Prendiamo spunto da una vostra domanda per parlarvi di errori si sicurezza che riscontriamo spesso nelle installazioni WordPress che prendiamo in gestione.
“Perchè il mio sito è stato hackerato?”
Una parte fondamentale nella realizzazione di un sito o di un e-commerce è la messa in sicurezza. In particolare noi utilizziamo il plugin Wordfence che ci aiuta ad aumentare il livello di sicurezza del sito.
In questo post vi diamo qualche consiglio per evitare questi errori di sicurezza e proteggere meglio l’ambiente WordPress.
Sicurezza del sito web: come proteggere i tuoi dati e quelli dei tuoi utenti
Ecco di seguito 6 consigli più un bonus.
1. Aggiorna WordPress, temi e plugin
Quando prendiamo in gestione un sito le prime attività che eseguiamo sono gli aggiornamenti e la messa in sicurezza.
Le cause principali dei siti compromessi, infatti, sono le vulnerabilità derivanti dalle installazioni di temi, plugin o WordPress obsolete. Queste intrusioni possono quindi essere prevenute aggiornando periodicamente WordPress, i plugin e i temi.
Il plugin Wordfence, oltre a fare da firewall, ci notifica anche quando viene rilasciato un aggiornamento di un plugin, di un tema o del core di WordPress. Wordfence scansiona periodicamente l’installazione di WordPress e rileva se ci sono vulnerabilità o ci sono state intrusioni.
Oltre agli aggiornamenti periodici, per evitare errori di sicurezza su WordPress, consigliamo anche di:
- non usare plugin o temi non più mantenuti dagli sviluppatori;
- non utilizzare plugin o temi premium offerti gratuitamente, perchè contengono quasi universalmente codice dannoso che infetterà il sito;
- disattivare e cancellare i plugin e temi inutilizzati perchè anche da questi ci possono essere intrusioni.
2. Non riutilizzare le password o usare delle password deboli
Un errore comune, ma semplice, che viene commesso spesso è il riutilizzo delle password tra gli account. Sito web, database e account FTP, dovrebbero avere password differenti, altrimenti, se un account viene compromesso anche tutti gli altri lo saranno.
Wordfence ha anche un’opzione che impedisce l’uso delle password trovate nelle violazioni dei dati, questa opzione si applica agli amministratori per impostazione predefinita, ma può essere impostata per includere tutti gli utenti che possono pubblicare post sul blog.
Consigliamo vivamente di utilizzare le password suggerite da WordPress durante la creazione dell’utente e di salvarle tutte in un gestore di password. Per approfondire l’argomento leggi questo nostro articolo:
3. Gestisci in maniera ottimale l’accesso degli utenti
WordPress mette a disposizione vari ruoli utenti con diversi livelli di accesso.
In generale consigliamo di:
- Concedere agli utenti un accesso minimo. Per la maggior parte dei nostri siti attiviamo l’account del cliente con il ruolo di Editore.
- Disabilitare la registrazione dell’utente o utilizzare il double opt-in. Se il sito non ha aree che richiedono la registrazione dell’utente, è sempre meglio disabilitare questa funzione. In caso ci sia una form di registrazione conviene utilizzare il sistema di double opt-in per confermare che si tratta di un utente reale.
- Applicare password complesse, come visto sopra.
- Richiedere l’autenticazione a 2 fattori per amministratori ed editori.
- Utilizzare nomi utente come “admin”, “test”, “login” o utilizzare il nome del sito. Questo può avere un impatto negativo perchè alcuni bot tentano di forzare una password per l’utente “admin” o di sfruttare le vulnerabilità utilizzando “admin” come nome utente predefinito nei loro script. Il nome utente deve, quindi, essere qualcosa di complesso o qualcosa di relativamente semplice ma unico. Più complesso è, più difficile sarà per i bot scoprire il nome utente.
4. Imposta il certificato SSL / TLS
I certificati SSL / TLS crittografano il traffico tra client e server e inviano in modo sicuro i dati tramite HTTPS. Il certificato invia tutto il traffico in una forma non leggibile crittografando i dati con l’uso di una chiave. Solo il server web ha una chiave per decifrare quei dati e rispondere alle richieste di nuovo con i dati crittografati.
Un semplice esempio per cui il sito necessita di un certificato SSL / TLS è che WordPress invia le credenziali in chiaro.
Inoltre il certificato ha anche un impatto sul ranking di ricerca, poiché Google preferisce i siti che utilizzano SSL.
5. Monitora continuamente il livello della sicurezza
Il monitoraggio continuo della sicurezza è essenziale per individuare e rispondere prontamente a eventuali minacce o anomalie. Utilizza strumenti di sicurezza come firewall, scanner di malware e monitoraggio degli accessi per rilevare attività sospette e proteggere il tuo sito web in tempo reale.
6. Imposta i backup
Dobbiamo essere sicuri che siano stati impostati i backup. Per migliorare il livello di sicurezza sui nostri hosting e essere GDPR compliance, abbiamo da sempre attivato i backup. Inoltre, dato il periodo storico, si sono intensificati ulteriormente gli attacchi informatici, per questo è sempre prudente avere più copie del tuo sito web anche su server diversi.
7. E se il sito è già stato hackerato?
Se il tuo sito è stato hackerato è importante scoprirlo rapidamente. L’hackeraggio del tuo sito può causare molti danni ai tuoi visitatori, al tuo ranking SEO e alla tua reputazione. Nel caso di ecommerce, può influire direttamente anche sulle entrate.
Questi sono 6 consigli che puoi verificare in autonomia, ma a livello di codice o di impostazioni possiamo fare molto di più.
Devi aggiornare il tuo sito o vuoi analizzare le sue vulnerabilità?
Foto di Arno Senoner da Unsplash