Blog updates

Latest news & updates
wordpress

Consigli pratici per la sicurezza e manutenzione di un sito self-hosted in WordPress

24 Gennaio, 2020
sicurezza wordpress

Una cosa che forse non tutti sanno quando aprono un sito in WordPress è che questo avrà bisogno di manutenzione.

Sì, come per la vostra casa o la vostra automobile, anche un sito web se non curato e lasciato andare a se stesso prima o poi vi darà dei problemi. Perciò in questo articolo vediamo quali sono le problematiche più comuni che si possono presentare, e cosa potete fare in prima persona e cosa è meglio affidare a qualcun altro.

Perchè è importante curarsi della sicurezza di un Sito in WordPress

Ogni tipo di sito – e quindi anche quelli realizzati in WordPress – ha delle potenziali vulnerabilità.

Potremmo definirle come delle “porte d’accesso”, alle quali malintenzionati pirati informatici possono voler accedere, per installare virus, reindirizzare i vostri link, o addirittura abbattere il sito stesso per mandarlo offline.

Tutto ciò non è esagerato, a volte per motivi di odio o concorrenza queste cose possono succedere, e siete proprio voi nel mirino. Altre volte si tratta semplicemente di un sistema per carpire informazioni dal vostro sito.

Perciò è importante fare tutto il possibile per mantenere il vostro Sito al sicuro, prima di tutto cioè per tutelare la privacy di chi vi affida i suoi dati (gli utenti del sito) e per mantenere il completo controllo su di esso.

Insomma, dovete fare in modo di non avere intrusi in casa vostra.

Come evitare problemi di sicurezza e mantenere in forma il vostro Sito in WordPress

  1. scegliere un web hosting sicuro
  2. scegliere una password e username sicuri
  3. scegliere plugin e temi che assicurino frequenti aggiornamenti ed eseguirli
  4. eseguire periodicamente una scansione di sicurezza del Sito
  5. seguire le indicazioni della sezione Site Health di WordPress

1 – Scegliere un web hosting sicuro, vulnerabilità server

Il server è dove è ospitato il vostro Sito self-hosted ed è di proprietà del web hosting che avete scelto.

Perciò prima di scegliere un web hosting o se avete dubbi sulla vulnerabilità dei suoi server, prendete informazioni a riguardo, per esempio su forum di utenti di WordPress o su siti che si occupano dell’argomento come wpwhitesecurity.com. Le soluzioni più sicure lato server sono quelle dove avete un server dedicato al vostro sito, e non condiviso con altri utenti. Ma ovviamente si tratta anche della soluzione più costosa.

2 – Scegliere e modificare password e login

Il primo e più semplice modo, alla portata di tutti, per gestire la sicurezza è scegliere una password complessa, cambiarla frequentemente, e non usare mai come nome utente di accesso la semplice parola “admin”.

Ecco come fare per modificare la vostra password:

Andate nella sezione: Utenti –>> il tuo profilo che permette di gestire vari elementi, tra cui la password di accesso che può essere cambiate tutte le volte che volete. In basso nella sezione “gestione dell’account” inserite la nuova password, vi consiglio di lasciare che il sistema la generi automaticamente. Cliccate su “Visualizza” e copiatela ed incollatela in un luogo sicuro. Se state cambiando la password perchè avete un problema di sicurezza, cliccate anche su “scollegati da ogni postazione”. Facendo ciò dovrete reinserire la nuova password da tutti i dispositivi su cui avete eventualmente installato WordPress grazie ad una App.

Infine cliccate su “aggiorna profilo” e la password sarà stata modificata. Al prossimo login dovrete utilizzare la nuova password per accedere.

Il vostro “nome utente” invece, deve essere scelto all’inizio della prima installazione di WordPress e poi non può più essere modificato direttamente dalla vostro profilo Utente di WordPress. Quindi abbiate cura di non lasciare la parola admin quando installate, anche se oggi molte auto-installazioni di WordPress provvedono in automatico ad utilizzare un nome alfanumerico diverso ed adatto allo scopo.

3 – Eseguire gli aggiornamenti di WordPress

Un Sito in WordPress è tenuto in vita da diversi elementi:

  • il core (cioè la struttura) di WordPress stesso
  • i plugin installati
  • il tema o template utilizzato dal Sito

Questi elementi sono sviluppati solitamente da soggetti diversi, e devono funzionare bene insieme. Per fare ciò, e per fornire sempre nuove ed utili funzionalità, vengono forniti continuamente aggiornamenti che però non sono automatici (a meno che non abbiate selezionato in partenza questa funzionalità), quindi richiedono un’azione da parte vostra. Potete decidere autonomamente se e quando installare che cosa.

Non fare gli aggiornamenti di WordPress quindi è una pessima idea, significa rischiare di creare malfunzionamenti e punti deboli che si possono tradurre in potenziali “porte d’accesso” al Sito per malintenzionati.

3a – Come gestire gli aggiornamenti di WordPress

Gli aggiornamenti di WordPress possono essere gestiti come segue:

  • tutti gli aggiornamenti manuali
  • tutti gli aggiornamenti automatici
  • scelta su quali aggiornamenti fare in automatico e quali manualmente

Concretamente ci sono più modi per farlo:

  • inserire una stringa di codice nel file wp-config.php (se siete esperti del codice);
  • installare un plugin come “Easy Updates Manager” che vi permette di gestire quali aggiornamenti eseguire ed in quale modo (solo se non avete molti plugin installati);
  • utilizzare il pannello di controllo che il vostro web hosting vi offre (sistema migliore).

Io utilizzo quest’ultimo sistema, e consiglio la seguente impostazione:

Aggiornamenti del core di WordPress:

  • con l’aggiornamento “automatico” alle versioni minori di WordPress ed ai rilasci di sicurezza non vi dovrete più preoccupare di dimenticarvi di installare gli aggiornamenti di sicurezza che a volte possono essere molto urgenti ed importanti

Aggiornamento dei plugin:

  • con l’aggiornamento ai plugin impostato come “manuale” scegliete di fare voi tutti gli aggiornamenti ai plugin, nessun aggiornamento automatico sarà installato

Aggiornamento del tema di WordPress:

  • con l’aggiornamento del template impostato come “manuale” dovrete provvedere voi ad aggiornarlo ogni volta si renda disponibile una nuova versione

3b – Aggiornamenti manuali, perchè sceglierli e come farli

Il motivo principale per cui scegliere un aggiornamento manuale – sia per i plugin che per i template – è per evitare di incorrere in problemi di incompatibilità che possono bloccare il Sito.

Come aggiornare manualmente i plugin.

Se avete scelto di ricevere le notifiche ogni volta sia disponibile un aggiornamento, il sistema vi invierà una mail in automatico e voi potrete procedere. Altrimenti aprendo la vostra dashboard di WordPress lo potete vedere direttamente lì, se ci sono dei plugin da installare. La procedura è la seguente:

  • eseguite o controllate che sia stato eseguito il backup del Sito. Se avete acquistato il backup giornaliero tramite il vostro web hosting (cosa che consiglio assolutamente di fare) questo potrebbe essere sufficiente se non avete fatto modifiche al Sito nelle ultime 24 ore, altrimenti vi consiglio per sicurezza di fare un Backup supplementare di sicurezza sempre tramite il vostro C-Panel.
  • selezionate dall’elenco i plugin che necessitano di essere aggiornati, uno per uno, se ce ne fosse più di uno. Non selezionateli mai tutti insieme per aggiornarli, ma uno alla volta. Aspettate che l’aggiornamento del plugin sia terminato per iniziare quello successivo.

In questo modo nel malaugurato caso che uno di questi aggiornamenti non dovesse andare a buon fine bloccandovi il Sito, sapreste esattamente quale dei plugin ha causato il problema.

Cosa fare se l’aggiornamento di un plugin fallisce e vi blocca il Sito? in questo caso è necessario accedere ai file sul vostro server ed eliminare manualmente la cartella del plugin che ha provocato il problema.

Aggiornamenti manuali del template.

Andate nella sezione “Aspetto” –>> Temi e selezionate il template da aggiornare.

Fate però attenzione ad una cosa molto importante: le eventuali modifiche che avete apportato al codice, per esempio stringhe di codice inserite manualmente nella sezione header e footer del Sito, andranno perse con l’aggiornamento del template.

Se avete molti di queste personalizzazioni è buona norma lavorare con i child themes; in alternativa prendete nota del codice per copiarlo ed incollarlo nuovamente dopo aver eseguito l’aggiornamento. Se usate dei template con una sezione per inserire il vostro Custom Code, usatela, perchè in questo modo non andrà perduta e non dovrete copiarla ed incollarla tutte le volte.

Se avete installato un plugin di caching come per esempio W3TotalCache dopo aver eseguito gli aggiornamenti di plugin e template ricordatevi sempre di svuotare la cache.

Utilizzare gli aggiornamenti automatici

Se non avete dimestichezza, tempo e voglia di dedicarvi agli aggiornamenti, o se avete installato soltanto pochi e collaudati plugin, potete procedere anche con gli aggiornamenti completamente automatici. In caso di problemi però potrebbe essere più difficile risalire a quello che è stata la causa che ha generato il blocco del vostro Sito (non succede frequentemente ma può accadere).

4 – Eseguire una scansione del Sito con un plugin

Periodicamente è utile eseguire una scansione del Sito utilizzando un plugin come WordFence, che vi notifica di eventuali problemi.

5 – Controllare la Sezione Site Health

Dalle più recenti versioni di WordPress è stata introdotta una nuova sezione, situata nel menu “Strumenti” , denominata Site Health (salute del Sito).

Qui potete trovare suggerimenti utili per migliorare la sicurezza del vostro Sito, compresi alcuni molto facili da eseguire come per esempio l’eliminazione dei plugin e dei template non utilizzati (si consiglia di tenerne soltanto due di template sul Sito, quello che state attivamente usando ed un secondo).


Hai problemi con la sicurezza e manutenzione del tuo Sito in WordPress e non riesci o non puoi fare da solo? posso offrirti io questo servizio


Tags
claudia
Esperta di Brand Identity e Comunicazione Aziendale, affianco le Aziende e le Persone a rilanciare, o realizzare ex-novo, la loro Immagine, dal Logo, all'Immagine Coordinata, al Sito, e tutti gli strumenti di lavoro personalizzati.

Dicci la tua, lascia un commento

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.

%d blogger hanno fatto clic su Mi Piace per questo: