Personalmente penso che la soluzione tecnica debba sempre essere preceduta da una attenta analisi degli obiettivi e delle risorse a disposizione, ne ho parlato in un post precedente (CMS WordPress o sito realizzato ad-hoc?). In questo post ti parlo di come mettere in sicurezza il CMS WordPress.
Come mettere in sicurezza un sito internet realizzato su CMS WordPress?
Senza dubbio la tematica intorno alla sicurezza del CMS WordPress (cms tra i più popolari) è sempre un tema “caldo” e molto dibattuto tra i webmaster, nelle web agency e tra i consulenti SEO (la sicurezza di un sito web è un elemento che può pregiudicare il funzionamento del sito web anche senza che il webmaster si accorga della problematica pregiudicando molto la visibilità sui motori di ricerca), in questo post, riassumo brevemente alcuni accorgimenti di base NECESSARI per tutti i progetti web realizzati utilizzando WordPress dal punto di vista della sicurezza del CMS.
10 consigli per la sicurezza del tuo WordPress
Ecco gli accorgimenti secondo me prioritari per la “messa in sicurezza di WordPress” + 1:
1. BACKUP del database e dei files
Fondamentale dotarsi di un sistema di backup del database che contiene i contenuti inseriti tramite WordPress e dei files. Per questo il suggerimento è di dotarsi di un sistema di backup triplice:
Backup fornito dall’hosting (quasi tutti i fornitori di hosting / spazio web, offrono servizi di backup a pagamento, spesso per poche decine di euro l’anno, a volte anche meno)
Periodici backup manuali sono sempre possibili, sia del database MySql (tramite il phopmyadmin in uso presso quasi tutti gli hosting) e dei files che fanno parte di WordPress (tramite un software FTP come Filezilla ad esempio che consente di scaricare tutti i files da uno spazio web sul proprio pc così da dotarsi di periodiche copie di backup anche dei files, oltre che del database MySql)
Ma senz’altro la soluzione migliore è quella di dotarsi ANCHE di sistemi automatici di backup che salvino le informazioni in cloud, per esempio sullo spazio Dropbox, ci sono tantissimi plugin che fanno questa operazione, a cui dedicherò prossimamente degli articoli, per ora, mi limito a citare: UpdraftPlus (esiste sia in versione FREE che in versione a pagamento). Oppure BackupGuard (a pagamento ma molto economico ed è quello che usiamo in agenzia).
In questo post alcuni approfondimenti: Hai un sito web? Chi si occupa dei backup periodici?
2. Aggiornamenti costanti e puntali di WordPress e dei vari Plugins installati
WordPress NON può essere lasciato online senza aggiornarlo, è quindi fondamentale che ci sia un webmaster (o un responsabile del sito web) che aggiorni il CMS quando vengono rilasciati gli aggiornamenti: del tema in uso, del core di wordpress, dei plugin utilizzati!
3. Utilizza password forti e complicate SEMPRE per tutti gli utenti del CMS
E’ fondamentale che le password che utilizzate per accedere a WordPress siano sicure, ovvero password FORTI lunghe, con maiuscole e minuscole, nelle ultime versioni del CMS è WordPress stesso a proporre password ben strutturate. E’ inoltre opportuno cambiare spesso la password di accesso.
4. Gestione utenti intelligente (non creare troppi utenti admin)
Non dare a tutti i redattori degli accessi di livello ADMIN, le altre persone che hanno necessità di lavorare sul CMS WordPress, possono accedere con utenze che hanno privilegi più bassi. Altra buona pratica per mettere in sicurezza WordPress.
5. Per l’utente admin non utilizzare “admin” come nome utente
buona norma non chiamare admin o administrator (come nome utente) l’utente che ha i privilegi di admin. Questi utenti sono infatti i primi ad essere “forzati”
6. Cambiare il suffisso “wp_” sulle tabelle del Database in fase di installazione di WordPress
In fase di installazione WordPress propone come suffisso delle tabelle del cms “wp_” gli attacchi informatici di SQL injection fanno spesso riferimento (tra le altre cose) a questi prefissi. E’ quindi una buona pratica per aumentare il livello di sicurezza del proprio CMS WordPress, cambiare tale prefisso.
7. Non riempire il tuo sito web di plugins
Ogni volta che installiamo un plugin su WordPress aumentiamo (in teoria) i rischi lato sicurezza. E’ quindi opportuno installare solo plugin affidabili (riconosciuti dalla comunità di sviluppatori WordPress, costantemente aggiornati, con alte valutazioni, installati su tanti altri siti web). Su questo aspetto dedicherò un articolo ad-hoc molto presto.
8. Scegli con attenzione il tema / template
Scegliere con attenzione il tema / template da utilizzare sul proprio sito web realizzato con WordPress aiuta a mantenerlo al sicuro, scegliendolo tra i temi ad alta valutazione, ben documentati, ufficiali e che hanno alto rate di valutazione tra gli utilizzatori. INFORMATEVI bene prima di usare o di acquistare un tema, molto meglio usare anche altri accorgimenti che avrò modo di approfondire presto. I temi WordPress possono naturalmente essere anche realizzati da zero (e non è così impossibile, presto dedicherò una guida a questo aspetto di web design).
9. Valuta la protezione della cartella /wp-admin/
Può essere una buona norma aggiungere una password tramite .htaccess e .htpasswd, accorgimento semplice e facile, spesso quasi tutti gli hosting offrono un pannello visuale da cui è possibile proteggere con password una cartella. O fare in modo che la cartella wp-admin sia raggiungibile solo da determinati IP (i vostri) 😉
10. Plugin per potenziare la sicurezza di WordPress
ci sono tantissimi plugin che aiutano il webmaster e lo sviluppatore a mettere in sicurezza WordPress. Mi limito a segnalarne alcuni e prometto di approfondire in un prossimo post questo aspetto. Uno tra i migliori plugin per la sicurezza su WordPress da installare è, a mio giudizio: Wordfence Security. Un altro plugin molto utile è Akismet (oramai integrato dentro il “core” di WordPress) ottimo plugin contro lo spam.
Questi sono, a mio giudizio, gli aspetti imprescindibili “lato sicurezza del nostro sito web” quando decidiamo di realizzare un sito internet professionale utilizzando WordPress.
Questi accorgimenti sono ovviamente imprescindibili qui alla koris, l’agenzia web di Firenze in cui lavoro :), quando realizziamo un sito internet in wordpress.