Come mettere in sicurezza un sito WordPress

Avete deciso di creare il vostro sito internet nel quale parlare dei vostri hobby, del vostro lavoro, della vostra associazione e, come il 40% di chi lo ha fatto prima di voi vi siete orientati verso la piattaforma gratuita WordPress, il più usato fra i CMS (“content management system” o in Italiano “sistema di gestione dei contenuti”). Il successo di WordPress è dovuto alla sua flessibilità che consente di utilizzarlo, praticamente, per qualsiasi tipo di sito, dal Blog al sito web aziendale, dal negozio online al forum o dai corsi online alla galleria fotografica. Spulciando sul web avete scoperto che al massimo in uno o due giorni potreste essere in grado, con una spesa irrisoria o addirittura gratis, potreste essere in grado di scrivere, come se usaste un normale word processor, i vostri contenuti sul web. Tutto fondamentalmente vero, però …

WordPress è sicuro?

A dispetto di quello che si legge sul web possiamo affermare che WordPress è sicuro. Nella squadra che lavora sul codice di WordPress i membri del team che si occupa solo della sicurezza sono una cinquantina, il doppio di quelli che erano impegnati tre anni fa. Purtroppo quelle che, nella maggior parte dei casi, non sono sicure sono le installazioni di WordPress e, quasi sempre, per colpa degli utenti che, dopo aver acquistato il nome a dominio, aver installato il CMS, scelto l’aspetto installando un tema e installato i plugin necessari, si concentrano solo ed esclusivamente sulla redazione dei testi e delle immagini. 

Non è difficile trovare installazioni WordPress basate su versioni obsolete o deprecate che, magari, si appoggiano su vecchie release di PHP (il linguaggio di programmazione utilizzato da WordPress) o che usano plugin e temi che da quattro o cinque anni non vengono aggiornati e testati dagli sviluppatori. Il risultato, inevitabile, è che i criminali informatici posso tranquillamente sfruttare queste vulnerabilità e utilizzare il vostro sito per diffondere virus e malware, per reindirizzarlo verso verso altri siti o per altri delitti. 

Cosa fare?

La prima cosa da fare è di rivolgersi a un provider sicuro ed affidabile che garantisca un costante aggiornamento del sistema operativo, la disponibilità delle ultime release di PHP e il protocollo https. Spendere una ventina di euro in più all’anno (in fondo si tratta di rinunciare a un paio di pizze) può garantirci maggiore sicurezza. Ma tutti sappiamo che anche l’auto più sicura, messa in mano a un incosciente o a un guidatore distratto, può provocare disastri. Quindi controlliamo periodicamente, almeno una volta alla settimana, se ci sono aggiornamenti di WordPress, installiamoli e controlliamo che la versione che abbiamo installato è supportata dalla release di PHP che stiamo utilizzando. 

Un tema caldo, direi rovente, è l’utilizzo dell’utente “admin” come amministratore e la scarsa cura nella forza della password. Oltre a eliminare l’utente amministratore “admin” utilizziamo una password complessa. Sembra incredibile che un’indagine di un paio di anni fa abbia scoperto che la password più utilizzata al mondo sia “123456” e che al secondo posto ci sia “password”. Creare una password sicura e che sia facile da ricordare non è molto difficile, magari approfondiremo in seguito, ma evitiamo accuratamente i nomi di figli, partner, animali domestici combinati, magari, con le relative date di nascita. Non bisogna essere un hacker per scoprire, con una veloce ricerca su un social network, queste informazioni. Utilizzando alcuni plugin, poi, è possibile nascondere la pagina di accesso al pannello di amministrazione, verificare e bloccare i tentativi di accesso non autorizzati e controllare che gli utenti che chiedono la registrazione non provengano da domini sospetti.