Come proteggere al meglio un sito creato con WordPress? Come mettere in sicurezza un sito WordPress? Leggi qui.
Indice della guida:
- 1 Come mettere in sicurezza un sito WordPress
- 1.1 Organizzare al meglio il computer, le password e i servizi di hosting
- 1.2 Attivare il protocollo HTTPS
- 1.3 Mantenere WP aggiornato
- 1.4 Eseguire backup con regolarità
- 1.5 Cambiare l’indirizzo di login
- 1.6 Installare un antivirus anche su WordPress
- 1.7 Limitare i tentativi di accesso
- 1.8 Modificare il file wp-config.php
- 1.9 Utilizzare un servizio VPN
Attenzione!
La guida è stata creata pensando a tutti i possessori di un dominio e di uno spazio server dedicato con su installato WordPress come CMS. Se hai aperto un sottodominio su WordPress.com, questa non è la guida che fa per te. Per semplificare: se, ad esempio, possiedi un dominio (come www.internetto.it) con (installato nello “spazio server” di questo dominio) il CMS WordPress, puoi continuare la lettura senza problemi. Se hai aperto un semplice sottodominio (come www.wordpress.internetto.it), questa guida sarà utile solo in parte.
Come mettere in sicurezza un sito WordPress
Un Content Management System è un software in grado di gestire, installato su un apposito server, un sito internet. WordPress è probabilmente il CMS più semplice da usare e sicuramente il più diffuso a livello mondiale. L’immediatezza di utilizzo e il fatto che sia un programma alla portata di tutti (aperto anche a chi non possiede grandi conoscenze informatiche e libero nel codice con cui è scritto) rendono WordPress un valido strumento per chi si cimenta con la costruzione di siti e con il mondo digitale in generale. Ma come ogni strumento che opera sul web, neanche WordPress è immune dai pericoli informatici.
Si rende, dunque, necessario seguire alcuni passi per mettere in sicurezza il proprio sito costruito con WordPress. Qui di seguito le principali precauzioni da prendere per mettere al sicuro il proprio sito WordPress.
Organizzare al meglio il computer, le password e i servizi di hosting
Il computer dal quale si gestisce il proprio sito è lo strumento principale e deve essere, quindi, anche il più “controllato”. Sarà dunque il caso di installare un buon antivirus per verificare che il pc non sia infetto da malware come i keylogger che registrano tutto ciò che viene digitato su una tastiera, comprese le password. Clicca qui per scoprire i migliori antivirus per pc.
A proposito di password, per l’account amministratore di WordPress e per tutti gli account eventualmente creati dall’utenza, usare sempre delle combinazioni efficaci di simboli e numeri in modo da non essere “facilmente decifrabili”.
Allo stesso tempo, è una buona idea acquistare uno spazio hosting (dove ospitare WordPress e il dominio) affidabile e che garantisca una gestione sicura e ottimale del sito web (ad esempio Aruba, GreenGeeks, Siteground, Bluehost, Kinsta sono alcuni tra i migliori).
Attivare il protocollo HTTPS
Attivare il protocollo HTTPS è una operazione fondamentale, sia per migliorare il posizionamento in SEO, che per risultare affidabili in moltissimi browser web. Oltre ad essere una garanzia per gli utenti che visitano il sito web, il protocollo HTTPS fornirà un livello di sicurezza in più al sito, in quanto tutti i dati inviati al browser verranno criptati. Contatta il tuo host per scoprire come attivare il protocollo HTTPS sul tuo dominio o prova ad installare plugin come Really Simple SSL per passare da SSL a HTTPS.
Mantenere WP aggiornato
Sia WordPress, sia i plugin scaricabili dall’apposita area di WP, vanno aggiornati quando richiesto dal sistema stesso. Perché? Perché in questo modo si garantirà al sito una costante protezione dai bug di sistema e da possibili falle della sicurezza. Ogni nuova versione di WP, infatti, porta con sé delle migliorie essenziali per il buon funzionamento del sito web e dell’ecosistema. È dunque consigliatissimo mantenere sempre aggiornato WordPress, nei limiti del possibile (molti aggiornamenti in “beta” potrebbero sfasare, ad esempio, la grafica del sito temporaneamente).
Eseguire backup con regolarità
Un’altra buona pratica è quella di effettuare sempre dei backup del sito in modo da non disperare se dovesse succedere l’innominabile, ovvero una cancellazione totale dei dati o un attacco hacker al sito stesso. Molti servizi di hosting come Aruba o SiteGround includono nel prezzo il backup giornaliero e settimanale del sito. In alternativa, esistono plugin molto buoni per il backup, come Updraft Plus, o BackWPup. Infine, si può effettuare un’esportazione di tutti dati direttamente attraverso WordPress o tramite il Cpanel, accedendo cioè al sito da remoto.
Cambiare l’indirizzo di login
In WordPress, il link per loggare su di un sito è impostato di default. Con comandi di codice o tramite un semplice plugin come Edit Author Slug oppure come WPS Hide Login sarà possibile cambiare l’indirizzo di login degli amministratori in un battibaleno.
Installare un antivirus anche su WordPress
Non tutti sanno che anche in WordPress è possibile installare un vero e proprio antivirus. Diverse sono le soluzioni in questo senso. Per brevità, qui viene consigliato il plugin chiamato Wordfence. Questo ottimo plugin è disponibile sia in versione gratuita che in formato premium. Tramite le impostazioni avanzate di Wordfence potremo controllare e bloccare gli accessi indesiderati, limitare il numero di login e svolgere tante operazioni avanzate di sicurezza.
Limitare i tentativi di accesso
Oltre al plugin Wordfence, è possibile limitare i tentativi di accesso e login al sito attraverso dei comandi in codice oppure grazie a dei plugin come Limit Login Attempts Reloaded. Nessuno meglio di te può conoscere ID e PASSWORD di accesso a WP, quindi perché ritentare 200 volte il login?
Modificare il file wp-config.php
Nel file “wp-config.php”, contenuto all’interno del server del tuo sito, sono contenute tutte le informazioni di configurazione della piattaforma, compreso il database e le credenziali di accesso. Un hacker esperto potrebbe dunque accedere a queste informazioni e corrompere il sito o il database. Per proteggere queste informazioni è necessario entrare nel file .htaccess contenuto nel Cpanel e cambiare il codice. Ci sono diversi modi per farlo, uno dei quali è qualli di inserire nel file suddetto questo codice:
<Files wp-config.php> order allow,deny
deny from all
</Files>Naturalmente questa è una azione che richiede una certa dimestichezza con i codici e il php. Questa operazione non va eseguita senza il supporto di esperti in materia.
Utilizzare un servizio VPN
Per proteggere i dati e rimanere invisibili sul web si può attivare una connessione VPN per router, come quella offerta da ExpressVPN, oppure si possono utilizzare altri servizi VPN vari, sempre con lo stesso fine: proteggere la propria navigazione e la rete domestica al meglio.
Per accedere ad una lista aggiornata dei migliori plugin per WordPress, clicca qui.