Le regole per un sito WordPress sicuro

,

WordPress è il CMS più diffuso al mondo, ma più del 70% delle installazioni rischiano di essere “bucate”, cioè di subire danni e furto di dati dovuti ad attacchi informatici.

Come è possibile?

Gli attacchi sfruttano le vulnerabilità (i punti deboli) del sistema. Un CMS complesso come WordPress, ad ogni nuovo rilascio, presto o tardi mostrerà delle falle che verranno prontamente sigillate con gli aggiornamenti. Gli hacker sono costantemente alla ricerca di vecchie installazioni di WP che non vengono aggiornate da tempo e che quindi presentano ancora una serie di vulnerabilità ben note.

Tenere WordPress aggiornato è la prima regola per un sito sicuro, ma ci sono anche altri accorgimenti da mettere in pratica per alzare al massimo il livello di sicurezza. Te li indico subito:

    • Aggiorna sempre anche i plugin e il tema. Ma prima di ogni aggiornamento, fai un backup completo. E dopo ogni aggiornamento, controlla che tutto sia ancora al suo posto.

    • Evita plugin e temi che non vengono aggiornati da molto tempo, che sono poco diffusi o hanno molti commenti negativi: usa solo quelli che ti sembrano affidabili e usane il numero minore possibile (più sono i plugin, maggiori sono le probabilità che si creino vulnerabilità).

    • Rimuovi l’utente “admin” e/o l’utente con ID=1 dopo aver creato un nuovo amministratore, con un nome complesso.

    • Usa sempre password complesse (con almeno 8 caratteri, che comprendano lettere ALTE e basse, numeri e simboli, evitando date di nascita o nomi.

    • Se non è necessaria, disabilita la possibilità per chiunque di registrarsi.

    • Per le tabelle del database usa qualcosa di diverso dal classico ‘wp_’.

    • Programma backup frequenti dei file e del database.

    • Installa un plugin serio di sicurezza come WordFence, iThemes Security o Sucuri.

    • Cambia l’URL della pagina di login di WP e della dir del backend in qualcosa di diverso dai classici wp-login.php e wp-admin.

    • Verifica che i permessi dei file e delle dir dell’installazione siano correttamente impostati: le dir su 755 e i file su 644.

    • Disattiva e rimuovi i plugin e i temi che non usi.

Se hai bisogno di assistenza o vuoi lasciare queste operazioni a chi sa come farle in totale sicurezza, contattaci!