Non esiste software che sia privo di problematiche, comprese quelle relative alla sicurezza. Oltre a questo, un programma, quanto più è usato e popolare, tanto più è esposto ad attacchi informatici.
Importante è, quindi, affidarsi a software, piattaforme, che possono contare su un gruppo di sviluppatori attento, ed aggiornamenti frequenti.

WordPress è uno dei CMS (Content Management System) open source più utilizzati al mondo, con oltre il 30% di market share a livello globale (dati del 2018). Ciò vuol dire che un sito su 3 è costruito sfruttando questa piattaforma, e migliaia di temi e plugin gratuiti ed a pagamento per esso realizzati.
La prima conseguenza di questa popolarità è che WordPress è un bersaglio appetito da hacker e malintenzionati di qualsiasi genere, alla continua ricerca di vulnerabilità da sfruttare per poter accedere a dati sensibili, prendere il controllo del sito, o addirittura compromettere il server su cui il sito è ospitato.

Quanto è sicuro WordPress?
Non è facile dare una risposta definitiva, possiamo però mettere in opera una serie di accorgimenti che, oltre a renderlo a prova di attacco, garantiscono delle performance ottimali.

1. Affidare i propri contenuti ad un hosting sicuro

La prima linea di difesa è affidarsi a servizi di hosting sicuri per i propri siti internet: tutti i nostri server sono ospitati su infrastruttura Cloud di OVH, il più grande hosting provider europeo, nei datacenter di Gravelines e Roubaix; inoltre, usiamo sistemi operativi e software ingegnerizzati con un occhio di riguardo alla sicurezza.

2. Utilizzare la versione di PHP più recente

Ogni major release di PHP è, in genere, supportata per due anni dal momento del suo rilascio. Durante questo periodo, bug e vulnerabilità di sicurezza sono corretti da regolari aggiornamenti.
Sebbene la versione 5.6 di PHP non è più supportato a partire dal 31 dicembre 2018, secondo i dati di Automattic circa il 50% dei siti costruiti su WordPress utilizza ancora questa versione di PHP.

C2 Creative Lab sta migrando tutti i suoi siti (previo analisi di compatibilità ed opportuni interventi) da PHP 7.1 a PHP 7.2.
Stiamo inoltre lavorando all’introduzione di PHP 7.3 su alcune delle nostre piattaforme.

3. Rendere sicuro il login

Tutti i nostri servizi sono già configurati con certificati SSL: una connessione sicura impedirà che un malintenzionato intercetti i dati trasmessi tra voi ed il sito;
Evitare di impostare “admin” come username dell’amministratore;
Utilizzare password complesse fatte di lettere maiuscole, lettere minuscole, numeri e caratteri speciali.

4. Installare temi e plugin soltanto da fonti sicure

In genere limitiamo al minimo indispensabile il numero di plugin utilizzati.
Quando necessario abbiamo una “lista bianca” di plugin da noi testati, o altrimenti ci affidiamo sempre a fonti sicure, accertandoci che i plugin scelti vengano aggiornati regolarmente.

5. Aggiornare sempre, sia WordPress che i plugin installati

Aggiornate sempre sia il core di WordPress che i singoli plugin o temi di terze parti.

6. Proteggere il database

Il database di un sito WordPress è una porta d’accesso importantissima a tutti i contenuti del sito. Per questo motivo è importante prendere alcuni importanti accorgimenti: utilizzare database ed utenti distinti per ciascun sito web; cambiare il prefisso delle tabelle (di default impostato a “wp_”);

7. Impostare dei backup automatici

Con cadenza giornaliera, o almeno settimanale, è fondamentale impostare la creazione di copie di backup di sito e database.

8. Implementare gli header di sicurezza http

Questi sono solitamente configurati a livello di server, ed indicano al browser come comportarsi quando gestisce i contenuti del vostro sito.

Esistono molte intestazioni HTTP, ma quelle di seguito possono essere considerate le più importanti da gestire per aumentare la sicurezza del vostro sito WordPress.

  • Content-Security Policy
  • X-XSS-Protection
  • Strict-Transport-Security
  • X-Frame-Options
  • Public-Key-Pins
  • X-Content-Type


Leave a comment

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *