Ogni giorno migliaia di siti web vengono violati e circa il 40% di questi sono realizzati con Wordpress.

In questo articolo vedremo come mettere in sicurezza un sito Wordpress in pochi passaggi.

Perchè gli hacker attaccano un sito web?

È giusto sottolineare che tutti i sistemi e le piattaforme possono essere violati e quindi possono essere sottoposti ad attacco. In questo senso, anche se in questo articolo si tratterà principalmente di Wordpress, i suggerimenti descritti sono validi per qualsiasi sistema in uso.

Ci sono molte ragioni per cui i siti web vengono attaccati. La prima sicuramente riguarda il furto di dati sensibili e informazioni di un certo interesse commerciale, ma non solo. La pratica dell'Hacking potrebbe anche essere utilizzata per la Black-hat SEO (Pratiche che vengono utilizzate per aumentare il posizionamento di un sito o di una pagina nei motori di ricerca attraverso mezzi che violano i termini di servizio dei motori di ricerca), per fare attivismo o, in altri casi per puro divertimento.

Perchè i siti Wordpress sono quelli più presi di mira?

È noto come circa il 40% dei siti web che alimentano la rete sia realizzata con Wordpress. Questa massiccia diffusione garantisce uno sviluppo costante ed un enorme community pronta ad aiutarti in caso di necessità, ma al tempo stesso, espone maggiormente il sistema ad attacchi hacker di diverso tipo. Nella maggior parte dei casi l'attacco è finalizzato a colpire più sistemi possibili e quindi, questa popolarità, attira maggiormente perchè garantisce maggiore diffusione. A tutto ciò si aggiunge il fatto che tantissimi siti web realizzati in Wordpress sono carenti di dispositivi di sicurezza di base.

Come mettere in sicurezza Wordpress

Ci sono molte azioni che possiamo fare per proteggere il sito web da attacchi Hacker e mettere in sicurezza un sito Wordpress. La buona notizia è che queste misure possono essere adottate facilmente implementando plugins dedicati e con piccoli accorgimenti legati alla gestione tecnica del tuo sistema.

1. Autenticazione a due fattori (2FA)

Con l'installazione di un plugin specifico, puoi implementare in pochi minuti un sistema di accesso che riduce drasticamente le possibilità di intrusione nel tuo sistema a causa di furti delle credenziali di accesso ad un utente.
Questo sistema di accesso prevede l'utilizzo di due fattori di identificazione: il primo è rappresentato dalla tua normale password, il secondo "fattore" è un codice di verifica recuperato da un'app su di un dispositivo mobile o desktop. Probabilmente molti di voi conosceranno questo dispositivo in quanto è utilizzato dalle banche per poter effettuare operazioni con l'online banking.

2. Installazione di un plugin Firewall e anti-malware

In rete sono disponibili diversi Plugins (Malcare, Sucuri, Wordefence, ecc...) che includono tutte le funzionalità necessarie per proteggere il sistema Wordpress. Questi software permettono di scansionare regolarmente il tuo sistema e rimuovere eventuali anomalie riscontrate nel codice o nelle cartelle. Nella maggior parte dei casi questi plugins possono essere utilizzati gratuitamente nelle loro funzioni base, ma in caso di operazioni automatizzate e più complesse e richiesto il pagamento di una quota a seconda dei piani di abbonamento previsti dai rispettivi sviluppatori.

3. Registro delle attività

Un'altra semplice operazione che puoi svolgere riguarda la buona abitudine di tenere un registro delle attività del tuo Wordpress. In questa maniera sarai in grado di riconoscere ogni attività eseguita all'interno del tuo sistema ed eventualmente riconoscere azioni non desiderate.

4. Impostazione della password

La password dell'utente rappresenta la prima e necessaria azione per mettere in sicurezza un sito Wordpress. Se le tue credenziali di amministratore vengono scoperte, si ottengono i privilegi di amministrazione del tuo sito web con evidenti conseguenze per la sicurezza dei dati sensibili e comunque l'integrità stessa del tuo sistema.
È vero che una password semplice è più facile da ricordare e da trascrivere, così come è anche vero che se la password è troppo corta e utilizzata su tutti i siti, diventa più a rischio rispetto a una password lunga e imprevedibile. Difatti una password non deve essere necessariamente complessa, ma imprevedibile. Quindi può anche essere facile da ricordare.
È consigliabile usare almeno 12 caratteri utilizzando numeri, lettere (maiuscole e minuscole) e caratteri speciali da tastiera (es.: #&%?^).
L'utilizzo di buone password è un modo semplice ed efficace di proteggere il tuo sito web. Obbligare i tuoi utenti ad utilizzare password sicure garantisce la sicurezza dell'utente specifico, ma anche la sicurezza del portale nel suo complesso e dei dati degli altri utenti.

5. Aggiornamento dei plugins, temi e sistema

Circa il 90% delle violazioni dei sistemi è causato dal mancato aggiornamento dei plugins e componenti di sistema. Assicurati che il tuo sistema sia sempre aggiornato e provvedi a rimuovere plugins obsoleti non più seguiti o sviluppati. Effettua un controllo ogni settimana per verificare il rilascio di nuovi aggiornamenti e rimuovi tutti i componenti e plugins inutilizzati. Per maggiori informazioni puoi leggere "Perchè aggiornare il sistema del tuo sito web" e "Cosa significa gestire un sito web".

Conclusione

Wordpress è uno dei sistemi più facile da usare e permette di ottenere discreti risultati senza troppe conoscenze in ambito informatico. Ciò nonostante, a causa della sua popolarità, il CMS Wordpress è diventato anche il sistema più colpito dalle pratiche Hacking. Mettere in sicurezza un sito Wordpress è un azione relativamente semplice e comporta l'adozione di semplici misure e buone abitudini. Le stesse possono contribuire in maniera significativa a ridurre questo fenomeno e ti garantiranno l'integrità e la funzionalità del tuo sistema in ogni momento della tua attività.