WordPress è attualmente il CMS più popolare e utilizzato al mondo. Questo sistema di gestione di contenuti viene usato dal 43% dei 10 milioni di siti web più importanti al mondo mantenendo una quota di mercato pari al 65.3%.
Stiamo parlando soltanto dei siti più importanti al mondo, altrimenti possiamo contare ben 455 milioni di siti in tutto il globo che utilizzano questa infrastruttura.
Tra queste centinaia di milioni di siti web troviamo: eCommerce, Blog, Siti Web aziendali, portali di qualsiasi tipo, Web Applications, Social Networks, Landing Pages e molto altro.
È possibile realizzare tutte queste tipologie di siti web con WordPress grazie alla sua flessibilità, potenza e strumenti messi a disposizione per gli sviluppatori.
Per non contare le decine di migliaia di temi e plugin che ti permettono di creare un primo prototipo di sito (tra quelli elencati) senza dover assumere uno sviluppatore WordPress già a inizio progetto.
Insomma, stiamo parlando di un colosso informatico a tutti gli effetti, nonostante stiamo parlando di un software Open Source.
Che dire della sicurezza?
Indice riassuntivo
WordPress è veramente sicuro?
Clienti e colleghi mi chiedono spesso se WordPress sia un software sicuro sul quale realizzare il proprio sito. La mia risposta è un diretto e senza dubbio “SI, assolutamente“!
Però è anche il CMS con più tentativi di hacking al mondo essendo appunto il più usato. Su centinaia di milioni di siti online è normale che gli hacker si diano da fare. Non lo pensi anche tu?
Secondo una statistica di Arishi ogni minuto ci sarebbero 90mila tentativi di attacco ai siti WordPress e secondo Kinsta ogni giorno 500 siti WordPress verrebbero hackerati definitivamente.
Con la sua quota di mercato del 65% circa, WordPress è diventata una fonte di guadagno milionaria – e anche di più – per sviluppatori di temi, plugin e specialisti di hosting e di questo CMS.
Sicuramente gli hacker non se ne stanno zitti in un angolino ma cercano in qualche modo di trovare l’exploit. Cioè la falla di sicurezza da sfruttare per prendere il controllo di un sito e in qualche modo guadagnarci.
Ora la tua reazione potrebbe essere: “Michele, mi hai appena detto che WordPress è uno dei CMS più sicuri ma i numeri relativi agli attacchi hacker mi spaventano…“.
La tua paura la capisco, ma partendo dal fatto che su decine di migliaia di tentativi di attacco a siti WP solo qualche centinaio al giorno venga hackerato è già un grande traguardo.
Gli sviluppatori di WordPress hanno investito negli anni tantissime risorse e tantissimo tempo nel creare un Core stabile e sicuro, in più vengono rilasciati costantemente aggiornamenti che migliorano la sua sicurezza.
Ma le cose non vanno sempre per il verso giusto. C’è sempre una minima percentuale di rischio.
Per difenderti dagli hacker e prevenire un furto informatico bisogna conoscere quali potrebbero essere le falle di sicurezza sfruttate da loro, come prevenire che un attacco vada a buon fine e quali sono gli step da seguire per aumentare la sicurezza del tuo sito.
Infatti molte volte siamo noi che ingenuamente lasciamo la “porta aperta” del nostro sito agli hacker permettendogli di fare qualsiasi cosa.
Ma seguendo e conoscendo ciò che ti sto per dire puoi abbassare drasticamente la possibilità che un attacco vada a buon fine e potrai anche recuperare tutto il tuo sito in caso di necessità.
Dopotutto è una tua responsabilità mettere al sicuro il tuo sito. Con la sicurezza informatica non si scherza.
PHP e la sicurezza
Ho dedicato un articolo intero a PHP e alla sicurezza: ho riportato vari esempi di falle di sicurezza con porzioni di codice vulnerabile ad attacchi:
Le vulnerabilità di WordPress
Adesso vediamo alcune delle vulnerabilità più sfruttate dagli hacker per prendere il controllo di siti WordPress. Ricorda che tutti i CMS hanno più o meno le stesse falle di sicurezza.
Attacchi Brute-Force
Molti hacker usano script automatizzati che si avvalgono di numerose combinazioni per indovinare password e nomi utente per accedere ai Back-Ends di siti e server.
Sfortunatamente le vittime di questi attacchi sono principalmente proprietari di siti che non vogliono scegliere credenziali sicure ma si limitano a usare parole comuni come: admin, 123, il proprio nome o altre parole di utilizzo frequente.
Utilizzare password e nome utente forti, limitare i tentativi di accesso, bloccare gli indirizzi IP sospetti, abilitare l’autenticazione a due fattori e usare email di recupero segrete sono solo alcuni dei metodi per bloccare questo tipo di attacchi che oggi si aggirano intorno ai 30mila ogni giorno.
Cross-Site Scripting (XSS)
Si tratta di codice malevolo in formato JavaScript processato sul Browser che l’hacker inietta su siti e web app per riscrivere il codice HTML di quella pagina, effettuare reindirizzamenti pericolosi, ottenere dati sensibili degli utenti senza che questi lo sappiano.
Per prevenire questo tipo di attacchi bisogna intervenire tramite codice usando le migliori pratiche come la sanitizzazione dei dati provenienti da form
HTML.
SQL Injection
Si tratta di attacchi che sfruttano l’inserimento di comandi o query SQL per corrompere il database inserendo dati indesiderati, prendere i dati degli utenti o per ottenere l’accesso Admin. Di solito questi comandi vengono inseriti tramite svariati moduli presenti sul sito.
Questo metodo viene usato di solito da hacker amatoriali. Per difendersi bisogna effettuare l’escaping dei dati processati dai form
HTML tramite funzioni PHP tra cui mysqli_real_escape_string
.
Malware, codice malevolo o insicuro
Può essere causato da temi, plugin o pezzi di codice di dubbia provenienza, quindi infetti, o non costantemente aggiornati.
Questo tipo di codici può portare a conseguenze più o meno gravi: deindicizzazione dei contenuti, furto dei dati, danneggiamento del core di WordPress, effettuare redirect pericolosi, inserire link e contenuti dannosi eccetera.
La soluzione è scegliere pochi plugin che soddisfino le nostre esigenze e che siano aggiornati, ben recensiti, con una buona documentazione e la cui provenienza sia accertata.
Attacchi DDoS e DoS
Ogni ora, ma anche ogni minuto, che un sito è offline può far perdere sicuramente clienti e tantissimi soldi al suo proprietario. È il caso degli attacchi DDoS (acronimo di Distributed Denial-of-Service) molto più potenti degli attacchi DoS (Denial-of-Service).
Il fine di questi attacchi è eseguire una richiesta enorme di dati a un singolo obiettivo (ad esempio il nostro sito web) fino a saturare tutte le risorse del server rendendo il sito inaccessibile.
Da qui in poi gli utenti non potranno più accedere al sito, poiché il server non è più in grado di servire le pagine a nuovi visitatori. Nella storia di internet questo tipo di attacchi ha creato enormi problemi informatici e economici a piccole, medie e grandi aziende.
Sebbene tu possa gestire un attacco DoS limitando il consumo di risorse per utente, perché questo attacco viene mandato dal singolo hacker, è diverso per un attacco DDoS.
Un attacco DDoS è la versione distribuita di quello DoS. Infatti, in questo caso un hacker in possesso di una botnet (cioè un’insieme di centinaia o migliaia di computer controllati in remoto proprio dall’hacker), manderà una quantità infinitamente superiore di dati.
Gestire e limitare i danni da un attacco DDoS è più complicato. Alcune strategie potrebbero essere: abilitare firewall, app anti-malware, strumenti di identificazione delle minacce e tracker dei visitatori per tracciare eventuali sbalzi di traffico o di spam in entrata.
Mettere il tuo sito WordPress al sicuro: 20 Step
Ora che hai capito quali sono le vulnerabilità di WordPress e i rischi associati – che riguardano anche siti che non usano questo CMS – vediamo come rendere sicuro il tuo sito.
Questo articolo lo aggiorno regolarmente, quindi potresti trovare nuovi metodi a distanza di tempo. Prenditi un pò per leggere con cura i passaggi elencati e applicali. Potrebbero davvero salvare il tuo sito da eventuali attacchi facendoti risparmiare tempo e soldi.
1. Scegli un Hosting sicuro
Come dico sempre sul mio blog, ai miei clienti e ai miei collaboratori: l’hosting rappresenta le fondamenta di un sito. Da esso dipendono la velocità, le performance e la sicurezza del tuo progetto.
Possiamo determinare se un Hosting è sicuro o no verificando se hanno queste caratteristiche:
- qualità e sicurezza della struttura dei server e dell’hardware;
- presenza di servizi software per la sicurezza (WAF, sistemi per prevenire attacchi DDoS, CDN e network monitoring)
- sistema di ricognizione, notifica e rimozione malware
- certificati SSL e sistemi di forzatura HTTPS
- servizio di backup incrementali
- possibilità di avere un DNS privato
Queste e altre caratteristiche è possibile trovarle nell’Hosting SiteGround. In particolare loro hanno un sistema anti-bot con intelligenza artificiale, un firewall smart e un’infrastruttura ben controllata.
Naturalmente siti molto complessi e funzionali (grandi eCommerce, social networks e particolari Web Apps) e con molto traffico potrebbero aver bisogno di altre soluzioni custom.
2. Mantieni WordPress aggiornato
Uno degli errori più frequenti che vedo fare è non aggiornare WordPress all’ultima versione.
Le falle di sicurezza presenti nelle versioni più vecchie di questo CMS sono ben note agli hacker. Tu potresti essere la prossima vittima di un attacco se hai una versione obsoleta.
Gli sviluppatori di WordPress contribuiscono ogni giorno a renderlo sicuro rilasciando aggiornamenti e tutte le regole che i programmatori di temi e plugin devono seguire per mantenerlo sicuro nel tempo.
Ciò che devi fare è aggiornare WordPress regolarmente effettuando prima un backup per evitare conflitti sul tuo sito.
3. Utilizza una versione PHP aggiornata
PHP è il linguaggio di scripting interpretato lato server ed è utilizzato per creare siti web dinamici. WordPress stesso è un software scritto principalmente in PHP e Javascript.
Gli sviluppatori del linguaggio PHP rilasciano, proprio come viene fatto con WordPress, continui aggiornamenti per migliorare la sicurezza dei software scritti con esso e del linguaggio stesso.
Quindi per una buona sicurezza e compatibilità è obbligatorio avere una versione aggiornata di PHP e che sia anche compatibile con WordPress.
Di solito sono i servizi hosting a mettere a disposizione un PHP gestito: cioè che viene ottimizzato e aggiornato alla versione più recente direttamente dai sistemisti. SiteGround è uno di quegli hosting che offre questo servizio.
4. Aggiorna temi e plugin
Temi e plugin non sono altro che un insieme di codici che aggiungono determinate funzionalità sul tuo sito WordPress.
Durante lo sviluppo di temi e plugin non è facile sapere subito se questo ha o non ha falle di sicurezza. Quindi, anche in questo caso, è bene tenere a mente di aggiornare questi elementi effettuando prima un backup dell’intero sito.
Devi sapere che il 52% di tutte le vulnerabilità di WordPress deriva da plugin non aggiornati.
5. Scegli accuratamente temi e plugin
Per il tuo sito dovresti scegliere un tema leggero, sicuro e che soddisfi le tue esigenze e dovresti installare plugin di qualità e in numero minore possibile.
Installare temi e plugin di qualità significa aggiungere sul proprio sito codice che sia il più possibile testato e sicuro.
Ma come faccio a sapere se sono di qualità e sicuri?
Prima di installare qualsiasi tema o plugin considera questi aspetti:
- devono esserci un buon numero di recensioni e queste devono essere positive
- l’ultimo aggiornamento deve essere recente (possibilmente ogni settimana)
- il numero di installazioni attive è un altro indizio (possibilmente a migliaia)
- presenza di una buona documentazione e assistenza
6. Utilizza credenziali di accesso forti e isolate
Moltissimi proprietari di siti web inseriscono come password “123456” e come nome utente “admin” o “root“. Questo è un gravissimo errore da evitare assolutamente e che predispone il tuo sito a un furto imminente.
L’admin del back-end di WordPress dovrebbe usare un nome utente e una password sicuri, ad esempio:
- nome utente: anInOVeXtriT
- password: *5LI#S2c8@xnmx5
Adesso dirai: “Michele, non ricorderò mai queste credenziali“. Non devi necessariamente ricordarle. Salvale da qualche parte, come ad esempio una cartella protetta o su un quaderno delle password. La sicurezza conta di più.
Più lunga e complessa sarà la tua password, così come il nome utente, più è difficile che un attacco Brute-Force avvenga con successo.
Puoi generare una password sicura e un nome utente sicuro grazie agli strumenti di LastPass.
Anche l’accesso al tuo hosting dovrebbe avere nome utente e password forti. Non usare le stesse credenziali per WordPress, creane delle nuove per aumentare il livello di sicurezza.
In più ti consiglio di creare una mail segreta che utilizzerai soltanto per il tuo hosting o per il tuo account Admin. A sua volta, anche l’account della tua mail dovrà avere credenziali sicure.
7. Abilita l’autenticazione a due fattori
Creare una password e un nome utente sicuri è fondamentale così come avere un indirizzo email privato. Ma non basta, qualcuno potrebbe sempre scoprire le nostre credenziali, non potremmo mai saperlo.
Per aggiungere uno strato di sicurezza ti consiglio di attivare l’autenticazione a due fattori. Questo sistema implica che dopo l’inserimento delle credenziali dovrai validare l’accesso attraverso dei codici tramite App sul tuo telefono.
L’autenticazione a due fattori va attivata sia sul tuo account hosting sia sul modulo di login di WordPress. Per attivarla sul tuo hosting dovrai accedere al suo interno e agire sulle impostazioni del tuo account, ogni hosting ha le sue voci e il suo menù.
Per WordPress dovrai installare un plugin chiamato WordFence. Successivamente, dovrai trovare la voce “WordFence > Login security” tramite il menù sulla sinistra.
Adesso devi scaricare un’applicazione sul tuo telefono per generare codici di autenticazione, tra le migliori abbiamo:
Una volta che hai scaricato l’App sul tuo telefono dovrai aggiungere una nuova credenziale e scannerizzare il QR Code visualizzato sul plugin WordPress sulla sinistra.
Poi dovrai inserire il codice generato dall’App sul relativo campo sulla parte destra. In più ti consiglio di scaricarti i codici di backup.
Successivamente clicca su “Activate” per attivare l’autenticazione a due fattori.
8. Scegli un plugin per la sicurezza
Scegliere un buon hosting, mantenere il proprio sito aggiornato, inserire credenziali sicure e usare l’autenticazione a due fattori sono pratiche fondamentali al giorno d’oggi. Ma se vuoi migliorare la sicurezza del tuo sito devi installare un plugin per la sicurezza sul tuo sito.
Tra i migliori ti consiglio:
Questi plugin sono ottimi perché ti permettono di limitare gli accessi, abilitare la 2FA (autenticazione a 2 fattori), attivare un firewall, bloccare gli indirizzi IP sospetti, limitare l’attività di spam dei bot che arrivano sul tuo sito, pulire il tuo sito dai Malware e molto altro.
Una funzionalità interessante è quella della scansione del core di WordPress. Questi plugin sono in grado di comparare la tua installazione con quella ufficiale per verificare se ci sono differenze e quindi file aggiuntivi che potrebbero essere dannosi.
9. Attiva un certificato SSL e forza il protocollo HTTPS
Bisogna fare in modo che la comunicazione tra browser e il tuo server, quindi tra utente e il tuo sito, sia quanto più sicura.
Per criptare e rendere inaccessibili agli hacker i dati scambiati tra te e l’utente bisogna installare sul proprio sito un certificato SSL. Appunto la chiave che metterà in sicuro tutte le richieste HTTP per lo scambio dati.
Una volta installato un certificato il tuo dominio, nella barra URL, avrà il famoso lucchetto verde con un protocollo HTTPS e non più HTTP, indizio che la connessione è sicura.
Questo non è solo un fattore di sicurezza per l’utente, ma influenza il tuo posizionamento su Google e la tua immagine agli occhi dei visitatori.
Ho scritto un’intera guida su come installare un certificato SSL e forzare il protocollo HTTPS. Perciò questo punto sarà solo un’accenno, corri a leggere l’articolo!
Se utilizzi SiteGround come Web Hosting ti consiglio di leggere la mia guida su come attivare un certificato e forzare HTTPS.
10. Scrivi codice seguendo le best-practice
Se sei uno sviluppatore WordPress come me avrai sicuramente arricchito il file functions.php di molti siti con codice personalizzato.
Sviluppare su WordPress è fantastico. Hai tutti gli strumenti aggiornati messi a disposizione dal CMS per creare qualsiasi funzionalità ti venga in mente.
Però è anche vero che moltissimi sviluppatori creano codice non sicuro e pieno di falle di sicurezza che gli hacker sfruttano per ottenere dati sensibili e creare ingenti danni.
Puoi prevenire tutto questo scrivendo codice sicuro seguendo le best-practices illustrate da WordPress, ricontrollando il tuo codice, testandolo più volte e aggiornandolo costantemente.
11. Disabilita l’editor di codice interni a WordPress
Da sviluppatore devo sottolineare che dovresti sempre e soltanto scrivere codice in un ambiente di sviluppo. Quindi dovrai avere una copia di sviluppo del tuo sito sul tuo computer.
Lì dovrai scrivere e testare il tuo codice. Avere un plugin che dà l’accesso a un file manager tramite l’area admin di WordPress può portare a svariati problemi di sicurezza.
Io disattivo anche l’editor di codice standard di WordPress. Ti consiglio di farlo.
Per fare ciò inserisci questo snippet all’interno del tuo file wp-config.php:
define('DISALLOW_FILE_EDIT', true);
12. Disabilita XML-RPC
Alcuni plugin come Jetpack utilizzano XML-RPC, ma non è detto che tu ne abbia veramente bisogno. La maggior parte delle volte puoi farne a meno anche perché è uno degli obiettivi principali degli hacker.
Quest’ultimi possono sfruttare questa funzionalità per fare attacchi BruteForce e anche per usare diversi metodi HTTP in una singola richiesta.
A meno che devi utilizzare servizi esterni collegati al tuo sito, ti consiglio di disabilitare XML-RPC tramite questo codice PHP da inserire nel tuo file functions.php
add_filter( 'xmlrpc_enabled', '__return_false' );
In alternativa, puoi scaricare il plugin SiteGround Security. In seguito dovrai accedere alla voce “SG Security > Site Security” e abilitare l’opzione “Disabilita XML-RPC“.
13. Previeni l’hotlinking
Capire cos’è l’hotlinking è molto semplice. Un giorno trovi l’immagine giusta per il tuo sito e decidi di usarla inserendola tramite l’URL che punta a questo sito. Bene, avrai sicuramente la tua immagine ma starai consumando la banda del server di quel sito.
Questo è a tutti gli effetti un furto di risorse server e potrebbe costare caro a chi è vittima di hotlinking.
Per prevenire questo tipo di “abuso” dovrai inserire questo codice all’interno del tuo file .htaccess:
RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?yourdomain.com [NC]
RewriteRule \.(jpg|jpeg|png|gif)$ http://dropbox.com/hotlink-placeholder.jpg [NC,R,L]
14. Esegui backup giornalieri
Avere una copia recente di tutto il tuo sito e del tuo database è una delle azioni di prevenzione più importanti che tu possa fare.
Il tuo sito viene hackerato? Sei vittima di qualche attacco? Nessun problema, potrai ripristinare il tuo sito all’ultima versione quando l’attacco sarà finito o il tuo server sarà ripulito dalla minaccia.
Sono veramente troppi i casi di persone che hanno perso il proprio sito perché non avevano in campo un sistema per effettuare backup.
Ciò che devi fare oggi è installare e attivare il plugin Updraft Plus.
Seguendo l’immagine dovrai (1) cliccare sulla voce “Impostazioni > Backup di UpdraftPlus“, (2) cliccare sulla voce “Impostazioni” .
Al punto (3) devi seguirmi attentamente. Inserisci le impostazioni così come le ho inserite io. Dovrai impostare la programmazione del backup del sito e del database su base giornaliera per due volte.
Infine (4) seleziona quale spazio di archiviazione usare per conservare i tuoi backup. Io ho scelto Google Drive ad esempio.
15. Limita l’accesso all’area admin di WordPress
All’inizio di questa lista abbiamo visto solo alcuni dei metodi per proteggere l’accesso al back-end di WordPress. Adesso vediamo come aggiungere ulteriori protezioni.
Premetto che questi metodi non ti proteggeranno al 100%, ma sono ottimi modi per avere un livello di sicurezza in più contro attacchi brute-force.
Per seguire questi step in tutta semplicità installa sul tuo sito WordPress il plugin SiteGround Security.
1. Cambia l’URL della pagina di accesso
Tramite il menù sulla sinistra apri la voce (1) “SG Security > Login Security“. Clicca il (2) pulsante “Configura“.
Su questo popup (3) seleziona l’opzione “Custom“. Poi (4) inserisci un URL personalizzato per rendere segreta la pagina di login di WordPress. Per salvare le impostazioni clicca sul (5) pulsante “Conferma“.
Da questo momento in poi dovrai effettuare il login inserendo l’URL che hai scelto in questo passaggio. Se proverai a collegarti all’indirizzo di login di default di WordPress riceverai un errore 404.
2. Limita il numero di tentativi di login
Sempre usando il plugin SG Optimizer nella pagina (1) “SG Security > Login Security“, possiamo limitare il numero di tentativi di login per utente.
Individua la voce (2) “Limita i tentativi di login” e inserisci un massimo di 5 tentativi tramite il box sulla destra.
In questo modo chi proverà a indovinare le tue credenziali di accesso e fallirà per più di 5 volte sarà bannato dal tuo sito per 24 ore o per 7 giorni se riproverà di nuovo.
16. Nascondi la versione di WordPress
Questo step può servire per rallentare o bloccare quegli hacker che cercano falle di sicurezza in base alla versione di WordPress. Non è un passaggio che ti garantirà la sicurezza assoluta ma metterà allo scuro un’informazione che gli hacker potrebbero usare a proprio vantaggio.
Per proseguire installa il plugin SG Optimizer.
Tramite il menù laterale vai sulla voce (1) “SG Security -> Site Security“.
Abilita la voce (2) “Nascondi la versione di WordPress“.
Ma possiamo nascondere più informazioni sensibili del tuo sito che potrebbero essere molto utili agli hacker.
Quindi abilita anche la voce (3) “Elimina il file “Readme.html” predefinito” in fondo alla pagina.
17. Proteggi il tuo database a dovere
Fortificare le credenziali del database è uno dei primi step per proteggerlo. Al momento della prima installazione di WordPress il nome del tuo database potrebbe risultare facile da indovinare.
Ad esempio, se il nome del tuo database coincide con il nome del tuo sito sicuramente sarà più facile accedere al suo interno. Quindi bisogna scegliere sempre un nome complesso per il database composto da simboli, lettere e numeri. Lo stesso vale per la sua password.
Un’altra indicazione potrebbe essere quella di cambiare il prefisso delle tabelle del database. Di default quest’ultimo è impostato su "wp_"
. L’ideale sarebbe cambiarlo in qualcosa di più complesso come: "h8zjw_"
.
Vedremo come attuare questi due step in un articolo a parte.
18. Abilita gli Header HTTP di sicurezza
Gli Header HTTP di sicurezza sono istruzioni ben precise che vengono impostate a livello server e danno istruzioni ben precise al browser. Il fine è quello di evitare che l’utente finisca in situazioni indesiderate pericolose per la sua sicurezza.
Ho semplificato all’estremo, ma in sintesi questi Header proteggono gli utenti da minacce come: attacchi XSS, clickjacking, code injection, MIME-sniffing, downgrade a HTTP ecc.
La sicurezza è una parte fondamentale di Internet. Siamo noi, proprietari di siti web, che dobbiamo contribuire alla sicurezza della rete. Questo non solo per l’utente finale ma anche perché più un sito è sicuro più il suo punteggio SEO sarà alto.
Alcuni degli Header di sicurezza più importanti che dovresti abilitare sono:
- Content-Security-Policy
- Strict-Transport-Security
- X-Content-Type-Options
- X-Frame-Options
- Referrer-Policy
- Permissions-Policy
Questi sono i più importanti. Puoi verificare se il tuo sito ha queste direttive inserendo il tuo dominio su SecurityHeaders.com.
Ad esempio sul mio sito li ho abilitati tutti, ecco uno screen della scansione:
Come abilitare i principali Header di sicurezza HTTP
Per abilitare questi moduli di sicurezza sul tuo sito inserisci il seguente codice nel tuo file .htaccess:
# Security Headers
<IfModule mod_headers.c>
Header set Content-Security-Policy "upgrade-insecure-requests"
Header set Strict-Transport-Security "max-age=31536000; includeSubDomains"
Header set X-Xss-Protection "1; mode=block"
Header set X-Frame-Options "SAMEORIGIN"
Header set X-Content-Type-Options "nosniff"
Header set Referrer-Policy "strict-origin-when-cross-origin"
Header set Permissions-Policy "geolocation=self"
</IfModule>
Dopo aver pulito la cache del tuo sito, prova a effettuare una nuova scansione per verificare se sono presenti tutti i moduli.
19. Limita l’accesso a file e cartelle del tuo sito
Inserendo sulla barra URL del browser indirizzi come “nomedominio.com/wp-content/plugins/nomeplugin” è possibile visualizzare l’indice dei file di un plugin.
Questa è senza dubbio una preziosa fonte di informazioni per gli hacker. In questo modo possono conoscere con esattezza la versione del plugin che stai usando e effettuare delle ricerche per verificare tutte le falle di sicurezza correlate.
Insomma, bisogna fare il possibile per tenere allo scuro queste informazioni.
Per fare ciò installa sul tuo sito WordPress il plugin SiteGround Security. Dopodiché recati sulla voce del menù (1) “SG Security > Site Security” e abilita l’opzione (2) “Blocca e proteggi le cartelle di sistema“.
In questo modo l’indice di temi e plugin sarà irraggiungibile e difficilmente si verrà a sapere che versione di questi utilizzi.
20. Utilizza connessioni sicure agganciate al tuo sito
In un articolo del mio blog ho parlato di come fosse possibile modificare il proprio sito WordPress utilizzato una connessione FTP.
Ma a fine articolo ho anche spiegato ai miei lettori come utilizzare questo tipo di comunicazione fosse pericolosa per la mancanza di un sistema di criptazione dati.
Ciò che ti consiglio di fare è collegarti al tuo sito tramite SFTP (meglio noto come SSH File Transfer Protocol). In questo modo tutti i dati scambiati da remoto saranno protetti.
Un’altra accortezza è quella di proteggere il proprio router o Wi-Fi domestico e non lavorare su progetti Web collegandosi a reti pubbliche e insicure. Altrimenti chiunque potrebbe intercettare tale connessione e vedere i vostri dati.
Conclusioni
La sicurezza del vostro sito, in WordPress o non, dovrebbe essere sempre al primo posto. Non curarla significa buttare tempo e soldi, quindi è un danno a noi stessi, e esporre i nostri utenti ai pericoli della rete.
Quelle che ti ho elencato in questo articolo sono solo alcune delle strategie per aumentare la sicurezza del tuo sito.
Sono semplici da applicare ma altrettanto efficaci. Potremmo sbizzarrirci a inventare svariati modi per proteggere il nostro sito: creando barriere di cui nessuno è a conoscenza.
Ma mi rendo anche conto che non tutti hanno abbastanza tempo da investire in queste attività.
Scegliendo un’ottimo servizio di Hosting, impostando un sistema di backup automatici e applicando tutti i consigli tecnici di cui ti ho parlato puoi realmente mettere una rete di filo spinato e un muro di cemento armato attorno al tuo sito.
Ma non dimentichiamoci mai che la sicurezza informatica è un settore in continua evoluzione.
Questo articolo è in costante aggiornamento. Quindi se conosci strategie di cui non ho parlato scrivile nei commenti. Vedremo se sarà opportuno aggiungerle qui.
Mentre se hai dubbi o hai riscontrato problemi fammelo sapere sempre qui sotto.
Per migliorare il tuo sito WordPress ti rimando a due fantastici articoli per te:
- migliorare la SEO on-site del tuo sito WordPress
- velocizzare e migliorare le performance del tuo sito WordPress
Da Michele è tutto!