Non esiste un sito web che possa dichiararsi completamente immune da problemi di sicurezza, chi lo afferma la sta sparando bella grossa, e se si tratta di un professionista del web mente sapendo di mentire.
Questo non vuol dire che tutti i siti sono destinati ad essere violati, intendiamoci, semplicemente che con poche attenzioni possiamo ridurre il rischio di sgradite visite.
Anche se non sei un utente esperto, puoi adottare delle semplici precauzioni che ti possono mettere al riparo in molte situazioni.
Tieni presente che, oltre a queste precauzioni, c’รจ solo il supporto di un professionista, e questo non lo puoi sostituire con un plugin.
La sicurezza sul web inizia dal servizio di hosting.
Andare troppo al risparmio sull’hosting pรฒ avere effetti su stabilitร e prestazioni del sito, ma anche sulla sicurezza, perchรฉ alcuni sono piรน attenti di altri a queste problematiche,
Ad esempio l’utilizzo di versioni recenti di PHP e MySQ, a cui sono state applicate tutti gli aggiornamenti di sicurezza, alcuni hosting se ne preoccupano con molto ritardo, anche di parecchi mesi a volte, e questo non รจ bello.
Per farti capire meglio la situazione, PHP 7.1 รจ ufficialmente “end of life” da parecchio, ovvero non riceve piรน nemmeno gli aggiornamenti di sicurezza, quindi รจ estremamente rischioso da utilizzare.
PHP 7.2 lo diventerร il 30-11-2020, ancora pochi mesi di vita.
PHP 7.3 resisterร fino al 6-12-2021, PHP 7.4 fino al 28-11-2022.
Fonte: PHP Supported Versions
Molti siti WordPress, su cui mi capita di intervenire. girano ancora con vecchie versioni di WordPress e ancor piรน vecchie versioni di PHP, come la 5.6 o la 5.4, e la mia prima preoccupazione รจ aggiornare ad un PHP piรน recente, sempre che l’hosting lo consenta e che l’installazione sia compatibile.
Certi hosting permettono ancora l’utilizzo di versioni PHP notoriamente vulnerabili, non piรน soggette ad aggiornamenti di sicurezza, senza nemmeno avvisare gli utenti del rischio che corrono nei pannelli di controllo.
Equilibri di sicurezza di WordPress.
Una piccola lista di buone abitudini:
- Sicurezza sui siti WordPress il piรน delle volte significa non offrire il fianco, paciugando a casaccio con temi e plugin, specie se di dubbia provenienza.
- Se devi fare delle prove, aggiungendo e togliendo plugin, non compromettere il sito pubblicato ma lavora su una copia di staging.
- Mantieni l’installazione aggiornata, applicare in tempo utile tutti gli aggiornamenti aiuta, perchรฉ spesso tra le pieghe delle nuove versioni si nascondono patch di sicurezza non dichiarati.
- I plugin premium forniti in dote con molti temi non sono licenziati e spesso non segnalano nemmeno gli aggiornamenti, spesso รจ possibile aggiornarli solo in concomitanza dell’aggiornamento del tema.
- Controllare la data dell’ultimo aggiornamento di temi e plugin: se รจ passato troppo tempo (qualche mese) potrebbe essere un segnale di trascuratezza o abbandono dello sviluppo, che spesso si traduce in vulnerabilitร .
- Cancellare temi e plugin inutilizzati significa non esporre il fianco a codice che potrebbe essere attaccabile, anche se disabilitato.
- Evitare l’utente admin, ed usare password robuste, sono altre due buone precauzioni.
Naturalmente ci sono anche altre misure di sicurezza, molte perรฒ sono riservate ad utenti esperti.
Inoltre c’รจ l’utilizzo dei cosiddetti plugin di sicurezza.
Questi plugin sono sicuramente utili in alcune occasioni, tipo quando devono sostituirsi a firewall assenti o inadeguatiย lato server,ย ma per questo spesso causano pesanti rallentamenti al sito, e sono i primi ad essere presi di mira dai malintenzionati di turno.
Non รจ raro che delle vulnerabilitร siano individuate proprio in questi plugin, in passato hanno causato parecchi problemi.
In situazioni normali preferisco evitarli, ed applicare soluzioni alternative diverse.
Un buon backup potrebbe rivelarsi la tua ancora di salvezza.
Il backup rimane lo strumento migliore per tirarsi fuori dai guai.
Molti hosting effettuano autonomamente e automaticamente backup giornalieri, conservano almeno quelli delle ultime settimane e offrono strumenti di ripristino totale o parziale molto intuitivi, il tutto compreso nel prezzo.
Se il tuo hosting ti offre solo backup a pagamento, non รจ un servizio ma una sanguisuga, abbandonalo al suo destino.
Potresti considerare anche un backup esterno al sito, su Dropbox o simili, anche se hai giร un servizio di backup fornito dall’hosting, la prudenza non รจ mai troppa.
Attenzione perรฒ, se il tuo sito รจ giร stato violato, รจ possibile che anche il tuo backup recente contenga la causa del problema.
O vai a ritroso, scegliendo un backup piรน datato ma non ancora contaminato (da verificare), o puoi utilizzare il backup per stanare il codice malevolo, e ripulire il sito prima di ripristinarlo.
Ad ogni modo, un backup puรฒ salvarti il sito, non trascurare questo aspetto.
Una buona manutenzione aiuta a proteggere il sito.
Un servizio di manutenzione efficiente per prima cosa ti controlla il sito, verifica che non ci siano problemi strutturali e ti evidenzia le eventuali criticitร da sistemare, comprese le misure di sicurezza.
Controlla anche che il tuo backup sia corretto: non hai idea di come ci si possa sentire, scoprendo di avere un backup che in realtร non salva correttamente il sito.
Non ultimo, il sito viene monitorato automaticamente piรน volte al giorno, pronto ad intervenire nel giro di breve tempo alla minima anomalia.
Senza contare che hai un professionista preparato a cui chiedere consiglio, per migliorare il tuo business on line.
