Come mettere in sicurezza un sito WordPress

🕒 Tempo di lettura della guida: 4 minuti

Come proteggere al meglio un sito creato con WordPress? Come mettere in sicurezza un sito WordPress? Leggi qui.

Attenzione!

La guida è stata creata pensando a tutti i possessori di un dominio e di uno spazio server dedicato con su installato WordPress come CMS. Se hai aperto un sottodominio su WordPress.com, questa non è la guida che fa per te. Per semplificare: se, ad esempio, possiedi un dominio (come www.internetto.it) con (installato nello “spazio server” di questo dominio) il CMS WordPress, puoi continuare la lettura senza problemi. Se hai aperto un semplice sottodominio (come www.wordpress.internetto.it), questa guida sarà utile solo in parte.

Come mettere in sicurezza un sito WordPress

Un Content Management System è un software in grado di gestire, installato su un apposito server, un sito internet. WordPress è probabilmente il CMS più semplice da usare e sicuramente il più diffuso a livello mondiale. L’immediatezza di utilizzo e il fatto che sia un programma alla portata di tutti (aperto anche a chi non possiede grandi conoscenze informatiche e libero nel codice con cui è scritto) rendono WordPress un valido strumento per chi si cimenta con la costruzione di siti e con il mondo digitale in generale. Ma come ogni strumento che opera sul web, neanche WordPress è immune dai pericoli informatici.

Si rende dunque necessario seguire alcuni passi per mettere in sicurezza il proprio sito costruito con WordPress. Qui di seguito le principali precauzioni da prendere per mettere al sicuro il proprio sito WordPress.

Organizzare al meglio il computer, le password e i servizi di hosting

Il computer dal quale si gestisce il proprio sito è lo strumento principale e deve essere, quindi, anche il più “controllato”. Sarà dunque il caso di installare un buon antivirus per verificare che il pc non sia infetto da malware come i keylogger che registrano tutto ciò che viene digitato su una tastiera, comprese le password.

A proposito di password, per l’account amministratore di WordPress e per tutti gli account eventualmente creati dall’utenza, usare sempre delle combinazioni efficaci di simboli e numeri in modo da non essere “facilmente decifrabili”.

Allo stesso tempo acquistate uno spazio hosting (dove ospitare WordPress e il dominio) affidabile e che garantisca una gestione sicura e ottimale del sito web (ad esempio Aruba, GreenGeeks, Siteground, Bluehost, Kinsta sono tra i migliori).

Attivare il protocollo HTTPS

Attivare il protocollo HTTPS è una operazione fondamentale, sia per migliorare il posizionamento in SEO, che per risultare affidabili in moltissimi browser web. Oltre ad essere una garanzia per gli utenti che visitano il sito web, il protocollo HTTPS fornirà un livello di sicurezza in più al sito, in quanto tutti i dati inviati al browser verranno criptati. Contatta il tuo host per scoprire come attivare il protocollo HTTPS sul tuo dominio o prova ad installare plugin come Really Simple SSL per passare da SSL a HTTPS.

Mantenere WP aggiornato

Sia WordPress, sia i plugin scaricabili dall’apposita area di WP, vanno aggiornati quando richiesto dal sistema stesso. Perché? Perché in questo modo si garantirà al sito una costante protezione dai bug di sistema e da possibili falle della sicurezza. Ogni nuova versione di WP, infatti, porta con sé delle migliorie essenziali per il buon funzionamento del sito web e dell’ecosistema. È dunque consigliatissimo mantenere sempre aggiornato WordPress, nei limiti del possibile (molti aggiornamenti in “beta” potrebbero sfasare, ad esempio, la grafica del sito temporaneamente).

Eseguire backup con regolarità

Un’altra buona pratica è quella di effettuare sempre dei backup del sito in modo da non disperare se dovesse succedere l’innominabile, ovvero una cancellazione totale dei dati o un attacco hacker al sito stesso. Molti servizi di hosting come Aruba includono nel prezzo il backup giornaliero e settimanale del sito. In alternativa, esistono plugin molto buoni per il backup, come Updraft Plus, o BackWPup. Infine, si può effettuare un’esportazione di tutti dati direttamente attraverso WordPress o tramite il Cpanel, accedendo cioè al sito da remoto.

Cambiare l’indirizzo di login

In WordPress, il link per loggare su di un sito è impostato di default. Con comandi di codice o tramite un semplice plugin come Edit Author Slug oppure come WPS Hide Login sarà possibile cambiare l’indirizzo di login degli amministratori in un battibaleno.

Installare un antivirus anche su WordPress

Non tutti sanno che anche in WordPress è possibile installare un vero e proprio antivirus. Diverse sono le soluzioni in questo senso. Per brevità, qui viene consigliato il plugin chiamato Wordfence. Questo ottimo plugin è disponibile sia in versione gratuita che in formato premium. Tramite le impostazioni avanzate di Wordfence potremo controllare e bloccare gli accessi indesiderati, limitare il numero di login e svolgere tante operazioni avanzate di sicurezza.

Limitare i tentativi di accesso

Oltre al plugin Wordfence, è possibile limitare i tentativi di accesso e login al sito attraverso dei comandi in codice oppure grazie a dei plugin come Limit Login Attempts Reloaded. Nessuno meglio di te può conoscere ID e PASSWORD di accesso a WP, quindi perché ritentare 200 volte il login?

Modificare il file wp-config.php

In questo file sono contenute tutte le informazioni di configurazione della piattaforma, compreso il database e le credenziali di accesso. Un hacker esperto potrebbe dunque accedere a queste informazioni e corrompere il sito o il database. Per proteggere queste informazioni è necessario entrare nel file .htaccess contenuto nel Cpanel e inserire questo codice:

<Files wp-config.php> order allow,deny
deny from all
</Files>

Naturalmente questa è una azione che richiede una certa dimestichezza con i codici e il php. Questa operazione non va eseguita senza il supporto di esperti in materia.

Utilizzare un servizio VPN

Per proteggere i dati e rimanere invisibili sul web si può attivare una connessione VPN per router, come quella offerta da ExpressVPN, oppure si possono utilizzare altri servizi VPN vari, sempre con lo stesso fine: proteggere la propria navigazione e la rete domestica al meglio.

Per accedere ad una lista aggiornata dei migliori plugin per WordPress, clicca qui.

La guida è finita. Clicca qui per scriverci oppure visita la sezione “Contatti” nel footer in basso. Per condividere la pagina che hai appena letto, puoi utilizzare questi bottoni: