Hai un sito in WordPress e sei sotto attacco? Il tuo sito è stato infettato, si riempie di contenuti e redirect dannosi e non sai più cosa fare? Niente paura, le soluzioni per migliorare la sicurezza di WordPress ci sono, ti basta solo un po’ di pazienza, ma è tutto risolvibile. In precedenza abbiamo parlato di come creare e migliorare la struttura di un sito, oggi parliamo di sicurezza, nel merito.

Migliorare la sicurezza di WordPress, i primi passi per una maggiore protezione

Come puoi ben sapere, gli hacker e i cracker (non quelli che si mangiano) sono sempre in agguato, è per questo importantissimo pensare alla sicurezza del tuo sito web. Un attacco può avere conseguenze rovinose, in quanto può scoraggiare la visita da parte di pubblico e clienti che si ritroveranno reindirizzati verso siti dannosi, spam o addirittura infettati. Questo comporta quindi una penalizzazione in termini SEO, in quanto i motori di ricerca ti etichetteranno come dannoso o comunque non affidabile.

Consigli per la sicurezza di WordPress

Cosa fare per prevenire attacchi o brecce e garantire la sicurezza del tuo WordPress? Vediamo insieme alcuni passaggi da fare:

Applica il certificato SSL

Ormai da un po’ il certificato SSL e il passaggio ad https sono divenuti imprescindibili, anche per determinare la sicurezza del tuo sito. Richiedilo al tuo registrar (Aruba, Netsons, ecc…) e installalo con un plugin come Really Simple SSL.

Mantieni WordPress aggiornato

Il tuo WordPress ha bisogno con la massima priorità di aggiornamenti. Ogni aggiornamento ripristina il codice originale in caso di modifiche da parte di hacker e rende la struttura più resistente. E’ quindi importantissimo, ogni qualvolta siano disponibili, effettuare aggiornamenti del CMS più utilizzato al mondo. Sei già stato attaccato? Ripristina la versione attuale, così da ripulire anche la sorgente!

Mantieni i plugin aggiornati

Un ruolo estremamente importante lo hanno i plugin. Sono elementi suppellettili a WordPress, che aggiungono però a quest’ultimo funzioni e miglioramenti da scegliere in base alle nostre evenienze. Gli aggiornamenti possono essere molto frequenti ed è opportuno eseguirli, anche ogni 2-3 giorni. I plugin si possono scaricare dalla directory specifica e installarli, si trovano all’interno della funzione Plugin o se ne possono acquistare di ufficiali da portali come Code Canyon. Scegli sempre plugin affidabili in base ai voti, ai commenti e alla frequenza di aggiornamento.

Mantieni i temi aggiornati

Così come i plugin, anche i temi WordPress hanno la loro parte. Essi rappresentano la veste estetica e funzionale del tuo sito, è quindi estremamente importante averne cura. Scegli sempre temi che WordPress ti consiglia oppure acquista temi premium, su Elegant Themes, MyThemeShop o altri, con abbonamenti annuali o lifetime, che se aggiornati garantiscono una sicurezza ottimale.

Non utilizzare MAI contenuti nulled

Cosa sono i contenuti nulled? Sono temi e plugin premium craccati, di norma a pagamento ma reperibili nei meandri del web anche gratuitamente. Essi non solo possono avere codici sorgente già infetti, ma NON possono essere aggiornati non essendo in alcun modo originali. Rappresentano una notevole minaccia alla sicurezza di WordPress, in quanto l’obsoleto è facilmente aggredibile. Ergo, evitali come la peste e, se ne hai bisogno, spendi qualche soldino e compra temi e plugin originali.

Installa WordFence

Un aiuto non indifferente può dartelo a conti fatti WordFence. Si tratta di un plugin appositamente studiato per la sicurezza di WordPress. Fa da firewall esaminando e bloccando connessioni esterne qualora siano dannose, monitorando anche i login degli utenti. La funzione principale è la scansione del sito: settandolo nella modalità High Sensitivity può scovarti qualsivoglia danno in tutta la struttura, come:

  • contenuti infettati da javascript nocivi;
  • elementi obsoleti, non aggiornati o non più aggiornabili;
  • modifiche ai codici sorgente di plugin, temi o WordPress stesso;
  • stato del server (raramente con problemi, ma in quel caso puoi rivolgerti al tuo registrar).

WordFence ti evidenzierà eventuali danni e problemi, da lì puoi muoverti di conseguenza.

Effettua backup periodici

Non correre il rischio di perdere il lavoro di una vita in una manciata di giorni, effettua backup. Datti una tempistica, come ogni 2 settimane, o una volta al mese, così da mettere al sicuro il tuo sito con tutti i tuoi contenuti. Hai 3 modi di farlo:

  • manualmente, esportando il database sql dal pannello PhpMyAdmin presente nel tuo pannello di gestione del registrar e facendo copia di tutto il contenuto nell’ftp, sempre lì presente. Sarà un processo lungo. Dovrai modificare manualmente le directory qualora tu debba spostare il sito verso un altro indirizzo;
  • utilizzando Duplicator, plugin che ti permette di creare un pacchetto copia dell’intero sito, che sposterai all’interno dello spazio di destinazione (vuoto) insieme al file di installazione a esso legato (installer.php) per reinstallare il tutto. Occhio ai dati del database sql, la connessione ad esso è necessaria;
  • utilizzando All in One WP Migration, altro plugin di backup che crea un pacchetto copia del sito proprio come Duplicator, con l’unica differenza che dovrà essere installato su un WordPress vergine. La versione gratuita supporta fino a pacchetti di 512MB.

Ripristina un backup

La situazione è critica e disastrosa? Ripristina il prima possibile una copia sana del tuo sito fatta in precedenza, o chiedi al tuo registrar di farlo per te. Se non puoi fare più nulla per la sicurezza di WordPress, questa è l’ultima risorsa.

Segnala la correzione e la pulizia a Google

Ok, il tuo lavoro è finalmente sano e salvo, ma Google lo riconosce ancora come danneggiato o non sicuro. Cosa fare? Entra nella tua Search Console, dove troverai sicuramente svariati errori o codici danneggiati. Se sei sicuro che l’allarme sia rientrato, convalida e segnala il tutto come corretto, Google tornerà a esaminarti e ti riconoscerà come sano.

Utilizza password difficili

Per l’accesso al back-end, all’ftp e per quello al database mysql utilizza password che siano lunghe e di difficile comprensione. Ad esempio un codice alfanumerico di 10 o più caratteri, comprendendo caratteri speciali come ! o ? . Per maggiore sicurezza, puoi cambiarle periodicamente.

Scansiona il tuo computer e svuota la cache dei browser

Il tuo computer è già infetto? Grosso problema, in quanto può talvolta essere il visitatore che entra nel back-end del sito a infettare quest’ultimo. Fai una scansione, sempre periodica, del tuo computer con antivirus, antispam o antispyware. Dopodichè, ricorda che anche i tuoi browser possono aver salvato copie ancora infette di un sito che hai effettivamente ripulito: svuotane le cache, e se necessario tutti i dati di navigazione.

Proteggi il tuo sito in WordPress con questi consigli

Sicurezza di WordPress? Ultimi consigli

Qualora ti capiti di notare javascript dannosi all’interno di centinaia di articoli o contenuti, prova a rimuoverli col plugin Search & Replace. Come una classica funzione ‘cerca e sostituisci’, puoi cercare il javascript dannoso (di solito sempre lo stesso su tutti i tuoi contenuti) e rimuoverlo ovunque in un colpo solo, lasciando la stringa Replace vuota.

Detto questo, sei pronto a mettere in sicurezza il tuo WordPress? Segui questi consigli e vedrai che riuscirai, da solo o con l’aiuto di qualcuno, a creare una barriera impenetrabile. Segui gli aggiornamenti ogni 2-3 giorni, fallo con costanza. Se sei già stato attaccato, non farti prendere dal panico, respira e segui i passaggi poco a poco, ne va della tua presenza online!

Starlife Web Agency

Appassionato di web design, grafica web, SEO, web marketing e fotografia, divoratore compulsivo di film e serie tv, sempre pronto a nuove avventure geek