Due siti violati ogni minuto. Cento record di dati rubati ogni secondo e, soprattutto, più di 300mila nuovi malware creati ogni giorno con il preciso scopo di attaccare una risorsa web.
Questi ultimi - i software malevoli - possono
minacciare un sito WordPress in diversi modi: possono rubare dati, per esempio, o rallentare il caricamento delle pagine e causare un blocco della visualizzazione sul browser, come pure generare una segnalazione nelle
SERP (Search Engine Results Pages), le pagine con i risultati delle ricerche sottoposte ai motori, senza contare i redirect indesiderati, o l’invio di spam.
In sostanza, possono essere vari e numerosi gli “oggetti” che, oltre all’
interruzione del business e alla conseguente necessità di impiegare il tempo necessario al ripristino, possono causare
danni al posizionamento su Google.
Si tratta quindi di un fenomeno allarmante sia sotto un profilo quantitativo che dal punto di vista delle conseguenze pratiche che contribuiscono alla nomea che nel tempo ha preso forma attorno a WordPress, cioè il fatto di
non sapersi distinguere in quanto a sicurezza generale. Un luogo comune che è andato crescendo, via via che diventava la piattaforma di
site building più diffusa del Pianeta.
Tra leggenda e realtà
Quanto c’è di reale e quanto si può considerare tale aspetto alla stregua di una maldicenza? Secondo gli analisti più autorevoli siamo di fronte a una delle conseguenze della sua popolarità più che a una verità oggettiva:
il software di base di WordPress, cioè la piattaforma in sé, si può considerare sicura.
A patto, però, che, nella realizzazione del sito, si mettano in atto le best practice per metterlo al riparo da tutte le possibili vulnerabilità. Queste, possono riguardare vari aspetti: dall’evitare le versioni obsolete del sistema, alla verifica costante della sicurezza dei temi e dei plug-in - secondo le statistiche, la debolezza dei siti WordPress è legata soprattutto a loro - nonché nella gestione degli accessi e dei privilegi.
Da tutto ciò è facile comprendere come la
sicurezza di WP si costruisca giorno dopo giorno, e contempli la continua verifica del suo stato generale in ogni nuovo innesto che avviene al suo interno. Così facendo, si avrà costantemente sotto controllo l’insieme e la certezza che non vi siano problemi, falle e minacce in grado di
mettere a rischio la sicurezza della navigazione che, lo ricordiamo, è anche uno dei punti di riferimento dalla
page experience secondo Google.
Come valutare il livello di sicurezza di WordPress
In questa panoramica, ci dedicheremo in modo approfondito alle modalità che permettono di
valutare con semplicità il livello di sicurezza del proprio sito realizzato con il CMS (Content Management System) più popolare della rete.
Questa attenzione riguarda già il momento che precede la realizzazione del sito WordPress. La prima vera barriere è infatti la scelta
WordPress con la verifica che quello prescelto sia davvero sicuro e che garantisca i massimi livelli di protezione senza
che ciò influisca negativamente sulle prestazioni.
Come fare? Verificando che il servizio preveda un accesso alla
protezione DDoS, ai firewall e alla scansione del malware, oltre a un accesso
SSH con login sicuro e alla possibilità di installare un
certificato SSL. Un notevole valore aggiunto è rappresentato dall’esistenza, in seno al provider, di un
team dedicato alla rimozione del malware in modo tale che se il sito dovesse essere infettato, sarà possibile affidarsi a tecnici competenti per avere un aiuto a ripristinare il suo stato originale.
Sicurezza WordPress: su che cosa è bene concentrarsi
Un momento importante è quello che riguarda il rilascio di un
nuovo aggiornamento della piattaforma, ma anche quando si intende
cambiare tema o quando ce n’è uno che si trova già installato sul sito ma è soggetto a un
upgrade.
In tutti i casi, la sicurezza andrà verificata facendo anticipare l’installazione ufficiale da un’operazione eseguita su un sito di
staging o in ambiente locale. Dopodiché, aspettando almeno una settimana, si potrà procedere con l’installazione sul sito online.
Sempre a proposito di temi, ma soprattutto di
plug-in che, come abbiamo visto nell’incipit, sono il principale veicolo di intrusioni indesiderate e altre minacce di vario tipo alla sicurezza di un sito WP, è buona norma
valutare regolarmente la sicurezza di entrambi e il modo più semplice è utilizzare una delle tante applicazioni e dei tanti
plug-in disponibili specializzati nello scanning di sicurezza per rilevare eventuali vulnerabilità.
Ci si potrà affidare a strumenti gratuiti o a pagamento, ma per tutti il funzionamento è lo stesso: ci si registra e si crea un account, dopodiché dovrà essere aggiunto un token API a WordPress.
A questo punto, basterà raggiungere la sezione del sistema che mostra l’elenco completo di tutti i plug-in presenti sul sito e verificare quali sono indicati come sicuri e quali invece rimanderanno alla voce vulnerabilità, dalla quale sarà possibile capire di che si tratta.