di controllo versione, come Git. Consentire la modifica dei file direttamente sul server web entrerebbe in conflitto con il controllo delle versioni, causando problemi durante il rilascio di nuove versioni del sito.

 

8.Mantenere WordPress e i plugin sempre aggiornati. Non si può enfatizzare abbastanza l’importanza di mantenere aggiornato il software in esecuzione sul tuo sito web. Una volta che una vulnerabilità diventa nota, è fondamentale assicurarsi di essere protetti. Fortunatamente, WordPress e la maggior parte dei plugin affidabili sono ben curati e aggiornati; seguendo un buon programma di aggiornamenti, come ad esempio ogni due settimane, si riduce notevolmente il rischio di compromissione.

Una nota sulla sicurezza e il suo impatto sulla SEO: un effetto collaterale di un sito compromesso può essere una significativa perdita di posizionamento nei motori di ricerca. Ciò può accadere per diverse ragioni:

Un server compromesso utilizzato per inviare spam, con conseguente inserimento dell’indirizzo IP del server web in una lista nera.
Software nascosto, come i miner di criptovalute, che viene eseguito in background, rallentando il sito web.
Script aggiuntivi inclusi durante il caricamento del sito, influenzando la valutazione dei Fondamentali Web del sito.
Il sito viene alterato o disabilitato, causando una classificazione errata da parte di Google o la sospensione dell’indicizzazione del sito.
La rilevazione di malware da parte di Google viene attivata, contrassegnando il sito come infetto e impedendo agli utenti di accedervi. Risolvere questo problema può essere un processo difficile e lungo.

Conclusione: adottando alcune precauzioni, WordPress può essere un sistema di gestione dei contenuti molto sicuro e affidabile. Abbiamo una vasta esperienza con siti WordPress e abbiamo grande fiducia nella nostra piattaforma e in WordPress in generale.

Se gestisci un sito web e ritieni che la sicurezza possa essere un problema, ti consigliamo di collaborare con un’agenzia che possa occuparsi di questo aspetto per te. Come esperti nello sviluppo di WordPress, siamo in una posizione ideale per fornire raccomandazioni sull’ambiente più adatto al tuo progetto.