In molti si affidano a WordPress per realizzare siti web, dal momento che, a differenza di altri CMS, è possibile utilizzarlo molto facilmente anche senza avere alcuna nozione di web design. A differenza di un tempo, inoltre, ora è molto più semplice installarlo su un servizio di hosting: con Netsons ad esempio puoi farlo con un clic, senza dover più ricorrere al caricamento via FTP.

WordPress però, se non protetto adeguatamente, è anche uno dei CMS più esposti ai pericoli della rete e spesso chi ne fa uso non sa esattamente cosa fare per prevenire gli attacchi al proprio sito, che possono andare dal semplice spam dei bot nei commenti fino all’iniezione di codice malevolo o altro ancora.

In questa guida ti aiuteremo a comprendere quali sono alcuni degli aspetti più vulnerabili di WordPress e cosa puoi fare per rendere il tuo sito più sicuro, ricordandoti che sugli Hosting Netsons puoi già contare su un livello di sicurezza in più rappresentato da Imunify360, un ottimo firewall e anti-walware che blocca molti attacchi in maniera proattiva.

Utilizza username e password uniche

Molti neofiti commettono ancora questo errore: lo username “admin” e password come “password”, “1234” o anche la tua data di nascita sono assolutamente da evitare, poiché costituiscono una vulnerabilità di prim’ordine per i siti in WordPress. Se vuoi sapere come creare delle password davvero sicure, ti invitiamo anche a leggere questa guida.

Gli hacker, attraverso i cosiddetti bot (ovvero degli script automatici), scandagliano continuamente il web sapendo che prima o poi riusciranno ad intrufolarsi in qualche sito attraverso credenziali standard.

Modifica l’indirizzo di login

Gli standard rappresentano importanti punti deboli per CMS come WordPress, appunto perché in quanto tali sono a conoscenza di tutti, specialmente i malintenzionati. Creare Username e Password uniche è il primo passo fondamentale per impedire agli hacker di entrare nel sito, ma il secondo è nascondere la porta d’ingresso.

Anche se non hai in bella vista un pulsante di login sul sito, è noto che di default la pagina per accedere al pannello admin di WordPress è situata presso gli indirizzi /wp-login.php o /wp-admin (esempio: misitowordpress.it/wp-login.php). Quest’ultimi quindi vengono presi costantemente di mira dai bot, che trovata la pagina provano ad effettuare il login inserendo numerose combinazioni di credenziali standard, tra cui “admin”, “password”, “1234” o anche il nome del tuo sito.

Per modificare l’indirizzo di login di WordPress puoi ricorrere molto semplicemente a un plugin. Uno molto leggero ed utile allo scopo è WPS Hide Login: una volta installato e attivato, vai su impostazioni, nella sezione Generali, e in fondo alla pagina sostituisci a piacere l’indirizzo di login (assicurandoti di poterlo memorizzare o trascrivendolo in un luogo sicuro). Infine clicca su Salva le modifiche.

wps hide login plugin

Così facendo sarai già al riparo dalla maggior parte degli attacchi definiti brute-force. Inoltre avrai messo in sicurezza anche la pagina di registrazione (se ce l’hai attiva), poiché dipende direttamente da quella di login: quella di default si trova su /wp-login.php?action=register (esempio: miositowordpress.it/wp-login.php?action=register).

Modifica il prefisso del database

Se ricerchi il massimo della sicurezza, un altro standard di WordPress che andrebbe rivisto è rappresentato dal prefisso delle tabelle del database, che di solito, senza personalizzazioni, è “wp_“.

Questa modifica andrebbe fatta alla prima installazione di WordPress, ma se stai cercando di rendere più sicuro un sito già online, puoi modificare il prefisso del database in pochi click servendoti di plugin come Brozzme DB PREFIX.

Installa un firewall web

Anche in casi come quello di Netsons, che include già sull’hosting un software di sicurezza, è bene che tu abbia sul tuo sito WordPress anche un plugin che faccia da firewall, proteggendoti da tipologie di attacchi più complessi del semplice brute-force sul login.

Il più efficace ed utilizzato per fare questo è Wordfence, che vigila attentamente sul sito e ti tiene costantemente aggiornato, segnalandoti via email piccole e grandi vulnerabilità (anche semplicemente un plugin non aggiornato), ed ha utilissime funzioni come lo scan dei malware, il blocco manuale degli IP e la limitazione dei tentativi di login.

Ancora più protezione con Cloudflare Pro

La versione free di Cloudflare, attivabile facilmente dalla tua Area Clienti Netsons, ti offre un ottimo servizio di CDN (Content Delivery Network) che migliora di molto le prestazioni del tuo sito, ma oltre a questo con Cloudflare Pro puoi avere anche un validissimo alleato per la sicurezza.

La versione Pro infatti include la protezione dagli attacchi DDoS e il Web Application Firewall (WAF), che ferma tempestivamente tutti quegli attacchi che mirano a sfruttare le vulnerabilità, tra cui SQLi, XSS e simili. Se acquisti Cloudflare Pro da noi non devi neanche preoccuparti di tutti i settaggi necessari sul servizio, perché ci pensano i nostri tecnici ad impostare tutto a regola d’arte!

Puoi richiedere Cloudflare Pro inviandoci un ticket oppure più semplicemente andando nella sezione Hosting della tua Area Clienti, cliccando sull’icona a forma di ingranaggio alla destra del nome di dominio e cercandolo in “Acquista servizi aggiuntivi“.

acquista cloudflare

Trova un buon anti-spam

Se hai una sezione commenti all’interno del tuo sito in WordPress, stai pur certo che gli spambot proveranno a piazzarci link a siti poco raccomandabili, e spesso non c’è Wordfence o Google Captcha che tenga.

Per questo, se riscontri frequenti casi di spamming, faresti bene a munirti di un plugin leggero ed efficace che impedisca ai malintenzionati di fare i propri comodi nei commenti, minando la sicurezza dei tuoi visitatori e rovinando la reputazione del tuo sito web.

A tale scopo ci sentiamo di consigliarti Akismet, il plugin di anti-spam per WordPress più noto, o anche Stop Spammers, entrambi semplicissimi da usare.

Fai regolarmente dei backup

Effettuare regolarmente dei backup è fondamentale per non perdere ore, giorni o più di prezioso lavoro online. Se hai un hosting Netsons puoi già contare su JetBackup per tenere al sicuro i file del tuo hosting e ripristinarli dopo qualsivoglia imprevisto. Lo trovi all’interno del tuo cPanel.

In alternativa, puoi ricorrere anche in questo caso ad un plugin (ma ricorda che è sempre meglio installarne il meno possibile!). Uno dei migliori è UpdraftPlus, che permette di salvare i backup anche su piattaforme cloud come Dropbox o Google Drive.

Usa solo temi e plugin ufficiali

La rete è colma di temi e plugin premium di WordPress piratati, e spesso soprattuto i neofiti potrebbero trovare invitante l’ìdea di approfittarne, godendo così di tutte le opzioni disponibili senza dover aprire il portafogli. Ma conviene davvero?

Le scorciatoie, come sempre, riservano più insidie di quanto non si pensi. In questo caso, temi e plugin piratati non solo creano vulnerabilità dovute al non poterli aggiornare regolarmente come quelli legali, ma soprattutto possono racchiudere backdoor, prevedere il furto di dati, l’iniezione di codice malevolo all’interno del sito web o altro ancora.

Aggiorna regolarmente WordPress, temi e plugin

Mantenere WordPress sempre aggiornato all’ultima versione, assieme ai temi e i plugin che hai installato, è fondamentale per ridurre il più possibile le vulnerabilità.

Le operazioni di aggiornamento possono essere eseguite manualmente dal pannello admin del tuo sito, oppure, se hai installato WordPress su un Hosting Netsons attraverso “Il tuo sito con 1 click!” di cPanel, sempre da lì puoi impostare gli aggiornamenti automatici con backup di sicurezza prima che vengano applicati.

wordpress cpanel aggiornamenti automatici
Le opzioni di aggiornamento automatico presenti in “Il tuo sito con 1 click!”

Presta attenzione ai ruoli che assegni agli utenti

Se il tuo sito WordPress prevede la registrazione di altri utenti, fai sempre attenzione ai ruoli che assegni loro:

  • Sottoscrittore: può solo leggere e commentare
  • Contibutore: può modificare e cancellare gli articoli
  • Autore: può creare, modificare, pubblicare e cancellare gli articoli
  • Editore: ha pieni poteri su articoli e pagine
  • Amministratore: ha pieni poteri su tutto il sito

Accertati che gli utenti appena iscritti abbiano di default un ruolo da semplici sottoscrittori.

wordpress registrazioni utente

Applica un certificato SSL al sito

Al giorno d’oggi è praticamente indispensabile avere un certificato SSL applicato al proprio sito e quindi offrire ai propri visitatori una connessione con protocollo https. In termini di sicurezza, questo garantisce agli utenti connessioni criptate preservando la privacy dei loro dati, ma si tratta anche di non venire penalizzati nella SEO o nella navigazione sui principali browser come Chrome, che ormai tendono a segnalare come non sicuri i siti privi di SSL.

Se vuoi saperne di più su cos’è un certificato SSL leggi il nostro articolo Certificato SSL: cos’è e quale scegliere per il tuo sito web. Potrebbe esserti utile anche la guida sul redirect da http ad https.


Rimani aggiornato su tutte le novità e gli eventi!