La risposta è sì. WordPress è sicuro. È impossibile contare quante volte i nostri clienti ci hanno chiesto se WordPress è una piattaforma sicura. Il web pullula di notizie riguardanti siti web compromessi o violati da hacker e indubbiamente molte di queste vedono protagonisti proprio i siti web basati su WordPress.
L’ABC della sicurezza di un sito WordPress
In questo articolo vogliamo tranquillizzarti, senza creare facile allarmismo, ma evidenziando quali sono i fattori a cui prestare attenzione per gestire il tuo sito WordPress in sicurezza.
Aggiornamento di WordPress
Per fare in modo che WordPress rimanga sicuro, devi mantenere aggiornato il core dell’applicazione. La buona notizia è che WordPress può svolgere questa operazione automaticamente. Se il tuo sito ha una configurazione di default, quando il team di sviluppo rilascia una versione minore, il tuo sito WordPress si aggiornerà a quella versione. I miglioramenti riguardanti la sicurezza vengono rilasciati nelle versioni minori.
Perciò quando viene rilasciata una security fix, a meno che non abbia disabilitato gli aggiornamenti automatici di WordPress, il tuo sito si aggiornerà alla versione sicura più recente e sarai protetto contro la vulnerabilità appena scoperta.
Per essere chiari, la versione di WordPress è costituita da tre numeri separati da punti. La versione corrente alla data di pubblicazione di questo articolo è la 4.9.8. Il numero più a destra indica la versione minore. Quindi, per esempio, quando verrà rilasciata la versione 4.9.9. il tuo sito verrà automaticamente aggiornato, mentre invece quando verrà rilasciata la versione 5.0.0. WordPress ti chiederà di aggiornarlo manualmente.
Aggiornamento di temi e plugin
Devi aggiornare anche i temi ed i plugin. Questo non accade automaticamente, tranne i rari casi in cui uno sviluppatore decida di dotare di questa funzionalità il suo plugin. Anche su questo fronte abbiamo buone notizie da darti. Nel caso in cui venga scoperta una grave vulnerabilità in un certo plugin, il team che si occupa della sicurezza di WordPress può forzare l’aggiornamento del plugin e l’ha fatto anche in passato. La stessa cosa vale anche per l’aggiornamento di un tema, ma non è ancora successo.
In linea di massima le versioni minori dei plugin con la soluzione ai problemi di vulnerabilità non verranno aggiornate automaticamente. Ecco perché aggiornare i plugin è una delle cose più importanti da fare per mantenere in sicurezza il tuo sito WordPress.
Proteggere il sito durante la finestra di vulnerabilità con un firewall
Quando viene rilevata una vulnerabilità in un plugin o in un tema, c’è un lasso di tempo tra la scoperta della falla ed il rilascio del rimedio. Questo periodo è critico e viene chiamato finestra di vulnerabilità. Per proteggere il tuo sito WordPress in questa fase, hai bisogno che un firewall sia gestito da un team che si occupa di sicurezza e che possa fornirti aggiornamenti in tempo reale.
Il nostro Pacchetto Sicurezza Sito WordPress include tutto questo. Il nostro team lavora proattivamente per scoprire nuovi attacchi e impostare nuove regole nel firewall non appena viene rilevata una falla. In questo modo proteggiamo i nostri clienti nella finestra di vulnerabilità mentre il fornitore del plugin o il team di sviluppo di WordPress cerca di risolvere il problema.
Ridurre la tua esposizione agli attacchi
Proprio come fanno i pugili quando combattono, anche tu dovresti ridurre la superficie che potrebbe essere attaccata. Credi che sia più facile difendere un fortino oppure un villaggio adagiato tra le colline e il mare?
Quanti più plugin e temi avrai installato nel tuo sito WordPress tanto più sarai esposto agli attacchi. Riduci la tua esposizione eliminando plugin e temi non necessari in modo da rappresentare un bersaglio più difficile da colpire: così sarà più facile anche gestire il tuo sito! Dovresti eliminare anche gli utenti con privilegi da amministratore che non lavorano più al sito.
Adottare una buona igiene della sicurezza
Infine, tu e gli utenti del tuo sito WordPress, dovreste adottare una buona condotta della sicurezza. In altre parole dovresti:
- Impiegare password robuste e difficili da indovinare (no, “1234” non va bene). Ti consigliamo un password manager come 1Password oppure se possiedi un account Google utilizza la funzione di salvataggio password offerta da Chrome combinata al gestore delle password di Google.
- Abilitare l’autenticazione a 2 fattori (e il nostro Pacchetto Sicurezza Sito WordPress lo fa)
- Essere sicuro di possedere backup affidabili del tuo sito WordPress (tutti i nostri piani di assistenza per siti WordPress includono backup giornalieri).
Esiste un’alternativa più sicura di WordPress?
Bella domanda. Per rispondere dobbiamo spiegarti come nasce e si sviluppa un’applicazione web.
La nascita
Un bel giorno, immerso nella sua vasca da bagno, un novello Archimede del web riceve la sua illuminazione ed esclamando “Eureka!” si mette freneticamente al lavoro per realizzare l‘alternativa a WordPress più sicura ed efficiente del mondo. Nasce così il primo sito basato sul nuovo CMS che potrebbe soppiantare per sempre WordPress.
Nessun hacker si scomoderà per bucare (questo è il loro gergo) questo sito. Nessun ricercatore leggerà il codice sorgente alla ricerca di eventuali falle. La probabilità che questo sito venga violato è praticamente nulla.
La scoperta
Il nostro Archimede ha sparso la voce e ha sponsorizzato la sua invenzione su Facebook guadagnando così un po’ di attenzione e popolarità. La fama improvvisa desta però le indesiderate attenzioni degli hacker che intravedono l’opportunità di violare i numerosi siti web basati sul nuovo CMS. Il nostro eroe non può permettersi un firewall e la community che si occupa di sicurezza web è impegnata su altri versanti: per questo motivo il numero di violazioni e attacchi cresce esponenzialmente.
La crescita
La community degli hacker è ormai in fermento come un branco di squali eccitati dal sangue: tutti i riflettori sono ormai puntati sul nostro CMS. La sua popolarità è però ben inferiore rispetto a quella di WordPress e non riceve abbastanza attenzioni da parte della community di sviluppatori ed esperti di sicurezza.
È proprio in questa fase che il prodotto è estremamente vulnerabile. Gli attacchi più gravi accadono nella fase evolutiva proprio come accadde a WordPress tra il 2007 ed il 2013, quando fu vittima del Timthumb hack, l’auto-aggiornamento non era ancora disponibile e le soluzioni per la sicurezza erano ancora agli albori.
La maturità
La community che si dedica alla sicurezza del nuovo CMS è in costante crescita e quindi la frequenza e la gravità degli attacchi inizia a scemare. Iniziano a comparire soluzioni per il rilevamento e la soluzione delle vulnerabilità che contrastano efficacemente i tentativi degli hacker.
Nuove falle vengono scoperte occasionalmente, ma essendo il prodotto sul mercato già da qualche tempo, vengono tappate tempestivamente dal team che si occupa della sicurezza e dalla vivace community che si è sviluppata intorno al nuovo CMS.
E quindi a che punto siamo con WordPress?
WordPress si trova ormai nella fase della maturità da un punto di vista della sicurezza e con l’evoluzione il numero di incidenti continuerà a diminuire attestandosi su un valore di riferimento.
Se proprio avverti l’esigenza di utilizzare un’alternativa a WordPress – e ce ne sono di validissime in giro, eh! – considera quale delle fasi che ti abbiamo delineato sta attraversando la piattaforma che desideri adottare e quali sono le tappe della sua evoluzione futura.
Qualcuno suggerisce il sito statico: è davvero inattaccabile?
Un approccio alternativo che abbiamo sentito in giro è quello di costruire un sito completamente statico basato solo su HTML e CSS senza alcun codice PHP o altro linguaggio server-side simile. Dietro le quinte di un sito statico non c’è una web application che un hacker possa attaccare e lo stesso sito può essere configurato in modo da non eseguire codice PHP per impedire agli hacker di eseguire il loro dannato codice.
In teoria questo genere di siti è molto più sicuro di un’applicazione PHP come WordPress. Il problema è che un sito statico non può fare altro che presentare testo e immagini. Dimentica le prenotazioni online per il tuo agriturismo o albergo, i tuoi annunci immobiliari, i tuoi corsi online… Niente commenti nel tuo blog, niente e-commerce.
Ma almeno il sito è sicuro! Peccato che avere un sito di questo tipo non ti serva a nulla.
A onor del vero, dobbiamo dirti che lo stesso web server (il software che recupera la pagina che vorresti visitare e la presenta nel browser) è anch’esso un’applicazione e quindi sono state scoperte falle nella sicurezza dei due web server più diffusi cioè Apache e Nginx . Scartare quindi un’applicazione come WordPress potrebbe non metterti completamente al riparo dagli attacchi. Siamo un po’ paranoici, lo sappiamo.
Un CMS Cloud è più sicuro?
Per la molti utenti la scelta di un CMS Cloud potrebbe non essere praticabile perché hanno bisogno di controllare al 100% il loro sito sia dal punto di vista del contenuto che delle funzionalità. Se stai per intraprendere la strada del CMS Cloud sappi che neppure questa soluzione è completamente immune agli attacchi informatici e che potrebbero verificarsi delle falle nella sicurezza (security breach).
I servizi Cloud sono bersagli appetibili per gli hacker perché possono rompere tutte le uova di uno stesso paniere. Massimo risultato, minimo sforzo. Gli sviluppatori che hanno realizzato l’infrastruttura dei servizi Cloud sono esseri umani e possono sbagliare come tutti. Un’installazione autonoma di WordPress ti darà un maggior controllo sulla sicurezza e avrai alle spalle una community pronta ad aiutarti nel rendere il tuo sito più sicuro.
I fornitori di hosting per WordPress sono sicuri?
La maggior parte dei fornitori di hosting svolgono un ottimo lavoro nel proteggere i siti dei loro clienti, ma talvolta potrebbe verificarsi una vulnerabilità di servizio. In questi casi, sebbene tu faccia del tuo meglio per mettere in sicurezza il tuo sito WordPress, il sito sarà comunque esposto agli attacchi a causa della vulnerabilità del servizio offerto dal fornitore di hosting.
Se devi scegliere a chi affidare l’hosting del tuo sito WordPress, rivolgiti ad un provider che sia valido, pronto a reagire alle minacce informatiche e che risponda a qualsiasi tua domanda circa la sicurezza della sua infrastruttura. I nostri piani di assistenza per siti WordPress includono l’hosting con SiteGround, una delle migliori aziende di hosting ufficialmente segnalata da WordPress.
Qualcuno ha detto che WordPress è un colabrodo. È vero?
Chi si occupa di sicurezza web e vende prodotti e servizi di sicurezza tende a tirare l’acqua al proprio mulino seminando a destra e a manca il seme del terrore. Questa storia va avanti dalla notte dei tempi della storia del web.
Nel nostro piccolo, facciamo di tutto per tranquillizzarti e raccontarti le cose come stanno, consigliandoti senza allarmarti.
Spesso le notizie sulle vulnerabilità del core di WordPress o di qualche plugin vengono date con grande enfasi per indurti a credere che WordPress sia inadeguato sotto il profilo della sicurezza. La verità è che WordPress è vulnerabile tanto quanto lo sono tutti i software di questo mondo, ma come ti abbiamo già detto, è entrato nella fase della maturità: nuove falle si apriranno e verranno chiuse prontamente ed efficacemente.
WordPress è sicuro? Beh… Dipende da te!
WordPress è come la tua automobile affidabile nelle strade di internet. C’è l’ABS, la telecamera per il parcheggio e tanti altri dispositivi che ti aiutano a non fare danni circolando. Ma se non sottoponi l’automobile a regolari tagliandi, se vai in giro con le gomme sgonfie, se guidi nella notte a fari spenti… Beh, non prendertela con l’auto se vai a sbattere contro un albero!
WordPress è una piattaforma molto sicura, dotata di grandi funzionalità nonché ben supportata, sulla quale costruire ed espandere la tua attività da oggi in avanti. Tuttavia è fondamentale che tu segua i consigli che ti abbiamo qui suggerito tenendoti costantemente aggiornato sulle questioni riguardanti la sicurezza del tuo sito WordPress.
Sun Tzu, nel suo capolavoro “L’Arte della Guerra” dice:
Conosci il tuo nemico e conosci te stesso.
Se sei già il fortunato possessore di un sito WordPress o se sei in procinto di aprirne uno, sappi che lì fuori ci sarà pure qualche hacker pronto a metterti alla prova, ma che c’è anche la community più numerosa del mondo pronta a guardarti le spalle nel lungo termine.