Top

Laura Pierobon - WordPress ❤︎ Web Design

Siti web al femminile targati Wordpress

Blog - Web Design © Laura Pierobon - WordPress ❤︎ Web Design

Come rendere sicuro il tuo sito WordPress

by
Tempo di lettura: 10 minuti

Home » Come rendere sicuro il tuo sito WordPress
Come rendere sicuro il tuo sito WordPress © Laura Pierobon - WordPress ❤︎ Web Design

Indice dei contenuti

Avere un sito sicuro è fondamentale per garantire una piacevole esperienza di navigazione ai tuoi visitatori.
Quando un utente visita un sito, di certo l’ultima cosa che vorrebbe è rischiare di infettare il suo computer con qualche malware o qualche virus o che i suoi dati non vengano trattati in modo sicuro. Allo stesso modo, non credo che tu voglia rischiare di perdere tutti i tuoi preziosi contenuti a causa di qualche attacco hacker.

La sicurezza, poi, è un fattore importante anche a livello di visibilità sui motori di ricerca, dato che Google penalizza quei siti che reputa pericolosi per gli utenti, che sono stati violati o che vengono utilizzati per diffondere spam.

Inoltre, dimostrare ai tuoi utenti che tieni alla loro sicurezza aumenterà la tua autorevolezza e la loro fiducia nei tuoi confronti (e di conseguenza anche quella nei tuoi prodotti e servizi) rendendoli più inclini ad acquistare da te.

Quindi come fare a rendere il proprio sito WordPress un posto sicuro sia per i nostri contenuti che per i nostri utenti? Qui di seguito ti lascio 10 buoni consigli da seguire.

Scegli un hosting sicuro e affidabile

Secondo una ricerca circa la metà dei siti hackerati è stato violato a causa di una vulnerabilità a livello di hosting. Va da sé quindi che scegliere un buon hosting su cui far ospitare il nostro sito sia di fondamentale importanza a livello di sicurezza.

L’utilizzo di server dedicati è sicuramente preferibile perché non essendo uno spazio condiviso con altri siti garantisce un livello di sicurezza (oltre che di performance) maggiore. Tuttavia, si tratta di un tipo di hosting piuttosto costoso. Fortunatamente esistono anche fornitori affidabili di hosting condivisi (io ti consiglio SiteGround).

Installa un certificato SSL

Il certificato SSL è di fondamentale importanza per tutti quei siti che comprendono lo scambio di informazioni private e in particolare per i siti di vendita e gli e-commerce. Tuttavia è consigliato installarlo anche se il tuo sito non è un sito di vendita.

Ma facciamo un passo indietro: che cos’è esattamente questo certificato?

Un certificato SSL (Secure Sockets Layer), così come la sua versione più recente TLS (Transport Layer Security), è un protocollo standard che consente la trasmissione di informazioni via web in modo criptato e sicuro.

Vengono emessi da un ente certificatore e servono a proteggere i dati degli utenti del proprio sito, assicurando che le informazioni sensibili fornite (ad es. password, dati personali e numeri di carte di credito) rimangano riservate e non vengano intercettate da terze parti.

Possiamo verificare se in un sito vi è installato un certificato SSL guardando l’indirizzo sulla barra degli URL: se troviamo scritto https:// anziché http:// e vediamo il simbolo di un lucchetto allora il certificato è installato.

L’installazione di un certificato SSL non è obbligatoria ma è altamente consigliata perché:

  • garantisce l’affidabilità e la sicurezza di un sito web
  • è garanzia di autorevolezza e serietà per gli utenti che navigano il sito (una maggior tutela e protezione nelle transazioni e nello scambio di dati sensibili si traduce in una maggior propensione a concludere l’acquisto)
  • è utile a livello SEO: Google, infatti, da alcuni anni lo ha inserito tra i fattori di ranking per il posizionamento e il browser di casa Google (ovvero Chrome) segnala come “non sicuro” tutti quei siti che richiedono informazioni sensibili all’utente ma non hanno installato alcun certificato SSL.

Puoi installare il certificato SSL sul tuo sito WordPress direttamente dalle impostazioni del tuo hosting provider (oppure contattami e lo farò io per te).

Utilizza un servizio CDN

CDN è un acronimo che sta per Content Delivery Network (ovvero “Rete per la distribuzione dei contenuti”) e si tratta di un gruppo di server distribuiti in tutto il mondo che servono per velocizzare la distribuzione dei contenuti web e velocizzare il download dei dati.

Anche se vengono principalmente utilizzate per migliorare le performance a livello di velocità, le reti CDN devono soddisfare delle specifiche norme di sicurezza per proteggere i dati degli utenti, per questo è consigliabile utilizzarle anche a fini di sicurezza.

Effettua frequentemente dei backup

Sapevi che esiste una giornata mondiale dei backup? Ebbene sì, il World Backup Day cade ogni anno il 31 marzo e questa giornata è stata istituita per far capire alle persone l’importanza di fare con regolarità il salvataggio dei propri dati (di qualunque tipo essi siano) per proteggerli da furti, virus e malfunzionamenti.⁠

Naturalmente questa regola vale anche per il tuo sito WordPress! Il mio consiglio è di effettuare dei backup con regolarità (la cadenza dipenderà dalla frequenza con cui aggiorni il tuo sito) e di farlo sempre prima di ogni modifica o aggiornamento importante.⁠

Alcune società di hosting (come ad esempio SiteGround) offrono già inclusa nei loro piani la possibilità di creare dei backup automatici (giornalieri o settimanali). Se invece il tuo hosting provider non ti fornisce questo servizio, dovrai procedere tu stessa alla creazione del backup del tuo sito. 

Puoi farlo in modo manuale (copiando tutti i file del tuo sito e l’intero database) oppure, molto più semplicemente, installando un plugin apposito che ti permetterà di salvare una copia del tuo sito in pochi semplici click.⁠

Tra i vari plugin di backup esistenti io ti consiglio UpdraftPlus, che è disponibile anche in versione gratuita. Oltre ad essere uno dei più utilizzati, questo plugin ti permette di creare un backup completo del tuo sito WordPress, di salvarlo sul cloud o di scaricarlo sul tuo computer e, nel caso poi avessi bisogno di ripristinare un vecchio backup, di farlo in modo facile e veloce direttamente dal pannello di amministrazione di WordPress.

Mantieni aggiornati WordPress, temi e plugin

Di tanto in tanto ti capiterà di vedere nella bacheca del tuo sito WordPress un pallino rosso con dei numerini vicino alla voce “Aggiornamenti“.

Gli aggiornamenti (di WordPress, dei temi o dei plugin) vengono rilasciati periodicamente dagli sviluppatori e servono a risolvere eventuali problemi e bug o ad aggiungere nuove funzionalità. I bug di sicurezza, in particolare, costituiscono una facile porta d’accesso a dei potenziali hacker, che possono così entrare indisturbati nel tuo sito web. Per questo è importantissimo fare gli aggiornamenti quando disponibili!⁠

Dalla versione 5.5 di WordPress poi, è stata inserita la funzione degli aggiornamenti automatici che permette di aggiornare plugin e temi in modo automatico ogni volta che viene rilasciata una nuova versione.

  • Per i plugin, è possibile attivare questa funzione con un semplice clic direttamente dalla pagina dei plugin installati, scegliendo quali far aggiornare in modo automatico e quali lasciare in modalità di aggiornamento manuale.
  • Per i temi, invece, bisogna recarsi nella pagina dei temi e cliccando sui singoli temi installati potrai vedere la voce “Attiva aggiornamenti automatici“, nel caso in cui il tema in questione li supporti.

Mi raccomando, pero! Che tu scelga di attivare gli aggiornamenti automatici o di continuare a farli in modo manuale, prima di premere sul pulsante “aggiorna” ricordati di fare sempre un backup del tuo sito! In questo modo potrai facilmente tornare alla versione precedente nel caso in cui la versione aggiornata abbia problemi di compatibilità.⁠

Effettua delle scansioni malware periodiche

Verificare periodicamente che il nostro sito sia privo di malware è molto importante per garantire la sicurezza dei nostri visitatori che potrebbero ritrovarsi spiati, infettati da virus, reindirizzati su siti sospetti o invasi da pubblicità indesiderate. Ma cosa sono esattamente questi malware?

La parola malware deriva dalla contrazione delle parole “malicious software” (ovvero “software maligno”) ed è un termine generico utilizzato per indicare qualsiasi tipologia di codice malevolo che crei delle minacce alla sicurezza di siti e dispositivi.

Tra i malware più conosciuti possiamo trovare:

  • Virus – Sono codici malevoli che si “attaccano” ad altri programmi infettandoli e che hanno la capacità di riprodursi
  • Trojan Horses (Letteralmente “Cavalli di Troia” e conosciuti anche come “backdoor malware”) – Si tratta di software malevoli “travestiti” da programmi innocui, che una volta installati prendono il controllo dell’intero sistema
  • Adware – sono programmi indesiderati che visualizzano messaggi pubblicitari sullo schermo, spesso all’interno delle finestre del browser
  • Spyware – sono una particolare tipologia di software progettata per spiare le attività dell’utente e raccogliere informazioni senza autorizzazione
  • Ransomware – sono software che impediscono l’accesso alle pagine web, al proprio computer o ai propri file a meno che non si paghi un riscatto.
  • Exploit – sono codici malevoli che sfruttano i bug e le vulnerabilità del sito, del sistema operativo o delle applicazioni per consentire agli hacker di prenderne il controllo da remoto

Per essere certa che il tuo sito sia privo di malware, puoi effettuare una scansione periodica attraverso tool online come Sucuri SiteCheck e WPScans oppure installando un apposito plugin per la sicurezza.

Utilizza delle credenziali efficaci

So che ormai lo avrai sentito ripetere milioni di volte, ma come si dice, repetita iuvant: è fondamentale scegliere delle password sicure e diverse per ogni tipo di account. Solo così ridurrai al minimo il rischio che vengano scoperte da qualche malintenzionato.

Questo discorso vale, ovviamente, anche per le credenziali del tuo sito web (che siano del pannello di amministrazione di WordPress, dell’hosting, dell’FTP, del database o di altri servizi associati al tuo sito). Quindi assolutamente vietato utilizzare “admin” come nome utente e password facilmente riconoscibili come la classica “123456”!

Se vuoi mettere in sicurezza il tuo sito WordPress ecco le principali caratteristiche che dovrebbero avere le tue password:

  • Devono essere complesse – le password più sicure sono quelle composte da combinazioni di numeri, segni e lettere in ordine casuale (quindi NO anche a date di nascita o altre informazioni personali, quali il tuo nome o il tuo numero di telefono)
  • Devono essere uniche – le password dovrebbero essere diverse e univoche per ogni piattaforma, vale a dire: non usare la stessa password che usi per accedere – ad esempio – al tuo account Facebook anche per accedere al tuo sito
  • Devono essere lunghe – il consiglio è di creare password che abbiamo almeno 8-12 caratteri
  • Devono essere cambiate di frequente – è consigliabile cambiare la password almeno ogni 3-6 mesi

E se proprio non vuoi perdere tempo a seguire le regole qui sopra, puoi sempre affidarti a dei generatori di password casuali disponibili online, come ad esempio RoboForm o LastPass.

Scegli con cura il tema del tuo sito

Quando scegli la veste grafica per il tuo sito opta sempre per dei temi creati da sviluppatori seri e affidabili, il che spesso si traduce nella scelta di temi premium a pagamento rispetto a dei temi gratuiti. Ciò non significa che tutti i temi gratuiti non siano validi, ma capita spesso che questo tipo di temi non vengono più aggiornati una volta rilasciati e che quindi diventino delle facili porte di accesso per eventuali malware e attacchi hacker.

Se vuoi comunque optare per dei temi gratuiti, allora sceglili tra quelli disponibili nella repository di WordPress o accertati che si tratti della versione gratuita di un tema premium di buona qualità.

Scegli con cura quali plugin installare

Ogni volta che installi un nuovo plugin assicurati che provenga da fonti affidabili e sicure; controlla quando è stata rilasciata l’ultima versione più aggiornata (meglio evitare plugin che non vengono aggiornati da più di 6 mesi/1 anno), il numero di volte che è stato installato e le recensioni degli utenti per capire quanto è affidabile quel plugin.

In ogni caso, però, non esagerare con l’installazione dei plugin: mantieni solo quelli strettamente necessari ed elimina tutti quelli superflui.

Installa un plugin per la sicurezza

Installare un plugin per la sicurezza è un ottimo modo per rendere più sicuro il proprio sito WordPress contro attacchi automatizzati e malware.

Ne esistono diversi, sia gratuiti che a pagamento. Di seguito te ne elenco 5 disponibili anche in versione gratuita e che trovo molto validi.

WordFence Security

Wordfence Security è uno dei plugin di sicurezza WordPress più conosciuti e utilizzati. Permette di eseguire una scansione di tutti i plugin e i file del sito alla ricerca di malware; dispone di un firewall per bloccare eventuali attacchi e di un filtro antispam per i commenti. Inoltre, ogni volta che una minaccia viene individuata, vi verrà inviata una notifica via e-mail. È che è disponibile sia in versione gratuita che a pagamento.

Sucuri Security

Anche il plugin Sucuri Security è disponibile sia in versione gratuita che a pagamento. La versione gratuita offre il monitoraggio dell’integrità dei file e della blacklist, la scansione dei file contro i malware e altri strumenti per il rafforzamento della sicurezza. Ogni volta che viene individuato un problema riceverete una notifica istantanea.

Jetpack

Jetpack è un altro plugin per la sicurezza molto popolare. È sviluppato da Automattic, ovvero il team di sviluppatori che sta alla base di WordPress.com.

Questo plugin non include solo funzioni legate alla sicurezza ma anche altre interessanti caratteristiche come ad esempio la raccolta di statistiche, delle funzioni per il miglioramento delle performance e della velocità del sito e strumenti per la condivisione dei contenuti.

A livello di sicurezza garantisce una protezione da attacchi di brute force, il blocco delle attività sospette e il monitoraggio dei tempi di inattività del sito; mentre nella versione a pagamento offre anche scansioni malware, backup pianificati e ripristino in caso di problemi.

All In One WP Security & Firewall

All In One WP Security & Firewall offre un’interfaccia semplice e intuitiva: attraverso un grafico vi mostrerà quanto è sicuro il vostro sito web e vi indicherà i punti deboli su cui intervenire.

Tra le funzioni offerte vi sono: uno strumento di blacklist attraverso cui impostare determinati requisiti per bloccare un utente, la protezione degli account utente e il miglioramento della sicurezza della registrazione, il blocco dei tentativi di accesso forzato, e strumenti per la sicurezza di database e file.

SG Security

Se utilizzi SiteGround come hosting provider, allora ti consiglio di utilizzare il loro plugin gratuito SG Security.

Questo plugin offre opzioni per rafforzare la sicurezza del tuo sito web e prevenire malware comuni, attacchi brute force e altri problemi di sicurezza. Offre inoltre dei sistemi di protezione per il login per evitare accessi non autorizzati (come ad esempio la modifica dell’URL della pagina di login, l’autenticazione a 2 fattori o il limite del numero di tentativi di login) oltre che un registro delle attività per individuare gli indirizzi IP che tentano di accedere al tuo sito.

E ora che hai capito l’importanza di mantenere il tuo sito WordPress in sicurezza non ti resta che andare a mettere in atto i consigli che ti ho dato!

Se però pensi di non avere tempo o di non essere in grado di farlo da sola, allora ho proprio la soluzione giusta per te! Con il mio servizio di Check up siti WordPress verificherò che il tuo sito sia sicuro e protetto e stilerò una relazione dettagliata in cui ti indicherò su quali aspetti e come intervenire per migliorare.                 
Oltre alla sicurezza, verificherò anche che il tuo sito sia conforme alle normative GDPR, Privacy e Cookie e analizzerò tutti quegli aspetti che possono incidere sulle sue performance (come ad esempio la velocità di caricamento) e sull’esperienza di navigazione dei tuoi utenti per aiutarti ad avere un sito ottimizzato, veloce, sicuro e funzionale. Contattami per acquistare il tuo check up!

Signature © Laura Pierobon - WordPress ❤︎ Web Design
Condividi questo articolo su Pinterest!
Come rendere sicuro il tuo sito WordPress © Laura Pierobon - WordPress ❤︎ Web Design
Come rendere sicuro il tuo sito WordPress © Laura Pierobon - WordPress ❤︎ Web Design
Come rendere sicuro il tuo sito WordPress © Laura Pierobon - WordPress ❤︎ Web Design

Dimmi cosa ne pensi!

Hai trovato questo articolo utile e interessante? Lasciami un Like e condividilo sui tuoi social!
Hai delle domande o delle osservazioni in merito? Mi farebbe molto piacere sapere cosa ne pensi, lasciami un commento!
Se ti è piaciuto questo articolo e vuoi restare aggiornata sulle mie ultime novità, iscriviti alla mia newsletter!

Rispondi

MAIL ME

Scrivimi!

Hai bisogno di creare o rinnovare il tuo sito WordPress? Hai dubbi o domande e hai bisogno di aiuto per gestirlo?
Mandami una mail e troveremo insieme la soluzione migliore per le tue esigenze!
Contattami

PEONIA

Iscriviti alla mia Newsletter!


Peonia è il canale attraverso cui condivido informazioni e aggiornamenti utili per il tuo sito WordPress, ma anche ispirazioni, spunti di riflessione e tanto altro!



iubenda Certified Bronze Partner

FOLLOW ME

@laurapierobon.webdesign