WordPress è il cms più utilizzato al mondo e proprio per questa popolarità (un po’ come avviene per Windows) è anche il più soggetto ad attacchi e violazioni. Ho promesso di scrivere questa mini guida su come migliorare la sicurezza di un sito WordPress durante l’ultimo corso in aula di marketing sul Web, e quindi posso dire di aver mantenuto la promessa. 🙂

Prima di procedere è però doverosa una premessa: la sicurezza di un sito parte innanzitutto da un’ottima progettazione del sito stesso e da un atteggiamento consapevole del suo sviluppo ed utilizzo. Quindi per migliorare la sicurezza di un sito WordPress è importante:

  • Scegliere un hosting di qualità, che garantisca performance e sicurezza, e magari una continuità di servizio (SLA) al 99,9%. Spesso la scelta dell’hosting viene banalizzata e ridotta squisitamente al suo costo economico. Nulla di più sbagliato, perché è importante ricordare che quasi sempre il ripristino di un sito violato, può costare ad un’azienda davvero molto caro (non solo in termini economici, ma anche di privacy e violazione dei dati).
  • Backup, backup, backup! Riallacciandosi alla scelta dell’hosting, una caratteristica che dovrebbe avere qualsiasi sito Web (meglio ancora se integrato nel pacchetto hosting) è un backup automatico giornaliero. Non serve ovviamente che mi dilunghi oltre nello specificare quanto sia determinante possedere un backup aggiornato del sito.
  • Uso consapevole di temi e plugin, ovvero installare solo ciò che davvero si utilizza nel sito. Evitare di lasciare dei “morti” (anche se disattivati) all’interno della bacheca di WordPress. Quindi scegliere solo software “sviluppato bene”, con comprovate recensioni di affidabilità, ed disinstallare tutto ciò che è superfluo.

Premessi questi aspetti, ora posso spiegarti come puoi proteggere il tuo sito Web con una soluzione semplice, efficace e gratuita. Ovviamente la soluzione che adesso ti illustrerò è solo una delle possibili offerte dalla grande community di WordPress. Esistono soluzioni alternative, altrettanto valide, e soluzione ancora più performanti grazie a software premium progettati appositamente per proteggere i siti Web nella grande Rete. Detto questo, un buon hosting (leggi il mio articolo su questa ottima soluzione hosting per WordPress) assieme alla raccomandazioni che seguiranno, ti permetteranno di migliorare notevolmente la sicurezza del tuo sito Web.

Come migliorare la sicurezza di WordPress

Finalmente passiamo alla parte pratica dell’articolo, ovvero cosa puoi fare per migliorare la sicurezza del tuo sito realizzato con questo straordinario software cms. Esiste un plugin gratuito che ti aiuta con estrema facilità a proteggere il tuo sito e si chiama iThemes Security, e lo puoi scaricare dal’archivio del sito italiano ufficiale di WordPress.

Ad onor del vero iThemes Secuirty è un plugin premium, ovvero a pagamento, ma la versione liberamente scaricabile è una sorta di edizione light, assolutamente completa, affidabile e gratuita, ma con meno funzione della full edition.

Si installa come qualsiasi plugin di WordPress, e una volta attivato viene visualizzata la relativa voce di menu, Security, sulla barra laterale sinistra nel backend.

Guida passo passo di iThemes Security

Una volta attivato il plugin, cliccando sulla voce di menu Security vieni portato nella dashboard di iThemes Security. Il sistema cercherà di farti procedere in maniera guidata con un click sul pulsante “Secure Site”. Io però ti sconsiglio di procedere in questo modo, perché il plugin spesso esegue delle restrizioni così rigide da mandare offline il sito. Intendiamoci, nulla di grave, ma piccole rotture che diventano grandi se non sai dove mettere le mani per ripristinare il tutto.

iThemes_secure-site

Quindi lascia perdere questa finestra cliccando su “Close”.

Ecco qui di seguito la lista delle impostazioni che ti consiglio di attivare. Prima di continuare ti consiglio vivamente di fare un backup completo (file di WordPress e database) perché come spesso accade con i software, possono esserci delle impostazioni specifiche  “conflittuali” nella tua macchina o nella tua installazione di WordPress.

Ovviamente non mi prendo alcuna responsabilità sulle modifiche che andrai a fare nel tuo sito.

 

Menu “Global Settings”

  • Attiva “Allow iThemes Security to write to wp-config.php and .htaccess.”

Menu “404 detection”

  • Attiva il menu

Menu “Banned users”

  • Attiva il menu
  • Attiva “Enable HackRepair.com’s blacklist feature”

Menu “Local Brute Force Protection”

  • Attiva il menu
  • Attiva “Immediately ban a host that attempts to login using the “admin” username.”

Menu “SSL”

  • Attiva il menu (solo se nel tuo hosting è attivo un certificato SSL con protocollo https)
  • Nel menu “Redirect All HTTP Page Requests to HTTPS” seleziona “Enable”

iThemes Security: impostazioni avanzate

Come in ogni plugin che si rispetti, anche qui sono disponibili le impostazioni avanzate. Clicca in alto sulla destra dove trovi la voce “Advanced“.

iThemes_opzioni-avanzate

Nella schermata delle impostazioni avanzate ci sono due menu che mi interessa mostrarti. Il primo è “Change Database Table Prefix” in cui è possibile cambiare il prefisso delle tabelle nel database MySQL di WordPress. Questa modifica, assieme a tutte le altre, permette di innalzare sensibilmente la sicurezza generale del sito Web.

In questo caso non c’è molto da fare, essendo una funzionalità random, il sistema aggiornerà automaticamente il prefisso delle tabelle dopo che avrai scelto YES alla voce “Change Prefix” e salvato cliccando sul pulsante “Save settings“.

iThemes_cambiare-prefisso-tabelle-database

La seconda impostazione avanzata che ti consiglio di attivare è “Hide Backend“.  Il backend, ovvero la bacheca amministrativa di WordPress, si raggiunge con l’indirizzo di default /wp-admin (oppure /wp-login.php). Questo indirizzo è ovviamente utilizzato da tutti i siti nel mondo e rappresenta un accesso vulnerabile per il tuo sito. Il mio consiglio è quello di cambiare questo url di login con uno segreto, ovvero che conosci e utilizzi soltanto tu e i tuoi collaboratori.

Per fare questa modifica è necessario entrare nel menu, abilitare la voce “Enable the hide backend feature” e scegliere il “login slug”, ovvero la parola che sostituirà “wp-admin” nell’url di accesso al backend (nell’esempio qui sotto è “controlpanel”).

iThemes_hide-backend

Conclusioni

Se hai letto tutta la mini guida su come migliorare la sicurezza di WordPress, allora potrai davvero proteggere efficacemente il tuo sito Web. Un’altra raccomandazione che desidero darti è di utilizzare credenziali di accesso a WordPress “potenti”, ovvero sicure e criptiche. Non utilizzare un nome utente “reale” (es. alessia) e una password debole (es. alessia2017). Esistono dei password generator molto utili in queste occasioni in cui è richiesta poca creatività, ma tanta protezione.