WordPress è sicuro?
La risposta a questa domanda è sicuramente un granitico "si".
Tuttavia, molte voci girano sulla presunta insicurezza di WordPress, e quotidianamente si sente parlare di siti WordPress violati.
E allora? Se WordPress è sicuro, perché si diffondono queste voci? Perché tanti siti WordPress vengono violati?
La risposta sta nei numeri:
Attualmente (maggio 2019) WordPress è il "motore" del 33% dell'intera Internet; è il CMS più popolare, e detiene oltre il 20% del mercato; ogni giorno, vengono realizzati centinaia di nuovi siti basati su WordPress, ed ogni secondo per mezzo di WordPress vengono pubblicati 24 post. E complessivamente circa 19,500,000 (diciannovemilioni e mezzo!!!) di siti usano WordPress.
Ciò comporta due fatti:
- poiché tanti siti usano WordPress, ne consegue che sarà elevato anche il numero assoluto di siti WordPress violati
Un po' come gli incidenti stradali: tantissimi ne vengono fatti con la Fiat Panda, non tanto perché sia pericolosa, ma semplicemente perché ne circolano tante (e analogamente il numero di incidenti fatto con le Bentley è bassissimo... anche perché di Bentley ne girano pochissime) - WordPress è un obbiettivo privilegiato da parte degli hacker perché, una volta scoperta una falla, la potranno sfruttare per un numero elevatissimo di siti differenti.
Ovvero: scoprire una falla in WebSite X5 permetterà all'hacker di sfruttarla con lo 0,1% dei siti, invece scoprire una falla in WordPress gli permetterà di attaccare il 33% dei siti: secondo voi, a quale dei due si dedicherà più probabilmente?
Un altro argomento che corrobora il fatto che Wordpress sia intrinsecamente sicuro, è il fatto che venga utilizzato anche per molti siti importantissimi, come per esempio BBC America, Variety, Sony Music, Walt Disney Company, o addirittura il sito ufficiale della Casa Bianca.
Tutti siti che gestiscono ogni giorno milioni di utenti, e su cui sono basati business miliardari.
Se hanno scelto WordPress, probabilmente lo reputano abbastanza sicuro, non credete?
Se WordPress è sicuro, allora perché preoccuparsi?
Semplicemente, quando si realizza un sito internet è comunque indispensabile adottare una serie di misure di sicurezza: è una normale misura di prudenza, finalizzata a rendere improbabile una violazione del sito.
Un po' come per la porta di casa: possiamo anche vivere in un quartiere tranquillo e privo di criminalità, ciononostante chiudere a chiave la porta di casa è una normale misura di prudenza.
Quali sono le misure di sicurezza da adottare per rendere più sicuro un sito WordPress?
Le misure, sia generali che specifiche, da adottare sono le seguenti:
- organizza un sistema di backup
Il backup dovrebbe essere più di uno, ed almeno uno non deve essere sullo stesso sistema su cui gira il sito WordPress, né presso lo stesso provider (e solo questo si meriterebbe a pieno titolo il nome di "backup")
Se il tuo sito non cambia spesso (p.es. è solo un sito vetrina, in cui presenti la tua azienda, ed in cui vai solo a fare una o due modifiche all'anno), allora il backup può essere anche solo una semplice copia su un DVD che poi dimentichi in un cassetto.
Se invece il tuo sito viene aggiornato e modificato spesso, potrai usare uno dei tantissimi plugin disponibile per fare un backup esterno (es. su Google Drive, su DropBox, sul tuo PC...) - mantieni WordPress costantemente aggiornato
Legioni di hacker studiano quotidianamente WordPress, alla ricerca di vulnerabilità da sfruttare. Fortunatamente, la community di sviluppo di WordPress è molto attiva e, quando viene scoperta una nuova vulnerabilità, si mette immediatamente al lavoro per risolverla, e mettere a disposizione un aggiornamento che risolva il problema.
Questo è il motivo fondamentale per cui è importante mantenere WordPress sempre costantemente aggiornato.
Puoi sfruttare a questo scopo la funzione di WordPress di aggiornamento automatico.
Qualcuno storcerà il naso: "Sono operazioni che è meglio sovrintendere personalmente", "Qualcosa può andare storto", ecc.
Vero.
Però sempre meglio correre il rischio generico che "qualcosa vada storto" (e che poi si potrà comunque facilmente rimediare con il backup di cui al punto 1), che non rischiare di saltare un aggiornamento di sicurezza. - mantieni aggiornati anche tutti i plugin ed il tema
Il 52% delle violazioni di siti WordPress avviene attraverso vulnerabilità presenti in qualche plugin, e l'11% invece attraverso vulnerabilità presenti nel tema.
Quindi, mantenere aggiornati plugin ed il tema è più importante ancora dell'aggiornamento del core di WordPress - rimuovi plugin e temi non utilizzati
Tutto ciò che non c'è non ha bisogno di essere aggiornato, e non può contenere alcuna vulnerabilità. Semplice, no?
Oltre al tema utilizzato, mantieni presente solo uno dei temi di default di WordPress: potrebbe in alcuni casi essere utile per operazioni di manutenzione o aggiornamento. - verifica e, se necessario, modifica i permessi per file e directory
Tutte le directory dovrebbero avere i permessi settati a 755 e tutti i file a 644; se così non fosse, puoi reimpostarli o tramite FTP oppure utilizzando il file manager di cPanel. - attiva il protocollo sicuro https
Per attivare il protocollo sicuro https il tuo sito deve essere dotato di un certificato SSL, compreso gratuitamente con i nostri piani linux Starter e Linux Pro: se il tuo piano è Linux basic, devi effettuare l'upgrade - disabilita XML-RPC
XML-RPC è un protocollo che permette la comunicazione di WordPress con alcuni applicativi esterni; in realtà, è raramente usato, e poiché è latore di diverse vulnerabilità, è preferibile "metterlo in sicurezza": vedi al proposito la nostra guida Come disabilitare XML-RPC in WordPress - metti in sicurezza gli utenti amministratori
Ci sono alcune semplici misure da adottare al riguardo degli utenti amministratori; adottarle serve a mettere i bastoni tra le ruote a chi cercherà di carpirne le credenziali.
- crea almeno altri due utenti amministratori, oltre a quello creato di default da WordPress
- l'amministratore originale (che avrà username "admin") portalo dal ruolo di "amministratore" a quello di "sottoscrittore"
- per gli utenti amministratori, utilizza degli username che non siano il solito "admin", "administrator", "amministratore" o simili
- usa password robuste!
Misure avanzate di sicurezza
Oltre alle misure precedentemente elencate, ce ne sono alcune più sofisticate; attivarle o meno potrebbe comportare la perdita di alcune funzionalità, o interferire con temi e plugin. La scelta se adottarle o meno è quindi responsabilità del webmaster.
Le accenniamo qui brevemente: si presume che chi decide di adottarle abbia la necessaria esperienza, e non abbia bisogno quindi di indicazioni più approfondite.
- non permettere l'esecuzione di file .php nelle directory di WordPress
E' possibile aumentare la protezione delle directory /wp-content/uploads, /wp-content/themes e /wp-content/plugins inserendo all'interno di ciascuna un file .htaccess con i seguenti comandi:<Files *.php>
deny from all
</Files>
- disabilita la visualizzazione dei messaggi di errore
Per farlo, è sufficiente editare il file wp-config.php aggiungendo le seguenti righe:error_reporting(0);
ini_set('display_errors',0);
- disabilita json rest api
Per disabilitarle, edita il file functions.php del tema attivo ed aggiungi le seguenti linee:add_filter('json_enabled', '_return_false');
add_filter('json_jsonp_enabled', '_return_false');
- proteggi l'accesso all'area amministrativa tramite 2FA
Un ottimo strumento per abilitare 2FA è il plugin di Duo Security, ed a meno di esigenze particolari il piano gratuito dovrebbe essere adeguato.