Considerazioni su WordPress e la sicurezza

ATTENZIONE: questo articolo è stato scritto oltre un anno fa, ed i contenuti potrebbero non essere più validi o compatibili. Sei pregato di tenerne conto, e se hai informazioni in merito di segnalarmele, grazie.

WordPress in sicurezza - i dati in cassaforte

“Quanto è sicuro il mio WordPress?”

È una domanda che chiunque abbia un sito o blog prima o poi si pone, e vale anche per gli altri CMS ovviamente. Puntuale, in rapida successione, arriva anche la seconda domanda di rito:

Interpellata la Sibilla di Mountain View, l’immancabile Google, questo risponderà con parecchie pagine, con tutte che offrono più o meno con le stesse soluzioni, dalle piccole modifiche alla struttura, ai plugin dedicati.

Tutti consigli più o meno validi, in genere, se utilizzati con un minimo di precauzioni e con le dovute cautele.

Alcuni articoli fortunatamente inseriscono premesse importanti, su quello che si sta per compiere e sulle possibili complicazioni, che non bisogna trascurare.

Altri invece, per come trattano l’argomento, sembra che bastino una manciata di click per rendere WordPress praticamente inviolabile.

Magari fosse così.

Qualche saggio (indispensabile oserei dire) accorgimento di sicuro evita parecchi fastidi, ma non basta per dormire sonni tranquilli. Se vogliamo davvero parlare di sicurezza, non si deve guardare solo WordPress e la sua amministrazione, ma fare una panoramica un po’ più ampia di quello che gli sta attorno.

WordPress è un insicuro, per natura…

Pare brutto dirlo, ma è così.

WordPress, per la sua natura Open Source, offre il fianco a chi vive per cercare di scoprire le vulnerabilità dei sistemi, nel bene e nel male. Questo senza nulla togliere alla qualità del CMS, intendiamoci, il mio preferito in assoluto, che comunque ha un livello di sicurezza elevato nel suo genere.

Lo stesso ragionamento però va fatto, doverosamente, anche per il server su cui gira WordPress, dato che nella stragrande maggioranza dei casi si tratta di una distribuzione qualche Linux.

Lo stesso vale anche per Apache e MySQL, e visto che ci stanno sopra come dei calzini, anche per gli eventuali pannelli di controllo utilizzati per la gestione dei domini (Plesk, cPanel etc.).

Proteggere WordPress è saggio e doveroso, ma…

Blindare più possibile WordPress è assolutamente consigliabile.

Tenerlo aggiornato costantemente, visto che buona parte degli aggiornamenti riguarda la sicurezza, e lo stesso dicasi per i plugin utilizzati. Fare molta attenzione a plugin e temi installati, e poi le solite accortezze di rito: cancellare o rendere inoffensivo l’utente admin, rinominare le tabelle del database, proteggere file e cartelle a rischio, etc etc,.

Tutte precauzioni sacrosante, che diventano però inutili, facilmente aggirabili, se è il server a essere non essere sufficientemente protetto.

Se un server sfrutta versioni non aggiornate, se non sono state applicate tutte le patch di sicurezza, è lo stesso server che diventa facile preda, o il punto debole del sistema.

Se davvero si vuol fare i pignoli, riguardo la sicurezza di WordPress, oltre al CMS è necessario quindi guardare anche a monte, al server su cui viene fatto girare, alla frequenza/puntualità con cui viene aggiornato in tutte le sue componenti e, non meno importante, alla competenza di chi lo amministra.

Lo so, non è un argomento facile, alla portata di tutti, ed il fornitore dell’hosting poi potrebbe non essere ben disposto al dialogo su questi argomenti.

Quale hosting scegliere quindi?

Difficile rispondere, ma l’attenzione dei fornitori di hosting sul fronte sicurezza è sicuramente valutabile, ed i forum di discussione in rete offrono sicuramente molte indicazioni sullo stato di salute dei vari provider, se hanno subito violazioni particolari ed altre informazioni utili, potrebbe essere un buon inizio.

E tu che esperienze hai con gli Internet Provider in fatto di sicurezza?

Tags: , , , , ,

3 Risposte a “Considerazioni su WordPress e la sicurezza”

  1. Ettore 25 Dic 2013 at 22:08 #

    Ciao a tutti….e tantissimi auguri!
    Purtroppo non conosco WordPress e spero con il 2014 di colmare questa mia lacuna.
    Conosco invece ( e bene) Joomla e confesso che uno dei principali motivi, se non addirittura il più importante, per il quale uso Joomla è il componente Akeeba backup.
    Fatevi avanti, signori hackers!!!……..fate pure tutto quel che volete sul mio spazio web…..! !!! ……ma con Akeeba backup riesco a ripristinare TUTTO al massimo in 3 o 4 ore. Lo so che sarebbe meglio essere più sicuri e evitare il ripristino……ma in definitiva è l’unico modo per stare tranquilli al 100%.

    Ciao!

    ettore

    • Roberto Rota 26 Dic 2013 at 00:04 #

      Ciao Ettore, vero che l’ideale è ridurre al minimo le possibilità di violazione, ma è una bella lotta.

      rob

      PS… ci sono ottimi strumenti di backup anche per WordPress 🙂

  2. macrunner 1 Gen 2014 at 21:03 #

    Ciao Rob, bell’articolo come sempre

Dubbi o suggerimenti? Lascia un commento!

I love Instagram