4 semplici passaggi per migliorare la sicurezza WordPress

WordPress è un sistema complesso che si è sviluppato nel tempo. Di conseguenza, ci sono diversi “spazi e fessure” nel codice in cui possono insidiarsi potenziali vulnerabilità. Per merito degli sviluppatori core di WordPress, molte sono state trovate e sistemate. Tuttavia, nessun software è a prova di bug.

Proprio per questo, spetta a noi proprietari dei siti fare tutto il possibile per rendere sicuro il nostro sito WordPress. Per fortuna, ci sono quattro semplici cose che ogni proprietario di un sito può fare, di solito senza l’aiuto di uno sviluppatore, per migliorare la sicurezza WordPress.

1. Modificare il nome utente dell’amministratore

Questo è un gioco da ragazzi. Se stai ancora utilizzando admin, amministratore o qualcosa di veramente facile da indovinare come nome utente, FERMATI! Per compromettere il tuo sito, un utente malintenzionato ha bisogno di due cose, un nome utente e una password. Se utilizzi un nome utente predefinito, hai fornito la metà di ciò di cui gli hacker hanno bisogno. Meglio renderlo un po’ più complesso, non trovi?

Puoi modificare lo username dell’amministratore manualmente oppure puoi installare un plugin. Poiché i plugin rallentano il tuo sito e ne hai bisogno solo per fare questa una cosa, consiglio di farlo manualmente.

  • Accedi utilizzando il tuo account Admin.
  • In “Utenti” clicca su “Aggiungi utente”.
  • Crea un nuovo account utente e scegli come ruolo Amministratore. Scegli il nome utente che preferisci TRANNE admin, amministratore o il tuo nome. (Sì, gli hacker probabilmente lo conoscono perché l’account Facebook della tua azienda è collegato).
  • Esci da WordPress e accedi di nuovo utilizzando il tuo nuovo account da amministratore.
  • Fai click su Utenti per vedere gli utenti e, sotto il tuo account da amministratore originario, clicca su “Elimina” Assicurati di selezionare “Assegna tutti i contenuti a” e seleziona il tuo nuovo account da amministratore, in modo da non perdere alcun contenuto.

Ecco, ora hai un nuovo account amministratore con uno username che non è “admin”. Il tuo sito è già un po’ più sicuro.

Iscriviti per
altri fantastici contenuti!

Iscriviti per ricevere la nostra newsletter mensile con gli ultimi contenuti utili e le offerte SiteGround.

Grazie!

Per favore, controlla la tua email per confermare l’iscrizione.

2. Utilizza password complesse

Sì, tutti amano usare il proprio compleanno come password. Sai a chi piace questa cosa più di tutti? Agli hacker. Le password deboli sono facili da indovinare.

“My Little Pony II è il mio FILM PREFERITO! Lo vedrò sicuramente domani per il mio compleanno!”

Tutto ciò che hai pubblicato sui social media fornisce agli hacker un po’ più di informazioni con cui lavorare.

CONSIGLIO: l33tsp34k (Leet Speak) ossia la sostituzione di lettere con numeri, non inganna gli hacker.

Allora cosa funziona? Password complesse. Lunghe serie casuali di lettere e simboli sono fantastiche. Il problema con queste password è che tendiamo a scriverle da qualche parte poiché sono difficili da ricordare. Se perdi il foglio (fisico o elettronico) in cui li hai annotati, un hacker ha le chiavi del tuo regno.

WordPress ora ha una funzionalità che permette di generare una password complessa, ma non le richiede per forza. Ci sono plugin, tuttavia, che la faranno rispettare. Non ho l’abitudine di consigliare plugin di sicurezza per WordPress, ma se vai su wordpress.org/plugins e inserisci “strong password” ne troverai diversi tra cui scegliere.

Installa uno di questi plugin.

Se hai utenti regolari, amministratori, autori, etc, potresti voler utilizzare password complesse solo per gli account di alto livello, per evitare problemi di registrazione e accesso al tuo sito da parte degli utenti.

E se ti stai chiedendo come gestire password complesse senza scriverle da qualche parte, puoi utilizzare un gestore di password. Quelli più moderni funzionano sia su desktop che su mobile e sincronizzeranno i tuoi dati su tutti i tuoi dispositivi.

Scarica il nostro eBook gratuito sulla sicurezza WordPress

3. Utilizza HTTPS

In realtà dovresti già utilizzarlo ma, nel caso non lo sapessi, un paio di anni fa Google ha affermato che, se un sito non esegue https, esso avrà di default un ranking inferiore rispetto ai siti che utilizzano https. SEO a parte, l’https mantiene tutto il tuo traffico crittografato e lontano da occhi indiscreti ed è una parte essenziale di qualsiasi strategia di sicurezza WordPress.

Se non usi SiteGround, devi sentire il tuo hosting provider per acquistare e installare un certificato sicuro. Poi devi dire a WordPress di cambiare il tuo URL in HTTPS.

Se invece utilizzi SiteGround, tutto ciò che devi fare è utilizzare il servizio Gestione SSL per ottenere un certificato gratuito Let’s Encrypt. Una volta che il pannello di controllo di SiteGround ottiene e installa il certificato per te, tutto ciò che devi fare è cliccare su “Applica HTTPS” e voilà, l’intero sito è ora crittografato.

4. Mantieni aggiornati i tuoi plugin

Non intendo solo i plugin principali, intendo tutti i plugin che hai installato sul tuo sito, ogni volta che c’è un aggiornamento.

È davvero semplice, basta cliccare sul link di aggiornamento automatico per la maggior parte di essi e poi dimenticarsene. Quando ho iniziato a lavorare con WordPress, l’aggiornamento dei plugin richiedeva di scaricare un file zip, trasferirlo tramite FTP sul server, decomprimerlo e utilizzarlo. Poi incrociavi le dita e pregavi che l’aggiornamento non compromettesse nulla (e spesso qualcosa andava storto).

Perché è importante mantenere aggiornati i plugin?

Il motivo principale è ovviamente la sicurezza. I bravi sviluppatori di plugin risolvono i problemi di sicurezza quando vengono segnalati e rilasciano le patch il prima possibile. Se hai attivato l’aggiornamento automatico non devi fare nulla. Se invece non lo hai attivato, fai ciò che ogni proprietario di siti WordPress ha fatto negli ultimi anni: non appena accedi a WP guarda se ci sono aggiornamenti, vai su Plugin, clicca sul bottone di aggiornamento e controlla che sia tutto ok.

Un ultimo step

  • Sì, è molto importante mantenere aggiornato WordPress
  • Sì, è molto importante mantenere aggiornati i temi
  • Sì, è molto importante mantenere aggiornati i plugin

Ma c’è un ulteriore passo da compiere. Da sempre, nel mondo open-source, gli sviluppatori a un certo punto interrompono il supporto della loro creazione e la abbandonano. A volte sono gentili e informano con anticipo le persone dei loro piani. In altri casi, il codice rimane lì e non viene aggiornato. Devi assicurarti che i plugin su cui fai affidamento siano in fase di sviluppo attivo.

Il modo più semplice per farlo è sapere chi c’è dietro il plugin. Se c’è un’azienda o un team dietro di esso, le probabilità che venga abbandonato è molto inferiore rispetto a se c’è un singolo programmatore.

Ovviamente, se il tuo sito WordPress è solo una raccolta di immagini che condividi con tua madre (non ridere, io ne ho creato uno SOLO PER QUELLO) allora potrebbe non essere così importante che tu lo tenga aggiornato e che ti affidi solo su plugin sviluppati attivamente.

Se invece, i tempi di inattività hanno ripercussioni negative sul tuo sito, allora vale la pena dedicare del tempo per assicurarti di avere sempre la versione più recente dei plugin che utilizzi sul tuo sito e che vengano costantemente mantenuti.

Queste quattro semplici attività ti aiuteranno a mantenere il tuo sito un po’ più sicuro. Il segreto della sicurezza web è che non si deve fare un unico grande intervento, ma tante molte piccole cose. Ogni layer di sicurezza che aggiungi al tuo sito rende un po’ più difficile l’accesso per gli hacker. Non devi avere un sito WordPress a prova di bomba per essere al sicuro, devi solo rendere difficile la vita ai possibili hacker, quanto basta perché non valga loro la pena di provarci. Gli hacker alla fine si stancheranno facilmente e passeranno a bersagli più facili – i siti di quei proprietari che non hanno letto questo articolo.

author avatar
Cal Evans

PHP Evangelist

Una delle persone più amate della community PHP, ha dedicato oltre 16 anni allo sviluppo della straordinaria comunità PHP e al tutoring della nuova generazione di sviluppatori. Siamo estremamente onorati che sia anche un amico molto speciale di SiteGround.

Sicurezza

Inizia la discussione

Sei pronto a iniziare il tuo sito?

Scegli un piano di hosting, crea o trasferisci il tuo sito in pochi click e fai crescere la tua presenza online!

Inizia subito Parla con un esperto