Indice dei contenuti:
- Scegliere un hosting WordPress affidabile
- Aggiornare WordPress, plugin e temi
- Fare periodicamente un backup WordPress
- Disabilitare commenti WordPress
- Rimozione malware WordPress
WordPress è il CMS più utilizzato sul web e questo lo rende soggetto a diverse minacce e attacchi informatici. Le minacce più comuni per la sicurezza WordPress includono malware, spam, attacchi brute force, backdoor, SQL injection, attacchi DDos e cross site scripting.
Nonostante la varietà delle minacce WordPress è un CMS molto sicuro, ma per proteggere il proprio sito c’è bisogno di fare attenzione a tutto ciò che potrebbe favorire una compromissione della sicurezza.
Il modo migliore per affrontare gli attacchi informatici è dotarsi di strumenti e strategie in grado di prevenire dei danni che possono portare a conseguenze molto pesanti da risolvere.
In questo articolo vedremo quali misure adottare per rafforzare la sicurezza del sito e cosa fare quando non ormai si è subito l’attacco informatico.
1. Scegliere un hosting WordPress affidabile
Il primo passo per un sito a prova di hacker è scegliere un hosting affidabile. La maggioranza dei siti web si appoggia ad un hosting condiviso, ovvero si acquista uno spazio all’interno di un server condiviso con altri siti web. Questo lo rende più economico ma anche più soggetto agli attacchi degli hacker, ecco perché bisogna scegliere dei provider che mettono a disposizione un hosting dotato di tutte le pratiche di sicurezza di base. Oggi la maggior parte dei provider forniscono il Certificato SSL (Secure Sockets Layer) per attivare il protocollo HTTPS compreso anche nei pacchetti base. Quando un dominio è certificato SSL i dati che viaggiano tra il browser e il server su cui è ospitato il sito sono criptati ed è più difficile per terze parti intercettarli e utilizzarli per scopi poco leciti.
2. Aggiornare WordPress, plugin e temi
Un altro aspetto che richiede attenzione quando si ha un sito web è l’aggiornamento costante del CMS e dei suoi componenti principali.
Un sito WordPress aggiornato è meno soggetto agli attacchi informatici, perché gli sviluppatori rilasciano aggiornamenti periodici per migliorare le funzionalità dei software e correggerne vulnerabilità. È quindi importante già a monte scegliere plugin e temi da fornitori affidabili e tenerli sempre aggiornati, così come la versione di WordPress. L’aggiornamento WordPress permette ai diversi elementi del sito di essere sempre compatibili con l’ultima versione del software, ma è anche importante eliminare plugin obsoleti o che non vengono più utilizzati.
Oltre agli aggiornamenti è consigliabile dotare il sito di plugin sicurezza WordPress, dei plugin “antivirus” che proteggono il sito dalle minacce più comuni.
Esistono numerosi plugin di sicurezza disponibili per WordPress che offrono protezione come firewall, scansione malware e protezione da attacchi di brute force.
Sul sito ufficiale del CMS sono suggeriti alcuni plugin per la sicurezza come Wordfence Security e altri.
3. Fare periodicamente un backup WordPress
Nonostante le misure preventive, c’è sempre la possibilità che il sito venga compromesso. Per non rischiare di perdere tutto il lavoro fatto è consigliabile eseguire regolarmente un backup completo del sito, in modo da poter ripristinare rapidamente in caso di emergenza.
Esistono 3 tipologie di backup:
- backup tramite web hosting;
- backup tramite plugin;
- backup manuale (file e database).
Anche in questo caso esistono dei plugin backup WordPress e sul sito ufficiale c’è una lista dove sono elencati quelli consigliati.
I provider di hosting includono nei loro pacchetti un servizio di backup giornaliero, settimanale o mensile, ma l’automatismo ha dei limiti ed è soggetto ad errori difficili da recuperare se non si è esperti. Per una maggiore sicurezza è meglio fare un backup manuale per assicurarsi di aver salvato tutti dati del sito.
Se il sito ospita un progetto personale una perdita dei dati è sostenibile, ma su un sito professionale o un ecommerce perdere dati può portare ad ingenti danni economici e reputazionali. In questo caso è sempre utile affidarsi ad un professionista che sappia come fare backup sito WordPress e occuparsene anche in modalità manuale.
4. Disabilitare commenti WordPress
Prima dei social i commenti agli articoli e alle pagine all’interno dei blog erano una buona occasione per relazionarsi con il proprio pubblico e avere dei feedback sui contenuti pubblicati. I commenti articoli WordPress vengono indicizzati su Google e possono quindi avere un’utilità anche a livello SEO, ma purtroppo oggi la sezione commenti è diventata più un ricettacolo di spam e una possibile apertura per attacchi informatici che un luogo di scambio, ed è quindi consigliabile disabilitare i commenti per evitare dei danni sia al sito, sia ai propri utenti che rischiamo di cliccare link pericolosi.
Disabilitare i commenti WordPress è molto semplice, basta andare nel backend WordPress, cliccare su “Impostazioni” → “discussioni” e da qui spuntare le impostazioni relative ai commenti del sito. Questa operazione non è retroattiva, quindi per gli articoli già pubblicati bisogna disabilitare i commenti in maniera manuale, andando sul singolo articolo e dal menù a destra selezionare l’opzione “Disabilita i commenti” e poi “Applica”.
È anche possibile eliminare completamente la sezione commenti dal tema WordPress, ma questo significa andare a toccare il codice sorgente del tema e se non si hanno conoscenze tecniche si rischia di compromettere la funzionalità del sito.
5. Rimozione malware WordPress
Nonostante tutte le buone pratiche di prevenzione, è possibile che un malware sia comunque riuscito ad infettare il sito. Malware è un termine generico che indica qualsiasi tipo di software dannoso progettato per infiltrarsi e danneggiare un dispositivo o una rete.
Esistono diversi tipi di malware chiamati in maniera diversa a seconda del loro scopo, per esempio: trojan, spyware, ransomware, ecc…
Ma come si fa a capire se un sito è stato infettato? In genere ci sono dei segnali molto chiari:
- Il provider ha disabilitato il sito: quando si tenta di accedere al sito ma compare una finestra di errore del server. Anche se le cause potrebbero essere diverse, un’infezione da malware è la spiegazione più probabile.
- Le credenziali di accesso sono state modificate: quando non si riesce ad accedere con le proprie credenziali è possibile che queste siano state modificate. Per evitare ciò, è importante scegliere password complesse e un nome utente che sia diverso da “admin” oltre a limitare i tentativi di accesso.
- Compaiono pop-up indesiderati: i pop-up vengono utilizzati per fornire informazioni extra a chi arriva sul sito, ma in caso di malware servono a spingere l’utente a cliccare su link dannosi o reindirizzarli su altri siti.
- Il posizionamento su Google è sceso in modo drastico, così come il traffico sul sito: se questo succede in maniera troppo repentina probabilmente la causa è un malware nel sito.
- Grafiche sospette: se all’interno delle pagine del sito compaiono scritte, grafiche e immagini che hanno il solo scopo di deturpare il sito, l’hacker si è dedicato a quelli che vengono definiti “graffiti digitali”.
- Il sito invia mail senza autorizzazione: se sul sito sono attive funzionalità per l’invio di mail, queste potrebbero essere inviate ai contatti senza consenso, diffondendo il malware. Inoltre, è possibile che siano stati creati dei veri e propri servizi di spam, entrando nel server per inviare mail infette.
- Vengono modificati o creati post con link sospetti: se sul sito i post pubblicati subiscono pesanti modifiche o vengono creati nuovi post con link spam, è chiaro che un hacker ha preso possesso del sito.
- Sotto i post ci sono commenti con dei link sospetti: questo succede soprattutto nella sezione commenti dei blog aziendali o su siti che hanno molta visibilità. Per evitare questo problema il modo migliore è disabilitare i commenti come abbiamo visto in precedenza.
Questi sono alcuni dei possibili “sintomi” che un malware può provocare al sito.
Per correre ai ripari, l’unica possibilità è affidarsi ad un esperto WordPress che sia in grado di rimuovere il malware e ripulire il sito oltre a fare un backup completo per poterlo ripristinare al meglio.
Rinforza il tuo sito con l’aiuto di un esperto WordPress
La prevenzione è il modo migliore per tenere il proprio sito in salute ma, soprattutto in caso di siti professionali ed ecommerce, il rischio di essere infettati da virus o subire attacchi informatici è molto alto. Quando un attacco può compromettere il proprio lavoro, la reputazione e il fatturato è importante costruire un sito forte ed essere in grado di riconoscere subito e rimuovere i malware prima che i danni diventino irreversibili. Affidarsi ad un’agenzia specializzata in siti web come Noviia Agency è la soluzione migliore per rendere il tuo spazio online inespugnabile.
Hai bisogno di un sito a prova di hacker? Chiedi un preventivo sito WordPress a Noviia Agency.