Rendere sicuro WordPress

5
Rendere sicuro WordPress

WordPress è un CMS (Content Management System) cioè un programma che funziona lato server. Come tutti i programmi può avere problemi di sicurezza che se non risolti potrebbero aiutare a compromettere il sito web.
Nella guida che segue vedremo quali sono le più comuni vulnerabilità a cui può essere soggetto un sito web e quali sono le precauzioni che possiamo prendere per rendere sicuro WordPress.

Hosting

L’importanza della scelta dell’hosting

Quando si parla di sicurezza di WordPress il primo argomento che dobbiamo affrontare è quello relativo all’host e al servizio di hosting.
L’host è il server web che ospita un sito web mentre l’hosting è il servizio di rete che lo gestisce. Un host sicuro e affidabile è la base di partenza per garantire un alto livello di protezione di un’installazione WordPress.
Scegliamo un hosting che fornisca sempre le versioni più stabili e aggiornate di tutti i software presenti sul server web e che offra un metodo di backup e di ripristino affidabile.
Non scegliamo hosting gratuiti ma scegliamo hosting professionali e con un buon servizio di assistenza che abbiano tempi di risposta brevi e siano in grado di seguirci in modo ottimale in caso di problemi.

Un host sicuro è una buona base di partenza per rendere sicuro WordPress ma non basta. Il servizio di hosting è responsabile dell’infrastruttura in cui si trova il sito web ma non è responsabile del CMS installato e quindi delle sue vulnerabilità.

Installazione

Scarichiamo WordPress soltanto dal sito ufficiale

Se dobbiamo installare WordPress scarichiamo sempre l’ultima versione disponibile. Inoltre effettuiamo il download soltanto dal sito ufficiale wordpress.org.
Non preleviamo i file di installazione in altri siti web perché il codice potrebbe essere stato manomesso e contenere malware.

Aggiorniamo sempre WordPress

Manteniamo WordPress sempre aggiornato all’ultima versione disponibile.
Una delle regole più importanti da seguire per rendere sicuro WordPress riguarda gli aggiornamenti.
Gli aggiornamenti relativi alla sicurezza risolvono i problemi di vulnerabilità del CMS. Quando viene scoperto un nuovo bug, cioè un errore del codice che potrebbe rendere vulnerabile WordPress, le informazioni riguardanti le modalità per sfruttare la vulnerabilità diventano di dominio pubblico nel giro di pochissimo tempo. Per correggere l’errore viene rilasciato un aggiornamento o una nuova versione del CMS in grado di risolvere il problema di sicurezza. Installiamo l’aggiornamento appena questo viene reso disponibile.

Utilizziamo un tema WordPress sicuro

Non usiamo temi WordPress non ufficiali o provenienti da fonti non attendibili perché potrebbero essere stati manomessi.
Utilizziamo soltanto temi provenienti dalla repository di WordPress o da siti web conosciuti. Rendere sicuro WordPress è inutile se il tema utilizzato contiene malware o è pieno di bug.

Aggiorniamo sempre il tema WordPress utilizzato

L’importanza degli aggiornamenti vale anche per il tema utilizzato.
L’aggiornamento del tema WordPress, oltre ad aggiungere nuove caratteristiche e funzionalità può correggere eventuali bug dei template files, aumentando la sicurezza e riducendo il rischio che il sito web possa essere violato o compromesso in qualche modo (→ come aggiornare un tema WordPress).

Plugin di WordPress

Usiamo soltanto plugin ufficiali

Usiamo soltanto plugin ufficiali provenienti dalla directory plugin di WordPress o plugin provenienti da siti web conosciuti.

Aggiorniamo sempre i plugin

Aggiorniamo sempre i plugin di WordPress ogni volta che viene rilasciata una nuova versione per risolvere eventuali problemi di vulnerabilità.

Backup

WordPress è costituito da due parti principali: i file che compongono il sito e il database MySQL. Facciamo backup regolari dei file e del database MySQL per ripristinare velocemente il sistema in caso di compromissione (→ come fare il backup di WordPress).

Password

Usiamo sempre password sicure. Una password deve essere composta da almeno otto caratteri alfanumerici, deve contenere lettere minuscole e lettere maiuscole e almeno un carattere speciale (→ come creare password sicure). Non usiamo come password il nome del sito web e qualsiasi altra informazione riconducibile a esso.
WordPress include un misuratore della robustezza della password che viene visualizzato quando si cambia password di accesso. Utilizziamolo per testare la robustezza della password.
Modifichiamo periodicamente la password di accesso.

Computer

Un aspetto spesso sottovalutato riguarda la sicurezza del PC. Rendere sicuro WordPress potrebbe essere inutile se nel computer è in esecuzione un keylogger capace di intercettare le password utilizzate per accedere al sito web.
Utilizziamo sempre l’ultima versione disponibile del client FTP.
Usiamo software che supportino la crittografia SFTP (SSH File Transfer Protocol) per crittografare le password quando ci colleghiamo al server remoto evitando che possano essere intercettate.
Non lavoriamo su WordPress utilizzando hotspot Wi-Fi o reti non affidabili. Se utilizziamo una password di accesso in una connessione non crittografata potremmo correre dei rischi.

Permessi sul server web

Impostiamo i permessi corretti per file e directory del server web. I permessi definiscono chi può accedere in lettura e scrittura ai file e alle cartelle del sito WordPress.
I permessi devono essere 755 per le cartelle e 644 per i file. In questo modo limiteremo il permesso di scrittura e quindi la possibilità di modificare file soltanto al proprietario dello spazio web.

WordPress

Chiavi di sicurezza

Usiamo sempre le Security Keys per rendere sicuro WordPress nell’accesso al back end (→ cosa sono le Security Keys di WordPress).

Nascondere la versione di WordPress

Ogni versione di WordPress ha una sua vulnerabilità che appena scoperta diventa di dominio pubblico in pochissimo tempo. Nascondere la versione utilizzata eviterà di far sapere quali sono i punti deboli della nostra installazione (→ come nascondere la versione di WordPress).

Negare l’accesso al file wp-config.php

Il file wp-config.php è il file che contiene le impostazioni del database MySQL. L’accesso a questo file dovrebbe essere consentito soltanto al proprietario dello spazio web (→ come bloccare l’accesso a wp-config.php).