Il suo successo forse dipende da un pannello di amministrazione davvero intuitivo, facile e personalizzabile. Si presta sia per la creazione di siti semplici, che per progetti più complessi, grazie ad un marketplace ricco di plugin gratuiti che implementano moltissime funzionalità utili.

Questo è possibile soprattutto perché è un open source quindi può essere scaricato, studiato, analizzato e migliorato da qualsiasi sviluppatore. Dato che non tutti hanno buone intenzioni online, sarà necessario dedicare del tempo alla sicurezza per proteggere il progetto da eventuali attacchi hacker.

Quali sono i punti che gli hacker possono sfruttare per attaccare il tuo sito?

• Software
• Temi e plugin
• Attacchi brute-force
• Malware
• Ambiente hosting

Per evitare che il tuo sito diventi vulnerabile, ecco dei piccoli accorgimenti.

Tenere il proprio computer (soprattutto se si tratta di un pc) lontano da virus e malware è il primo passo da fare per evitare attacchi hacker. L’ambiente in cui ospiti il tuo sito web deve infatti essere sicuro. Utilizza un filtro antivirus affidabile ed esegui scansioni frequenti. Alcuni virus sono infatti studiati appositamente per rubare le password in fase di accesso sul browser.

Secondo le ricerche, il 29% degli attacchi ha origine da temi non aggiornati ed il 22% dai plugin.
Quando accedi al pannello WordPress, fai sempre attenzione agli aggiornamenti disponibili.
Ricordati di eseguirli periodicamente, dopo aver fatto un backup del progetto. Le nuove versioni di core e plugin hanno spesso dei fix anche in materia di sicurezza! Ricordati inoltre di non lasciare installati o attivati plugin non in uso.

N.B. Se devi aggiungere nuovi plugin assicurati che sia stato aggiornato di recente e che nessun utente nelle recensioni o nella sezione supporto, abbia già segnalato problemi di sicurezza.

La maggior parte dei siti viene hackerata grazie a vulnerabilità a livello di server. È infatti molto importante che lo spazio sul quale il nostro sito è ospitato sia protetto.
Assicurati quindi che siano presenti firewall con un alto livello di sicurezza. Negli ultimi anni sono nati anche servizi studiati apposta per WordPress con scansioni automatiche periodiche dei file ad altri sistemi più evoluti. Utilizza sempre l’ultima versione PHP disponibile, per rendere il tuo sito sicuro e più veloce!

La scelta delle password di accesso è fondamentale per quanto riguarda la sicurezza di un sito. Scegli quindi una stringa che comprenda lettere maiuscole e minuscole, numeri e caratteri speciali. Inoltre, non utilizzare mai la stessa password per servizi diversi e ricordati di aggiornarla periodicamente.

Utilizza quelle suggerite da Wordpress o crea la tua da qui

Installa un certificato SSL sul tuo sito. Ti permette infatti di criptare i dati in entrata ed uscita, di aumentare la fiducia e la credibilità del sito ed inoltre per Google è un fattore di ranking! Già da alcuni anni, i browser infatti avvisano l’utente e bloccano la navigazione in mancanza di questo protocollo.

N.B. ci sono diversi tipi di certificati SSL, assicurati di scegliere quello corretto per il tuo progetto. Per esempio, se accetti pagamenti sul sito valuta di impiegare un certificato nel quale compaiano anche le informazioni sulla tua azienda, in questo modo gli utenti si fideranno di più!

Il servizio di validazione XML-RPC contenuto in WordPress è spesso oggetto di attacchi brute force. Per questo disabilitarlo è sempre una buona idea. Ci sono alcuni plugin che permettono di farlo molto facilmente o in alternativa puoi chiedere al tuo fornitore hosting.

Nascondi anche la versione di WordPress, che solitamente compare nel codice sorgente della pagina, per rendere la vita un po’ più difficile agli hacker. Lo puoi fare dal tuo file functions.php aggiungendo questa versione di codice:

function wpversion_remove_version() {
return '';
}
add_filter('the_generator', 'wpversion_remove_version');

E cancella il file readme.html perché anche lì è riportata! Fai un check del tuo progetto su securityheaders.io.

Un altro semplice accorgimento è quello di modificare l’indirizzo di accesso al pannello di amministrazione. Personalizzare il link può rendere la vita più difficile ai bot automatici.
Abilita anche eventualmente un’autenticazione a due fattori ed un blocco in caso di troppi tentativi falliti di accesso o di utilizzo di username inesistenti. Ci sono diversi plugin che ti possono aiutare!

In fase di installazione, WordPress creerà le tabelle per te tramite un’interfaccia guidata. Ricordati di specificare un prefisso personalizzato per le tabelle ad esempio utilizzando una breve stringa.

Il file wp-config è uno dei più importanti in WordPress. Contiene le chiavi di sicurezza, ovvero alcune variabili casuali che migliorano la crittografia.

Ti consigliamo quindi di proteggerne l’accesso aggiungendo questa regola nel tuo file htaccess:

<files wp-config.php>
order allow,deny
deny from all
</files>

All’interno della voce Aspetto compare di default una voce Editor, tramite la quale è possibile modificare il codice del tema e dei plugin installati. È facile capire come in caso di violazione del login, chiunque potrebbe accedere a questa sezione e modificare i tuoi file irrimediabilmente.
Nessuna paura però! Disabilitare la funzione è semplicissimo.
Sarà sufficiente aggiungere questo codice nel tuo file wp-config.php

define('DISALLOW_FILE_EDIT', true);

Schedula backup giornalieri del tuo sito. Questo ti permette in qualsiasi momento di ripristinare una versione precedente ad un eventuale attacco, perdendo il minor numero possibile di dati, contenuti ed informazioni.
Assicurati di caricare una versione precedente alla violazione, per non incorrere di nuovo nel problema.
Utilizza questo tool online per il controllo.