Alcune semplici regole per mantenere sicuro il tuo sito in wordpress
Gestire a piacimento il proprio blog con wordpress è di una facilità disarmante, motivo per cui molte persone hanno trovato libero sfogo alla loro creatività con blog di cucina o viaggi, ma non sempre viene posta abbastanza attenzione sulla sicurezza di wordpress.
Questo perché spesso ci si dimentica di implementare su wordpress tutto il necessario per proteggere il sito da attacchi, ma la prima ed essenziale mossa è quella di assicurarsi di avere installato il proprio sito presso un hosting provider sicuro, come lo è ad esempio l’hosting wordpress di Shellrent che ha come motto “security first“, cioè la sicurezza prima di tutto.
Per sicurezza, in questo caso ci si riferisce sia alle installazioni di software certificati e di anti malware, ma anche sicurezza dell’intera infrastruttura e delle reti.
Certificato SSL
Una volta che il vostro sito in wordpress è installato dovete assicurarvi di avere il protocollo https attivo e protetto da un certificato SSL.
Fare questo è abbastanza semplice, sia che abbiate un pannello di controllo Plesk o che abbiate cPanel, vediamo come:
- La prima cosa da fare è installare il certificato SSL, di solito quello fornito gratuitamente Let’s Encrypt.
- In seconda battuta dovreste fare in modo che i file di configurazione come wp-config.php, wp-settings.php ed anche il file index.php vengano posti in sola lettura, così che nessuno possa modificarli tranne voi che siete admin.
Non porre l’attenzione a questo particolare potrebbe esporvi al rischio che qualcuno riesca ad iniettare codice malevolo nel vostro sito web senza che ve ne accorgiate.
Ora che avete installato il certificato e messo al sicuro i vostri file di configurazione, dovete impostare il sito in https, ed anche questa operazione è molto semplice in quanto dovreste farla senza problemi con un semplice click.
Ora però dovete installare un plugin che vi aiuti a mantenere sicuro il vostro sito tenendo fuori i malintenzionati.
Plugin per la sicurezza wordpress
In questo articolo vi parleremo di iThemes Security, uno dei plugin più potenti ed usati nelle installazioni wordpress, riconoscendo automaticamente password troppo deboli, plugin non aggiornati da troppo tempo e molto altro.
Questo plugin già nella versione gratuita vi offre una buona protezione di base, ma con poco più di 65€ all’anno potete sfruttare le funzioni della versione PRO:
- Rileva modifiche ai file
- Integra il reCAPTCHA al login wordpress
- Rileva i 404
- Vi protegge da attacchi di tipo “brute force” e vi avvisa via mail
Ovviamente oltre iThemes Security vi sono molti altri ottimi plugin per la sicurezza in wordpress, tra cui troviamo, ad esempio:
- Wordfence Security
- All In One WP Security & Firewall
- Security Ninja
- Defender
Altri trucchi per la sicurezza wordpress
Abbiamo visto quanto sia essenziale installare un certificato SSL e passare in https, ma soprattutto di come un buon plugin dedicato alla sicurezza possa fare molto, ma esistono anche altri piccoli trucchi per aiutarvi a mantenere il vostro sito pulito e sicuro.
Tra queste tecniche troviamo sicuramente il metodo di cambiare l’URL di accesso al backend del vostro sito, modificandolo dallo standard “/wp- admin” o “/wp-login” in qualcosa del tipo “/mioaccesso” o quello che preferite.
In questo modo sarà più difficile individuare la porta di accesso al vostro sito web e provare a trovare la password (che spero non sia “admin”…).
Se siete pratici lo potete fare modificando il file .htaccess, altrimenti un semplice plugin come “Protect Your Admin” farà al caso vostro.
Un secondo trucco per difendervi è quello di impostare sempre una password piuttosto complicata, inserendo caratteri speciali, numeri, lettere maiuscole, per far si che sia veramente difficile da trovare. Non sapete quanti lasciano la password “admin” o “password” per non dimenticarla.
Se volete un ulteriore consiglio, tenete sempre aggiornati tutti i plugin che avete installato, perché molte volte vengono sfruttate le vulnerabilità del codice dei plugin per “bucare” un sito, per cui un plugin aggiornato sarà sempre più sicuro di uno obsoleto.
Conclusione
Avere un sito wordpress sicuro non è poi così difficile, si tratta quasi sempre di avere solo del buon senso nell’applicare delle regole semplici, installare i giusti plugin per la sicurezza ed usare password sicure.
Usare poi dei temi a pagamento e plugin in versione PRO sarà sicuramente un altro vantaggio a favore della sicurezza del vostro sito web.
