This content is also available in English
WordPress è di gran lunga il sistema di gestione dei contenuti (CMS) più popolare. In tutto il mondo, oltre il 40% di tutti i siti web si basa su WordPress. Tuttavia, questa popolarità ha anche i suoi lati negativi: rende il CMS un bersaglio appetibile per gli attacchi informatici. Inoltre, i grandi punti di forza di WordPress (la sua flessibilità e la sua struttura modulare) fanno sì che questo CMS tenda a essere poco sicuro se lo si abbandona senza applicare misure di sicurezza concrete ed efficaci come un monitoraggio costante delle vulnerabilità appena scovate, l’aggiornamento con patch di tema, plugin e WordPress core, l’uso di firewall e filtri anti-spam, la revisione della versione di PHP installata sul tuo server o l’utilizzo di HTTP Security Headers avanzati (leggi qui la nostra guida!).
Ma sopratutto, affidati ad un servizio di hosting certificato WordPress affidabile che ti garantisca un servizio di assistenza celere e qualificato: noi ci appoggiamo a Kinsta, provalo!
Come vengono violati i siti WordPress?
- l’accesso all’amministrazione del sito da parte di persona o bot non autorizzati.
- danneggiamento di una o più parti del sito, ad esempio eliminazione delle immagini o modifica dei testi.
- utilizzo malevolo del sito, ad esempio per inviare spam, rendere visibile materiale vietato che potrebbe portare al ban del tuo dominio o il furto di informazioni dal database!
Prevenire è fondamentale, il ripristino di un sito violato richiede molto più tempo
della sua messa in sicurezza.

Innanzitutto, aggiorna il core di WordPress...
Tra tutti i siti WordPress violati, Sucuri ha rilevato che il 39,3% di essi aveva in esecuzione al momento dell’incidente il core software di WordPress obsoleto.
Per fortuna il team di sicurezza di WordPress controlla continuamente il codice della piattaforma alla ricerca di vulnerabilità critiche e queste vengono risolte immediatamente non appena vengono scoperte. Gli sviluppatori di WordPress lavorano in genere in modo molto affidabile e veloce, soprattutto quando si tratta di errori critici. Solo una minima parte di tutte le vulnerabilità di sicurezza di WordPress sono quindi dovute a errori nel core. Quindi, se lavori sempre con l’ultima versione di WordPress e la aggiorni tempestivamente, puoi proteggerti in modo abbastanza affidabile dagli hacker che sfruttano le vulnerabilità di sicurezza delle versioni obsolete di WordPress.
Attenzione se vuoi aggiornare autonomamente il tuo WordPress, meglio prepararsi prima un backup!

Ci sono vulnerabilità fra i tuoi plugin o nel tuo tema?
In un sondaggio di Wordfence sui proprietari di siti web compromessi, oltre il 60% di coloro che sapevano in che modo l’hacker era entrato nel sito, attribuiva l’accaduto alla vulnerabilità di un tema o di un plugin, ed allo stesso modo, nel report di Sucuri del 2016, appena 3 plugin sono stati la causa di oltre il 15% delle violazioni che sono state registrate (avete presente le continue vulnerabilità del noto composer Elementor, il tema Avada ed Hello o del plugin Woocommerce?).
Tutte le vulnerabilità di questi plugin, al momento dell’hacking, erano state corrette da tempo dagli sviluppatori, ma i proprietari dei siti non avevano ancora aggiornato lasciandosi scoperti alla minaccia!
Per questo è importante aggiornare costantemente i propri plugin ed affidarsi a hosting certificati che ti notifichino le minacce più note fra i plugin e temi, oppure utilizzare servizi di monitoraggio come WP Remote (tutti i siti web sotto contratto di manutenzione WP-Help sono protetti su questa piattaforma).
Date un occhio all’archivio di vulnerabilità di Pathstack che è costantemente aggiornato per rendervi conto di quanto le vulnerabilità dei plugin WordPress non siano da sottovalutare (attenzione, contiene tecnicismi!). È anche una buona strategia, quando si sceglie un plugin o un tema, considerare anche la frequenza di aggiornamenti e quanto viene seguito dai propri sviluppatori! Meglio evitare strumenti obsoleti e poco utilizzati.
Aggiornamenti in autonomia: consigli
Spesso i siti non danno problemi dopo l’aggiornamento di un plugin, ma quando si tratta di major release (ad es. dalla 1.5.6 alla 2.0.0) o di strumenti particolarmente importanti è possibile che frontend troveremo modifiche non volute o che alcune funzionalità non operino più. Nei casi peggiori possono generarsi errori fatali che rendono il sito non fruibile.
Ecci alcune best practice nel merito:
- Il modo migliore per preparare un aggiornamento è quello di testare le modifiche in un ambiente di staging, aggiornando il sito in produzione solo quando si è certi che funzionerà correttamente.
- Se aggiornando il plugin in fase di staging il sito mostra anomalie, è possibile isolare il problema analizzando i log del server.
- Talvolta un aggiornamento può rendere il plugin incompatibile con altri strumenti: in questi casi può tornare utile anche agire per esclusione (disattivando i plugin o cambiando il tema).
- Qualora prevista, può essere utile contattare l’assistenza del plugin. Ciò non esclude che talvolta si renda necessario sostituire il plugin.
- È sempre consigliabile effettuare una copia di backup prima dell’aggiornamento, in modo da ripristinarla se necessario.
Il tuo sito è sicuro?
This content is also available in English