Il mondo del
site building si divide, sostanzialmente, in due categorie: una è quella composta da coloro che si affidano al più popolare dei
CMS (
Content Management System), cioè
WordPress, l’altra comprende invece chi decide di affidarsi al
fai-da-te utilizzando
HTML e CSS e anche tutti coloro che scelgono un qualsiasi altro sistema di pubblicazione e gestione dei contenuti.
Com’è noto, WordPress ha così tanti
fan soprattutto per via della sua facilità di utilizzo e per la flessibilità che lo rende altamente personalizzabile e quindi adattabile alla stragrande maggioranza delle necessità di chi intraprende l’avventura di costruire un proprio sito, anche se non dispone di competenze digitali avanzate.
Tuttavia, nel tempo, la piattaforma si è costruita la “nomea” di non racchiudere in sé il vero e proprio
state of art in termini di sicurezza. Fama, peraltro, spesso smentita dai fatti.
Pertanto:
WordPress si può considerare un CMS sicuro? La risposta è: sì. A patto, però, che
si mettano in atto le best practice per metterlo al riparo dalle vulnerabilità. Che possono riguardare vari aspetti: dall’evitare le versioni obsolete del sistema e dei plugin, a eliminare tutti i fattori di una cattiva gestione degli accessi e dei privilegi.
Ma non è ancora tutto: oltre a rispettare le regole base della
online security, è necessario che si faccia ricorso alle
migliori strategie per rafforzare il più possibile le barriere che lo proteggono da intrusioni indesiderate, tenendo sempre conto del fatto che questi strumenti rappresentano comunque una linea di difesa soltanto secondaria, poiché il vero, principale lucchetto per il sito è
l’hosting WordPress, che va quindi scelto verificando che sia davvero sicuro, che garantisca, cioè, il massimo della protezione senza
compromettere le prestazioni, mettendo a disposizione in maniera nativa antivirus, antimalware, antispam e firewall.
Se tutto ciò viene trascurato, si corre il serio rischio di vedere il proprio sito rientrare nelle statistiche, sempre in aumento, della cybercriminalità che, tanto per avere un’idea, includono numeri come questi:
- ogni minuto vengono violati due siti web;
- il 98 per cento delle vulnerabilità di WordPress è correlato ai plugin;
- ogni secondo vengono rubati 100 record di dati;
- ogni giorno vengono creati 300 mila nuovi malware
Certo, sono cifre che riguardano l’ecosistema dei siti web in generale ma che, considerato che più di quattro siti su dieci sono realizzati con WP, assumono una certa valenza anche nello specifico.
Tra le tattiche di protezione di una risorsa web costruita con WordPress, una delle più efficaci è quella che si appoggia
all’impiego dei plugin, cioè quell’elemento software che viene incluso in un’applicazione per modificarne o estendere le sue funzionalità.
Vediamo quindi come funzionano i migliori tra questi componenti aggiuntivi specializzati nel rendere WordPress più sicuro di come “esce di fabbrica”, abilitando nel sito tutta una serie di
feature, le quali impediscono che venga violato.
Quattro fattori utili per la scelta di un security plugin di WordPress
1: La protezione della password
Tra questi vale la pena considerare, innanzitutto quelli che bloccano gli attacchi cosiddetti
brute force, cioè il metodo utilizzato dai cybercriminali per craccare le password degli account e scoprirne le credenziali di accesso. Solitamente, ciò avviene con l’inibizione dell’account dopo che è stato oltrepassato un limite prestabilito di tentativi di accesso.
2. L’autenticazione a due fattori
Un’altra delle caratteristiche di un plugin che si possa considerare efficace è l’
autenticazione a due fattori, una tecnica efficace per proteggere le pagine di accesso di WordPress grazie alla sua capacità di rendere totalmente vana l’ipotesi del furto di password.
3. Il firewall
Un’altra delle caratteristiche da tenere in considerazione nella scelta di un plugin è la presenza, al suo interno, delle funzionalità di
firewall, che impedisca alle minacce
zero-day - cioè quelle che vengono perpetrate prima che gli sviluppatori di software possano trovare una soluzione - di penetrare nel sito inserendo nella
blacklist determinati IP, utenti, gruppi di utenti o perfino Paesi sospetti.
4. L’individuazione dei file dannosi
Infine, c’è un’altra modalità con la quale un
security plugin riesce a proteggere il sito, e consiste nella
scansione dei file dannosi, sia virus che malware, la quale invia all’utente un
warning ogni volta che viene rilevata una presenza ritenuta capace di danneggiare il sito, ed è abilitata a debellarli mediante il collegamento con gli strumenti deputati.