Come migliorare la sicurezza di un sito WordPress? Ecco tutte le strategie per rendere il tuo sito sicuro e affidabile per i tuoi utenti… E per Google!
Perché è importante gestire la sicurezza
La sicurezza di un sito WordPress è fondamentale sia per gli utenti, che per il gestore del sito. In più, anche Google penalizza quei siti che non adottano un protocollo di sicurezza. Ne consegue che bisogna correre ai ripari.
Ci sono delle tecniche che si possono usare per rendere il sito più sicuro. Per altre strategie, è bene contattare un esperto, che sappia valutare il proprio caso e agire di conseguenza. Vediamo quali sono questi aspetti fondamentali.
La scelta del server
La scelta del server è fondamentale per un sito sicuro, WordPress o no. Il server dovrebbe avere un ottimo antivirus interno. Spesso, però, un server di qualità potrebbe non bastare. Nei piani di hosting base, infatti, il server è condiviso tra più siti.
Questo significa che, se uno è infetto, rischia di infettare gli altri presenti sullo stesso server. Per evitare questa situazione, ci sono due strade:
- Utilizzare un server dedicato. In questo caso, solo il proprio sito sarà ospitato, quindi non ci saranno minacce esterne con cui fare i conti.
- Scegliere un server VPS. In questo caso, la barriera è data dal sistema operativo interno, unico per ogni sito ospitato.
Protocollo HTTPS
Google verifica la sicurezza di un sito WordPress con il protocollo HTTPS. Nell’ultimo aggiornamento di algoritmo, infatti, questo è diventato un fattore di posizionamento importante.
Il protocollo HTTPS è ideale sia per i blog che per gli e-commerce, perché i dati prima di passare al gestore e dal gestore all’utente vengono criptati. Non è una certezza matematica di non essere oggetto di attenzioni da parte di pericolosi hacker, ma almeno si ottiene maggiore sicurezza per sé e per gli utenti.
In più, tutti i gestori di servizi hosting si sono organizzati per fornire il protocollo dal CPanel. Persino Google, sui suoi siti Blogger, ha sviluppato questa procedura come di default.
Quindi, si tratta di una sicurezza in più: non è risolutiva, ma è sicuramente importante, soprattutto quando si ha a che fare con i dati personali degli utenti. Il protocollo rende i dati criptati, ma non può nulla contro gli attacchi di massa, oppure contro virus particolarmente aggressivi che girano per la Rete. Per fortuna, non c’è solo questa soluzione.
Aggiornamento costante
WordPress si aggiorna di tanto in tanto. Ogni volta, il CMS aumenta i livelli di sicurezza. Questo vale sia per l’aggiornamento dei plugin che del sistema. Infatti, quando si programma la versione successiva di WordPress, si prendono provvedimenti su falle precedenti del sistema e si informano gli sviluppatori dei plugin.
In questo modo, anche gli sviluppatori possono aggiornare i propri sistemi. Questo è anche il motivo per cui alcuni plugin risultano incompatibili con alcune versioni di WordPress: non sono stati più aggiornati.
Prima degli aggiornamenti, è sempre bene fare una copia di backup del sito. Così, se andasse storto qualcosa, si potrà ripristinare lo stato precedente caricando il backup dal pannello di controllo.
Il backup si può chiedere in automatico direttamente al server. In alternativa, ci sono dei plugin gratis che fanno il backup automatico e te lo inviano via mail. Un esempio è WP DB Backup, che invia per e-mail periodicamente una copia backup del database del sito in WordPress.
Per gestire gli invii del database, si può agire direttamente sulle impostazioni del plugin, in modo da non ricevere troppe e-mail.
In ogni caso, il backup del server è sempre il migliore, perché è organizzato in cartelle. In questo modo, diventa più semplice passare la copia backup al server in caso di problemi e ripristinare la versione precedente.
Attenzione ai dati
Qualche piccola attenzione è sempre utile per evitare la minaccia di virus informatici. Per esempio, è importante tenere il computer ben protetto con un antivirus efficace. Altra cosa importante è non lasciare le password in mano agli hacker.
Infatti, tenere dei txt con tutte le password può rivelarsi un’arma a doppio taglio, perché qualcuno potrebbe aprire quel file dall’interno e impossessarsi dei dati. Naturalmente, è bene fare attenzione a non rispondere alle mail di spam.
Per dare vita non troppo facile agli hacker, sarebbe bene avere una password abbastanza difficile: deve essere lunga, contenere lettere maiuscole e minuscole, numeri e caso e, se possibile, anche dei simboli o dei segni di punteggiatura.
Si può anche intervenire direttamente sul database e sui file di base di WordPress. Per esempio, si può agire sul file functions.php, evitando di mostrare il nome dell’amministratore. Basta copiare e incollare il codice:
add_action(‘template_redirect’, ‘bwp_template_redirect’); function bwp_template_redirect() { if (is_author()) { wp_redirect( home_url() ); exit; } }
Sul file .htaccess, invece, si potrà inserire questo codice:
# Block the include-only files. <IfModule mod_rewrite.c> RewriteEngine On RewriteBase / RewriteRule ^wp-admin/includes/ - [F,L] RewriteRule !^wp-includes/ - [S=3] RewriteRule ^wp-includes/[^/]+\.php$ - [F,L] RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L] RewriteRule ^wp-includes/theme-compat/ - [F,L] </IfModule> # BEGIN WordPress
e quest’altro:
<Files wp-config.php> order allow,deny deny from all </Files>
In modo da evitare che qualcuno possa vedere i dati di accesso al database.
Infine, dalle impostazioni di WordPress, sarebbe bene non lasciare come amministratore il nome di default “admin” e/o il nome del sito.
La sicurezza di un sito WordPress dipende anche da queste piccole attenzioni!
