Il tema della sicurezza di un sito web soprattutto se creato in wordpress è molto sentito.
Https SSL TLS
La prima misura di sicurezza consiste nell’associare al proprio dominio il protocollo SSL (Secure Sockets Layer).
SSL è un protocollo che l’hosting applica al dominio del sito web interagendo con ogni browser internet con l’associazione di un prefisso “https” per impedire ad applicazioni esterne di intercettare i dati inviati durante l’utilizzo del sito web.
Inoltre i motori di ricerca assegnano un ranking maggiore ai domini che utilizzano il protocollo di sicurezza “https”. Infatti essendo più affidabili hanno un miglior posizionamento nei risultati di ricerca.
Mettere in sicurezza wordpress
I siti web realizzati in wordpress o altri cms se non utilizzati correttamente possono racchiudere diverse insidie. Infatti i cms hanno molte funzioni di interazione tra utenti, autori, editori e amministratori che possono accedere al pannello di amministrazione del sito web.
Ruoli wordpress
Innanzitutto bisogna assegnare a tutti gli utenti che gestiscono il sito il corrispondente ruolo. Anche nel caso ci fosse un solo gestore è consigliabile creare almeno un altro utente con autorizzazioni minori da utilizzare per la pubblicazione degli articoli e utilizzare l’amministratore principale solo per la gestione del back-end.
Infatti wordpress rende disponibili gli archivi di tutti gli articoli creati da ogni autore identificando l’url con il corrispondente username che potrebbe essere utilizzato per un accesso non autorizzato all’area amministrazione di wordpress. Quindi assegnando un ruolo con minori disponibilità anche se ci fosse un accesso non autorizzato (che dovrebbe però anche conoscere la password) il numero di danni sarebbe comunque limitato a monte.
I principali ruoli assegnabili da wordpress in ordine decrescente di permessi concessi sono i seguenti:
- Amministratore
- ha il totale controllo per ogni sezione di gestione, installazione, creazione, inserimento e cancellazione.
- Editore
- ha i permessi completi di gestione solo di tutti i contenuti del sito web; cioè creazione, modifica, cancellazione di pagine e articoli e utilizzo dei plugin associati ai contenuti stessi.
- Autore
- ha i permessi solo sui propri articoli di creare, modificare, pubblicare e cancellare.
- Collaboratore
- ha la possibilità di gestire i propri articoli ma non di pubblicarli. La pubblicazione dovrà essere effettuata successivamente dall’editore.
- Sottoscrittori
- sono gli utenti esterni che si registrano all’area riservata ed hanno solo i permessi di aggiornare i propri dati riguardanti la registrazione effettuata. Per esempio iscrizioni a newsletter, gestione commenti, account ecommerce ecc.
Inoltre dare il totale controllo agli addetti ai lavori che hanno ruoli specifici sarebbe inopportuno e potrebbe creare confusione agli utenti stessi che si troverebbero nella loro area di amministrazione molte voci di menù di cui ignorano le funzionalità.
Plugin wordpress
Usando wordpress è necessario utilizzare dei plugin per proteggere l’area di amministrazione e gli elementi che potrebbero essere utilizzati in modo non consentito da malintenzionati (moduli di contatto, inserimento commenti, registrazione a newsletter ecc).
Anti SPAM
Per SPAM si intendono i commenti e i messaggi indesiderati ricevuti dai moduli di interazione del sito web.
Questi spam oltre a contenere link potenzialmente pericolosi rallentano anche il server a causa dell’invio massiccio di messaggi con l’intenzione chiara di provocare un danno.
Akismet
Il miglior plugin anti spam per wordpress è sicuramente Akismet. Anche perchè questo plugin è realizzato da Automattic cioè dagli stessi programmatori che hanno sviluppato wordpress.
L’unico difetto è la necessità di avere un account WordPress.com e di dover selezionare manualmente il piano gratuito o a pagamento desiderato per ricevere la Key da associare al sito web.
Seppure la procedura sia velocissima e semplice anche per un neofita.
Antispam Bee
La principale alternativa ad Akismet è Antispam Bee. Questo plugin è completamente gratuito e ha diverse impostazioni da configurare per adattarlo perfettamente alle proprie esigenze.
Backup
La seconda tipologia di plugin necessari per mantenere in sicurezza il proprio sito web riguarda il backup. Cioè una copia di sicurezza di tutte le impostazioni, configurazioni, plugin, articoli e pagine presenti.
In questo modo avremo la possibilità di un ripristino se qualche intrusione o configurazione mette in crisi l’installazione di wordpress o l’aspetto del sito web.
Il miglior plugin di backup per wordpress che ho testato personalmente è sicuramente WPBackItUp.
Infatti questo plugin consente di creare delle copie di tutta l’installazione wordpress globalmente o separando ogni sezione del sito in modo da poter ripristinare solo quella desiderata lasciando inalterate le altre.
Sicurezza e Firewall
Infine è fondamentale installare un plugin di sicurezza e firewall che imposta tutti i parametri di protezione che sarebbe difficile da applicare manualmente soprattutto se non si è programmatori informatici.
Il migliore in assoluto in questo campo e da me provato e verificato è sicuramente il plugin All In One WP Security & Firewall.
Infatti questo plugin, oltretutto gratuito, nonostante ci siano da fare alcuni settaggi dalle relative schede di configurazione è molto intuitivo e ben documentato con spiegazioni chiare per ogni voce.
Comunque la regola più importante in assoluto è mantenere il sistema e i suoi plugin sempre aggiornati alle ultime versioni rilasciate. Quindi è importantissimo utilizzare le ultime versioni di WordPress e relativi plugin in quanto ogni aggiornamento racchiude delle soluzioni a falle di sicurezza trovate che potrebbero essere utilizzate da malintenzionati o comunque rallentare tutto il sistema.
