Come visto in precedenza, la soluzione ottimale per avere un sito senza costi di gestione a livello di sviluppo è affidarsi alla piattaforma gratuita WordPress e al suo CMS gratuito.
Ma, una volta installato WP sul proprio hosting, selezionato e modificato il tema che più vi piace, quali sono i passi di seguire per rendere il vostro sito sicuro da attacchi e downtime?
Come analizzato in dettaglio da questo articolo dedicato all’evoluzione del panorama dei cyber attacchi a siti su piattaforma WordPress per il mese di Luglio 2013, purtroppo assistiamo a un crescente volume di azioni malevole, volte a interrompere il servizio delle pagine web, tramite ad esempio l’invio di un’imponente mole di richieste e pacchetti dati al server, che lo rendono instabile (DoS e DDoS) o tramite la forzatura dei login al pannello web del sito attraverso una strategia di “forza bruta“, volta a provare tutte le possibili combinazioni di nome utente/password per penetrare all’interno di un sito.
Prima di mettervi le mani nei capelli e chiudervi in posizione fetale nella vostra panic room, sappiate che proteggervi da tutto questo è in realtà un percorso semplice, realizzabile in pochi passi ( e ascoltando come sempre il buon senso!).
Ecco alcuni facili suggerimenti:
- Credenziali di login
Possiamo considerare username e password del sito la chiave alla nostra “casa virtuale”: credete sia meglio lasciare la porta accostata quando uscite di casa o mettere una buona serratura? Allora, provvedete a cambiare il nome utente dell’account di amministratore del sito (di default è impostato su “admin” durante l’installazione di WordPress), dotandolo di una password efficace ( “aG2sk432ai84GWQos9373” non sarà il massimo a vedersi ma sicuramente è più funzionale e sicura di “password” o “admin”).
Si consiglia inoltre di non usare questo account per pubblicare direttamente gli articoli, per non fornire metà della chiave alla nostra casa a chi cerca illecitamente di entrare! Create perciò un alias che vi identifichi come autore degli articoli, ma che non abbia diretto controllo di amministrazione sul sito
- Aggiornamenti
Tenere aggiornati WordPress, i temi e i plugin non deve essere vista come un’inutile scocciatura: spesso infatti updates e patch mettono una pezza a falle sfruttabili a discapito nostro e delle nostre pagine. Solitamente è un’operazione rapida e indolore, e sicuramente ne vale la pena per garantire la sicurezza del nostro sito.
- Backup regolari
Eseguire i backup del database SQL e dei contenuti tramite FTP è altamente consigliabile: dovrebbe avere una cadenza in linea con il tasso di creazione/aggiornamento di contenuti sulle vostre pagine e con l’interazione con i vostri visitatori.
Ricordate di eseguire backup prima di installare un nuovo plugin o procedere ad aggiornamenti: a volte purtroppo i diversi elementi posso andare in conflitto e causare down al sito. Avere subito a portata di mano una foto della situazione precedente è quindi altamente consigliabile e comodo.
- Plugin di Sicurezza
Partiamo dalla premessa (necessaria) che è consigliato inserire sulle vostre pagine solo plugin presenti nella libreria ufficiale di WordPress e di conseguenza certificati e verificarne la compatibilità con la versione installata della piattaforma, attraverso il comodo menu a tendina presente sulla pagina di ciascun plugin
Esistono diversi plugin molto efficaci per salvaguardare dagli attacchi il nostro sito: tra i tanti, consigliamo personalmente Better WP Security.
Con un solo plugin potrete risolvere praticamente tutti i punti analizzati in precedenza. Il plugin non si limita infatti a bloccare e darci notifica di tentativi di intrusione o di modifiche ai file sul nostro sito, ma permette la gestione degli account e delle password, fornisce una lista di consigli personalizzati per rendere più sicure le vostre pagine, integra una funzione di backup automatico del database WordPress, permette di disattivare temporaneamente il backend e controlla i permessi di scrittura sulle diverse parti del sito.Un paio di dritte riguardo il plugin da tenere a mente: innanzitutto non spaventatevi se dopo averlo installato inizierete a ricevere via mail (se avete abilitato il servizio) notifiche di tentativi di forzare il vostro sito, in quanto semplicemente anche prima subivate attacchi, ma non avevate modo di accorgervene!Infine, per aumentare la sicurezza del sito, Better WP Security consiglierà di rinominare la cartella wp-content: ciò è sconsigliabile soprattutto se avete già materiale sul blog e questo non è nuovo, poichè vi ritrovereste con immagini e contenuti mancanti!
Speriamo di esservi stati utili con questa piccola “checklist”, quindi buona sicurezza ai vostri siti!