Con questa serie di articoli vogliamo darti una panoramica efficace che chiarisca la questione anche per i meno esperti.
La protezione dei siti WordPress è una tematica ben più complessa di quello che si può immaginare e spesso viene trascurata da chi non è mai stato vittima di attacchi.
WordPress offre vantaggi e svantaggi in fatto di sicurezza. Se da una parte il codice sorgente è controllato costantemente da una comunità di centinaia di sviluppatori attivi nel miglioramento costante del programma, dall’altra, proprio per la sua natura a “codice aperto”, lo stesso è accessibile a malintenzionati che possono studiarne eventuali debolezze.
Come ogni altro CRM, WordPress è vulnerabile a operazioni malevole che possono compromettere il tuo sito con lo scopo di rubare dati, distribuire malware, o dirigere i tuoi utenti verso pagine terze. Questo non significa che WordPress non sia affidabile, ma che è importante prendere la sicurezza sul serio, seguendo best practices testate per proteggere il proprio lavoro.
Negli anni ci siamo confrontati con diverse tipologie di problemi generati attraverso attacchi, In questa guida andremo a spiegare cosa significa proteggere un sito WordPress da attacchi malevoli con tutti i suggerimenti pratici per dormire sonni tranquilli.
La domanda – semplice e legittima – che ci fanno tanti nostri clienti è se WordPress sia effettivamente sicuro. La nostra risposta generale è senza dubbio sì. Un’occhiata alle statistiche relative a presenza di malware e attacchi hacker sembra però dimostrare il contrario.
Qualche dato:
Nel 2019 il 94% degli interventi di “pulizia” svolti riguardavano pagine WordPress. Un tendenza in continua crescita (nel 2018 erano il 90%, nel 2017 l’83%), che coincide con l’aumento della diffusione del CMS.
Sempre nel 2019, il 35.2% dei siti presenti su internet erano realizzati con WordPress. Un dato che attira gli interessi dei pirati informatici, che sanno di poter ottenere i migliori risultati concentrando i propri sforzi sulla piattaforma gestionale più diffusa al mondo.
Tutti i siti sono potenzialmente vulnerabili, ma si sente spesso parlare di attacchi a WordPress perché è su questo CRM che sono costruiti oltre un terzo dei siti nel mondo.
Ecco perché rinforzare le difese di WordPress non è un’opzione ma una necessità, oltre che un dovere imprescindibile che hai nei confronti dei tuoi utenti.
Facciamo qualche esempio pratico. Pensa agli indirizzi email che si celano dietro ai commenti di un blog o nei vari step per la raccolta di lead, oppure a tutti i dati personali dei clienti di un ecommerce o alle varie integrazioni con servizi esterni come Facebook, LinkedIn e altri.
Il modo più comune per accedere ad un sito senza avere le credenziali è trovando punti deboli nel codice.
Detta in parole semplici, il tuo sito WordPress viene testato per capire dove ci siano vulnerabilità e come forzarle, per poi passare all’attacco senza che tu te ne accorga.
Anche nel caso in cui il codice del tuo sito si riveli impenetrabile, esistono metodi per entrare. Non è solo un’operazione di forza bruta a provocare l’hackeraggio, spesso è l’installazione volontaria di un plugin o un tema da parte dell’admin che permette a terzi di infiltrarsi.
La maggior parte degli attacchi avviene proprio in questo modo, tra il 95% e il 98% degli attacchi a siti WordPress avviene a causa di vulnerabilità dei plugin.
WordPress viene aggiornato regolarmente proprio per individuare queste lacune e prevenire accessi indesiderati, ma molti utenti preferiscono non installare questi aggiornamenti, pensando che possano andare a danneggiare il proprio sito, e rimangono esposti ad attacchi.
Mettere in sicurezza WordPress è un processo in costante evoluzione, e non un’azione una tantum.
Come mettere in sicurezza WordPress
La sicurezza, per definizione, è riduzione del rischio. È importantissimo tenerlo sempre a mente, perché mettere in sicurezza il tuo sito WordPress significa di fatto ridurre il pericolo a un livello accettabile e, di conseguenza, gestibile.
Questo significa attivare una gestione del sito web sana e professionale, e prenderti cura del valore del tuo progetto digitale.
Attenzione però, perché se sul tuo sito ci sono anche dati sensibili di altre persone: non rendere sicuro il tuo WordPress potrebbe procurarti problemi anche legali, come previsto dal GDPR.
Esegui backup periodici
Prevenire è meglio che curare e non c’è modo più efficace di proteggere il tuo lavoro che salvarne una copia a intervalli regolari su una memoria esterna al tuo sito. I backup possono salvarti in situazioni catastrofiche, permettendoti di recuperare i contenuti del tuo sito anche quando questi sono stati danneggiati in modo irreparabile.
Esistono vari plugin per eseguire backup automatici di wordpress ma sono pressochè inutili se non gestiti correttamente perchè eseguono i backup all’interno dello spazio web. Oltre a “sprecare” lo spazio dedicato al sito rimangono comunque alla mercè degli attaccanti che potrebbero compromettere anche quelli. i backup vanno eseguiti su uno spazio sicuro separato da quello dedicato al sito
Un Hosting professionale provvederà di default a fornire un programma di backup periodici dai quali poter attingere in caso di compromissione del sito.
Nel nostro caso, ad esempio, manteniamo 28 backup giornalieri ruotati quotidianamente su un server in un differente datacenter. Una soluzione che ci mette al riparo da disastri all’interno dei datacenter che, come abbiamo visto con i recenti casi che hanno coinvolto anche siti istituzionali, non sono affatto impossibili anche se rari.
Questa è la prima e importante azione da intraprendere per non rischiare di rimanere off-line per il tempo necessario a risolvere le conseguenze di un “disastro” che potrebbe richiedere giorni ma non ci mette al riparo da un utilizzo truffaldino dei dati eventualmente trafugati con l’attacco.