Indice dei contenuti
ToggleNon esiste un sito web che possa dichiararsi completamente immune da problemi di sicurezza, chi lo afferma la sta sparando bella grossa, e se si tratta di un professionista del web mente sapendo di mentire.
Questo non vuol dire che tutti i siti sono destinati ad essere violati, intendiamoci, semplicemente che con poche attenzioni possiamo ridurre il rischio di sgradite visite.
Anche se non sei un utente esperto, puoi adottare delle semplici precauzioni che ti possono mettere al riparo in molte situazioni.
Tieni presente che, oltre a queste precauzioni, c’è solo il supporto di un professionista, e questo non lo puoi sostituire con un plugin.
La sicurezza sul web inizia dal servizio di hosting.
Andare troppo al risparmio sull’hosting pò avere effetti su stabilità e prestazioni del sito, ma anche sulla sicurezza, perché alcuni sono più attenti di altri a queste problematiche,
Ad esempio l’utilizzo di versioni recenti di PHP e MySQ, a cui sono state applicate tutti gli aggiornamenti di sicurezza, alcuni hosting se ne preoccupano con molto ritardo, anche di parecchi mesi a volte, e questo non è bello.
Per farti capire meglio la situazione, PHP 7.1 è ufficialmente “end of life” da parecchio, ovvero non riceve più nemmeno gli aggiornamenti di sicurezza, quindi è estremamente rischioso da utilizzare.
PHP 7.2 lo diventerà il 30-11-2020, ancora pochi mesi di vita.
PHP 7.3 resisterà fino al 6-12-2021, PHP 7.4 fino al 28-11-2022.
Fonte: PHP Supported Versions
Molti siti WordPress, su cui mi capita di intervenire. girano ancora con vecchie versioni di WordPress e ancor più vecchie versioni di PHP, come la 5.6 o la 5.4, e la mia prima preoccupazione è aggiornare ad un PHP più recente, sempre che l’hosting lo consenta e che l’installazione sia compatibile.
Certi hosting permettono ancora l’utilizzo di versioni PHP notoriamente vulnerabili, non più soggette ad aggiornamenti di sicurezza, senza nemmeno avvisare gli utenti del rischio che corrono nei pannelli di controllo.
Equilibri di sicurezza di WordPress.
Una piccola lista di buone abitudini:
- Sicurezza sui siti WordPress il più delle volte significa non offrire il fianco, paciugando a casaccio con temi e plugin, specie se di dubbia provenienza.
- Se devi fare delle prove, aggiungendo e togliendo plugin, non compromettere il sito pubblicato ma lavora su una copia di staging.
- Mantieni l’installazione aggiornata, applicare in tempo utile tutti gli aggiornamenti aiuta, perché spesso tra le pieghe delle nuove versioni si nascondono patch di sicurezza non dichiarati.
- I plugin premium forniti in dote con molti temi non sono licenziati e spesso non segnalano nemmeno gli aggiornamenti, spesso è possibile aggiornarli solo in concomitanza dell’aggiornamento del tema.
- Controllare la data dell’ultimo aggiornamento di temi e plugin: se è passato troppo tempo (qualche mese) potrebbe essere un segnale di trascuratezza o abbandono dello sviluppo, che spesso si traduce in vulnerabilità.
- Cancellare temi e plugin inutilizzati significa non esporre il fianco a codice che potrebbe essere attaccabile, anche se disabilitato.
- Evitare l’utente admin, ed usare password robuste, sono altre due buone precauzioni.
Naturalmente ci sono anche altre misure di sicurezza, molte però sono riservate ad utenti esperti.
Inoltre c’è l’utilizzo dei cosiddetti plugin di sicurezza.
Questi plugin sono sicuramente utili in alcune occasioni, tipo quando devono sostituirsi a firewall assenti o inadeguati lato server, ma per questo spesso causano pesanti rallentamenti al sito, e sono i primi ad essere presi di mira dai malintenzionati di turno.
Non è raro che delle vulnerabilità siano individuate proprio in questi plugin, in passato hanno causato parecchi problemi.
In situazioni normali preferisco evitarli, ed applicare soluzioni alternative diverse.
Un buon backup potrebbe rivelarsi la tua ancora di salvezza.
Il backup rimane lo strumento migliore per tirarsi fuori dai guai.
Molti hosting effettuano autonomamente e automaticamente backup giornalieri, conservano almeno quelli delle ultime settimane e offrono strumenti di ripristino totale o parziale molto intuitivi, il tutto compreso nel prezzo.
Se il tuo hosting ti offre solo backup a pagamento, non è un servizio ma una sanguisuga, abbandonalo al suo destino.
Potresti considerare anche un backup esterno al sito, su Dropbox o simili, anche se hai già un servizio di backup fornito dall’hosting, la prudenza non è mai troppa.
Attenzione però, se il tuo sito è già stato violato, è possibile che anche il tuo backup recente contenga la causa del problema.
O vai a ritroso, scegliendo un backup più datato ma non ancora contaminato (da verificare), o puoi utilizzare il backup per stanare il codice malevolo, e ripulire il sito prima di ripristinarlo.
Ad ogni modo, un backup può salvarti il sito, non trascurare questo aspetto.
Una buona manutenzione aiuta a proteggere il sito.
Un servizio di manutenzione efficiente per prima cosa ti controlla il sito, verifica che non ci siano problemi strutturali e ti evidenzia le eventuali criticità da sistemare, comprese le misure di sicurezza.
Controlla anche che il tuo backup sia corretto: non hai idea di come ci si possa sentire, scoprendo di avere un backup che in realtà non salva correttamente il sito.
Non ultimo, il sito viene monitorato automaticamente più volte al giorno, pronto ad intervenire nel giro di breve tempo alla minima anomalia.
Senza contare che hai un professionista preparato a cui chiedere consiglio, per migliorare il tuo business on line.