Parliamo di sicurezza e di come rendere sicuro e inattaccabile il proprio sito web realizzato con WordPress.
Sicuramente hai sentito dire milioni di volte che è davvero importante mantenere il proprio sito web aggiornato sia dal punto di vista dei contenuti e sia dal punto di vista strutturale.
E’ proprio a causa delle vulnerabilità di sistema che molti siti subiscono attacchi hacker più o meno disastrosi.
In questo articolo ti spiego come mantenere un sito web aggiornato rendendolo il meno vulnerabile possibile.
Ricorda: il tuo sito web non sarà mai sicuro al 100%. Tutto ciò che è online non lo è ma con piccole azioni potrai mantenerlo in uno stato di sicurezza ottimale.
In questo articolo ti parlerò di:
- cambiare la path di backend di wordpress tramire file htaccess
- cambiare user name e password
- creare nuovi utenti con ruolo di amministratore
- come rimuovere la possibilità di avere nuovi iscritti al sito (con relativo username e pasword)
- controllare utenti sospetti
- Monitorare ed eventualmente bloccare login sospette
- scegliere un buon hosting sicuro
- lavorare sul tuo sito di staging in tutta sicurezza
- esportare i dati (pagine-post-media) direttamente da wordpress.
Ma prima di tutto..
Cosa significa avere un sito web aggiornato?
Un sito web aggiornato è un sito web che ha tutta la tecnologia che lo compone aggiornata all’ultima versione disponibile (nel caso di wordpress ad esempio: CMS (wordpress), plugins e temi).
Aggiorna frequentemente tutta la tecnologia del tuo sito web
Se uno (anche solo uno) di questi elementi (CMS, plugins e temi) non è aggiornato, può rendere tutto il sistema vulnerabile e quindi soggetto ad attacchi hacker che potrebbero rendere il sito web addirittura irrecuperabile.
Proprio per questo motivo ti consiglio di:
- Aggiornare frequentemente il CMS, i plug-in installati e il tema.
- Cancellare tutti i plug-in e i temi che non utilizzi. Mantenerli installati e non attivi rende il sistema vulnerabile e pesante, quindi cancella tutto ciò che non usi (non ha senso avere installati 10 temi quando ne puoi utilizzare solo uno alla volta, tieni il tuo tema attivo e uno base di WordPress sempre aggiornato).
- Mantenere solo ciò che usi e che è davvero essenziale per il tuo sito web.
Scegli un buon hosting con una buona gestione dei backup e dei ripristini
Molti, moltissimi sottovalutano la scelta dell’hosting preferendo hosting che costano poco e che spesso offrono ancora meno
Scegli un buon hosting (valutando prezzo e servizio offerto) con un buon firewall e in base ai servizi che ti offre REALMENTE (ci sono hosting economici non molto conosciuti che offrono un buon servizio).
Ho lavorato su alcuni siti web appoggiati a hosting che offrivano il servizio giornaliero di backup automatico ma non ti davano la possibilità di ripristinarlo in caso di problemi.
Controlla che la parte dedicata ai backups giornalieri e relativi ripristini sia attiva e funzionante senza dover spendere soldi aggiuntivi.
Controlla che l’hosting scelto utilizzi una versione di php recente ma stabile e quindi meno vulnerabile.
Installa un certificato di sicurezza del sito web
Appena installato wordpress installa un certificato di sicurezza. Solitamente questo è un servizio gratuito offerto dall’hosting e ti mettere di passare il tuo sito web dal protocollo http a https. Mi raccomando, accertati che il certificato di sicurezza del tuo sito web non sia scaduto!
Controlla il sito quotidianamente
Se il sito è infetto, l’hosting potrebbe non saperlo e in questo caso generare copie di backup infette. Se i backups generati sono infetti hai due possibilità: risolvi il problema (se è risolvibile) o non più potrai contare su una copia di backup e quindi dovrai ricominciare da zero. Proprio per questo motivo ti consiglio di controllare spesso il funzionamento del tuo sito web.
Crea una copia staging del tuo sito web
Scegli un hosting che ti offra la possibilità di creare una copia staging del tuo sito.
La copia staging è una copia identica del tuo sito web online. In questa copia potrai testare plug-in, aggiornamenti e modifiche.
Questa copia può anche essere considerata un vero e proprio backup in caso di problemi (mi ha salvato la vita diverse volte)
Cambia il path del tuo backend WordPress
La posizione standard del tuo backend è su www.iltuositoweb.com/wp-admin ma è possibile cambiarla in modo da rendere più difficile la vita a chi vuole intrufolarsi.
Esistono diversi modi per modificare il path di wordpress, utilizzando plug-in o senza plug-in.
Sono della vecchia scuola, sono cresciuta con WordPress quando i plug-in erano davvero pochi. Proprio per questo motivo voglio spiegarti come essere completamente autonomo senza dover per forza utilizzare plugins.
Questa operazione si può svolgere senza plug-in e ti spiego come.
Come modificare il path del backend di wordpress tramite htaccess.
Cerca il file .htaccess tramite programma ftp o tramite il cpanel del tuo hosting.
Il file .htaccess spesso è nascosto quindi assicurati di poter visualizzare i file di sistema nascosti.
Fai sempre un backup del file originale in modo da poterlo ripristinare in caso di errore. Ricorda che basta anche solo una riga sbagliata (in certi casi anche una lettera) per far smettere di funzionare il sito web.
Inserisci nel file htaccess queste due stringhe di codice che cambieranno il path del tuo backend da /wp-admin a /gestione
RewriteCond %{REQUEST_URI} wp-admin/
RewriteRule ^gestione/(.*)
In questo modo il backend del tuo sito web non si troverà più su www.iltuositoweb.com/wp-admin ma su www.iltuositoweb.com/gestione.
Cambia il tuo user name e la tua password con username e password forti
Quasi sicuramente il tuo user name sarà il tuo nome, la tua email o peggio ancora admin.
Cambialo e scegli qualcosa di più complicato.
Stessa cosa per la password, scegli una password forte composta da molti caratteri e con caratteri speciali !@>.
Per creare una password forte puoi utilizzare quelle suggerite da wordpress, inventarne una o utilizzare il servizio di generazione password forti offerto da LastPass.
Crea più amministratori
Non creare solo un amministratore, crea più utenti con ruolo amministratore con altre tue email personali.
Controlla gli utenti di WordPress
Vai su utenti –tutti gli utenti e controlla che non ci siano nuovi utenti iscritti.
Se ci sono nuovi utenti che non conosci eliminali subito e blocca le registrazioni al sito (leggi capitolo successivo.)
Blocca le registrazioni al sito e cambia il ruolo dei potenziali nuovi iscritti
Da back-end c’è la possibilità di poter decidere che ruolo avranno i nuovi iscritti al sito web e se ci si potrà registrare.
E’ davvero importante bloccare la possibilità di far registrare nuove persone al proprio sito web (in caso questa funzionalità non servisse) o comunque possiamo impostare automaticamente il ruolo dei nuovi iscritti.
Vai su impostazioni -> generali e ti consiglio di togliere il flag alla voce “chiunque si può iscrivere” e di impostare i nuovi iscritti come “sottoscrittori” in modo da limitare il più possibile la possibilità di fare danni.
Il ruolo sottoscrittore è il più limitato.
Controlla di accessi tramite ip
Installa il plug-in Login Lockdown e controlla di accessi di login.
Con questo plug-in vengono date tot possibilità di accesso allo stesso ip. Se la password viene inserita sbagliata troppe volte, il sistema bloccherà l’accesso a quell’ip proteggendo il sistema.
Esportazione sito da backend
Esporta i post, le pagine, i media e le varie strutture direttamente da wordpress tramite la funzione esporta raggiungibile da strumenti – esporta.
In questo modo avrai anche un copia del sito web direttamente sul tuo computer.
Bene! questi sono alcune delle accortezze che ci permettono di avere un sito web protetto.
Tu ne conosci altre?
Scrivimele nei commenti!