Considerazioni su WordPress e la sicurezza

“Quanto è sicuro il mio WordPress?”

È una domanda che chiunque abbia un sito o blog prima o poi si pone, e vale anche per gli altri CMS ovviamente. Puntuale, in rapida successione, arriva anche la seconda domanda di rito:
[tweet “Come posso aumentare la sicurezza di WordPress?”]

Interpellata la Sibilla di Mountain View, l’immancabile Google, questo risponderà con parecchie pagine, con tutte che offrono più o meno con le stesse soluzioni, dalle piccole modifiche alla struttura, ai plugin dedicati.

Tutti consigli più o meno validi, in genere, se utilizzati con un minimo di precauzioni e con le dovute cautele.

Alcuni articoli fortunatamente inseriscono premesse importanti, su quello che si sta per compiere e sulle possibili complicazioni, che non bisogna trascurare.

Altri invece, per come trattano l’argomento, sembra che bastino una manciata di click per rendere WordPress praticamente inviolabile.

Magari fosse così.

Qualche saggio (indispensabile oserei dire) accorgimento di sicuro evita parecchi fastidi, ma non basta per dormire sonni tranquilli. Se vogliamo davvero parlare di sicurezza, non si deve guardare solo WordPress e la sua amministrazione, ma fare una panoramica un po’ più ampia di quello che gli sta attorno.

WordPress è un insicuro, per natura…

Pare brutto dirlo, ma è così.

WordPress, per la sua natura Open Source, offre il fianco a chi vive per cercare di scoprire le vulnerabilità dei sistemi, nel bene e nel male. Questo senza nulla togliere alla qualità del CMS, intendiamoci, il mio preferito in assoluto, che comunque ha un livello di sicurezza elevato nel suo genere.

Lo stesso ragionamento però va fatto, doverosamente, anche per il server su cui gira WordPress, dato che nella stragrande maggioranza dei casi si tratta di una distribuzione qualche Linux.

Lo stesso vale anche per Apache e MySQL, e visto che ci stanno sopra come dei calzini, anche per gli eventuali pannelli di controllo utilizzati per la gestione dei domini (Plesk, cPanel etc.).

Proteggere WordPress è saggio e doveroso, ma…

Blindare più possibile WordPress è assolutamente consigliabile.

Tenerlo aggiornato costantemente, visto che buona parte degli aggiornamenti riguarda la sicurezza, e lo stesso dicasi per i plugin utilizzati. Fare molta attenzione a plugin e temi installati, e poi le solite accortezze di rito: cancellare o rendere inoffensivo l’utente admin, rinominare le tabelle del database, proteggere file e cartelle a rischio, etc etc,.

Tutte precauzioni sacrosante, che diventano però inutili, facilmente aggirabili, se è il server a essere non essere sufficientemente protetto.

Se un server sfrutta versioni non aggiornate, se non sono state applicate tutte le patch di sicurezza, è lo stesso server che diventa facile preda, o il punto debole del sistema.

Se davvero si vuol fare i pignoli, riguardo la sicurezza di WordPress, oltre al CMS è necessario quindi guardare anche a monte, al server su cui viene fatto girare, alla frequenza/puntualità con cui viene aggiornato in tutte le sue componenti e, non meno importante, alla competenza di chi lo amministra.

Lo so, non è un argomento facile, alla portata di tutti, ed il fornitore dell’hosting poi potrebbe non essere ben disposto al dialogo su questi argomenti.

Quale hosting scegliere quindi?

Difficile rispondere, ma l’attenzione dei fornitori di hosting sul fronte sicurezza è sicuramente valutabile, ed i forum di discussione in rete offrono sicuramente molte indicazioni sullo stato di salute dei vari provider, se hanno subito violazioni particolari ed altre informazioni utili, potrebbe essere un buon inizio.

E tu che esperienze hai con gli Internet Provider in fatto di sicurezza?