“Quanto è sicuro il mio blog con WordPress?”

È una domanda che chiunque abbia un blog, anche con altri CMS ovviamente, prima o poi si pone. Puntuale, a breve tempo, arriva anche la seconda domanda di rito:

“Come rendere più sicuro WordPress?”

Interpellata la Sibilla di Mountain View, l’immancabile Google, questo risponderà con parecchie pagine, con tutte che presentano più o meno con le stesse soluzioni. Tutti validi consigli, intendiamoci.

Alcuni inseriscono premesse importanti, altri invece, per come trattano l’argomento, sembra che basti avere una manciata di accortezze per rendere un blog su WordPress praticamente inviolabile. Purtroppo temo che i secondi, per i toni rassicuranti che utilizzano, siano quelli che ricevono maggior credito.

Qualche saggio accorgimento evita parecchi fastidi, ma non basta per dormire sonni tranquilli. Se vogliamo davvero parlare di sicurezza, non si deve guardare solo WordPress e la sua amministrazione, ma fare una panoramica un po’ più ampia di quello che gli sta attorno.

WordPress è un insicuro, per natura…

Pare brutto dirlo, ma è così. WordPress, per la sua natura Open Source, offre il fianco a chi vive per cercare di scoprire le vulnerabilità dei sistemi, nel bene e nel male. Questo nulla toglie alla qualità del CMS, intendiamoci, il mio preferito in assoluto.

Lo stesso ragionamento però va fatto, doverosamente, per il server su cui gira WordPress. È un dato di fatto, visto che nella stragrande maggioranza dei casi si tratta di una distribuzione Linux Open Source, più raramente una distribuzione commerciale. Lo stesso vale anche per Apache e MySQL, e visto che ci stanno sopra come dei calzini, anche per gli eventuali pannelli di controllo utilizzati per la gestione dei domini (Plesk, cPanel etc.).

Proteggere WordPress è saggio e doveroso, ma…

Blindare più possibile WordPress è assolutamente consigliabile, per carità, tenerlo aggiornato visto che buona parte degli aggiornamenti riguarda la sicurezza, e lo stesso dicasi per i plugin utilizzati. Evitare quelli il cui sviluppo si è interrotto. Poi le altre accortezze di rito: cancellare l’utente admin se c’è, rinominare le tabelle etc etc,.

Tutte precauzioni sacrosante, che diventano però inutili, facilmente aggirabili, se è il server a essere non essere sufficientemente protetto. Se un server sfrutta versioni non aggiornate, se non sono state applicate tutte le patch di sicurezza, è lo stesso sistema che diventa facile preda.

Se davvero si vuol fare i pignoli riguardo la sicurezza di un WordPress, quindi, oltre al CMS bisogna guardare anche a monte, al server su cui viene fatto girare ed alla frequenza/puntualità con cui viene aggiornato in tutte le sue componenti.

La nota dolente

Lo so, non è da tutti affrontare questo argomento con la sufficiente preparazione, il proprio fornitore di servizi poi potrebbe non essere ben disposto al dialogo su questi argomenti.

Potendo spendere una manciata di euri, ci sono parecchi tecnici e consulenti che possono dare una mano.

Altrimenti esistono strumenti per fare le opportune verifiche, almeno quelle più importanti, sia in rete che direttamente in WordPress, grazie a qualche plugin ben realizzato, e se proprio la situazione fosse drammatica, è sempre possibile cambiar fornitore.

Poi mica tutti sono disposti/preparati ad affrontare le problematiche di un cambio fornitore, e qui si torna sempre alla manciata di euri di cui sopra.

Infine, magari perché si tratta di un blog personale, per puro diletto, ed appoggiato quindi sulla soluzione più economica trovata in rete, mica tutti sono disposti a spendere qualcosa in più per passare ad una soluzione più tranquillizzante.

Morale della favola, se la questione sicurezza è importante, non bisogna sottovalutare la scelta dell’hosting, del fornitore di servizi.

To be continued…