Come proteggere un sito WordPress?

Obiettivo

WordPress è uno dei sistemi di gestione dei contenuti o CMS (dall’inglese Content Management System) più utilizzati per la creazione di un sito Web. Tuttavia, la sua ampia diffusione (è infatti utilizzato da oltre il 40% di tutti i siti Web), così come il suo ecosistema di estensioni e temi gratuiti e a pagamento, possono essere fonte di vulnerabilità. Queste ultime possono essere sfruttate, con conseguente furti di dati, defacement (modifica dell’aspetto del sito) o addirittura dell’interruzione del suo funzionamento.

Questa guida ti mostra una serie di azioni che possono essere rapidamente implementate per proteggere il tuo sito WordPress.

Prerequisiti

•     Disporre di un piano di hosting Web
•     Aver installato il CMS WordPress
•     Avere accesso all'interfaccia di amministrazione (tramite identificativo e password forniti durante l'installazione)

Procedura
 

Quando è necessario installare gli aggiornamenti WordPress?

Per prima cosa, è fondamentale utilizzare sempre le versioni più recenti del CMS, del tema e delle estensioni. Gli aggiornamenti permettono infatti di correggere eventuali falle di sicurezza. Per effettuare questa operazione, consulta la versione italiana del sito del CMS e interroga i database che registrano le falle di sicurezza trovate tramite strumenti come Exploit Database.

La regola è molto semplice: appena compare un aggiornamento sul tuo WordPress, installalo. Lo sapevi? È inoltre possibile attivare l'aggiornamento automatico dei temi e delle estensioni!

Importante: prima di effettuare gli aggiornamenti, verifica di disporre di spazio di storage sufficiente sul tuo server (è necessario almeno 1 GB). Se lo spazio di storage è esaurito e provi ad installare gli aggiornamenti, il CMS potrebbe non essere in grado di completarli, causando l'indisponibilità del sito.

Anche se gli aggiornamenti dei temi e delle estensioni sono automatici, è necessario verificare la data dell'ultimo aggiornamento. In effetti, oltre ai rischi di incompatibilità con una nuova versione di WordPress, un componente non aggiornato da diversi mesi potrebbe non essere più supportato e presentare quindi delle falle di sicurezza.

Come configurare l'aggiornamento automatico dei temi WordPress?

L'automatizzazione dell'aggiornamento di un tema è un'azione semplice da effettuare. Nella colonna a sinistra della Dashboard WordPress, clicca su "Aspetto" > “Temi”. Seleziona il tema che preferisci e clicca su "Attiva gli aggiornamenti automatici".

Come attivare l'aggiornamento automatico delle estensioni WordPress?

È possibile configurare l'aggiornamento automatico delle estensioni dalla sezione "Estensioni”, nella colonna di sinistra della Dashboard WordPress.

Perché aggiornare la versione PHP del tuo hosting Web?

È importante utilizzare anche l'ultima versione di PHP disponibile (a condizione di essere supportata dai temi e dalle estensioni installate). Con ogni aggiornamento vengono rilasciate numerose patch di performance e sicurezza. Per consultare le versioni supportate da PHP, clicca qui: https://www.php.net/supported-versions.php

Di seguito trovi la configurazione consigliata per il tuo hosting OVHcloud:

• Ambiente di esecuzione : Stable64
• Versione di PHP : 8.1
• Motore : PHP
• Modalità Produzione
• Firewall a livello applicativo (WAF): Disattivato

Se il tuo WordPress è stato installato e configurato su una versione di PHP non più supportata, assicurati che le estensioni utilizzate siano compatibili con la nuova versione del linguaggio che vuoi configurare. In caso contrario, potrebbe essere necessario cambiare estensione.

Come aggiornare PHP su un hosting OVHcloud?

È possibile eseguire questa operazione direttamente dallo Spazio Cliente OVHcloud. Qui sotto trovi una schermata dell'ultimo step necessario per completare questa operazione. Durante questo step puoi selezionare la versione di PHP che vuoi utilizzare:

Importante: prima di effettuare questa modifica è necessario aggiornare la tua versione di WordPress, i tuoi temi e le tue estensioni.

Per maggiori informazioni, consulta la nostra guida: Modificare la configurazione di un hosting Web
 

Esistono estensioni per proteggere WordPress?

Questa guida raccoglie le estensioni WordPress più diffuse, ovvero quelle che vengono aggiornate più frequentemente e che hanno dimostrato di funzionare correttamente fino ad oggi. Tuttavia, esistono molte altre estensioni altrettanto interessanti e performanti, che non sono incluse negli esempi di questa guida.
 

Come configurare il tuo WordPress interamente in HTTPS?

"Really Simple SSL" rileva automaticamente le impostazioni del tuo sito Web e lo configura in modo che funzioni con il protocollo HTTPS, il più utilizzato dai motori di ricerca.

Importante: è necessario aver precedentemente istallato un certificato SSL sull’hosting e averlo attivato. Non hai un certificato SSL?  Consulta la nostra guida per conoscere la procedura da seguire: Gestire un certificato SSL su un hosting Web

Nella Dashboard WordPress clicca su "Estensioni” e poi su "Aggiungi”. Inserisci "Really Simple SSL" nella barra di ricerca e clicca su "Installa adesso". Attendi qualche secondo e poi clicca su "Attiva".

A questo punto, puoi attivare il certificato SSL. Per farlo, basta semplicemente cliccare sul pulsante "Attiva l’SSL" che comparirà:

Il certificato SSL è attivo di default sul tuo sito Web. Basterà quindi apportare alcune modifiche, come l'abilitazione del reindirizzamento 301 tramite .htaccess :

Dopodiché, installa le intestazioni di sicurezza consigliate per la connessione HTTPS, modificando il dominio .htaccess tramite FileZilla.

Ti ricordiamo che è possibile farlo anche da FTP Explorer: Accedere allo spazio di storage di un hosting Web

Una volta connesso, clicca con il tasto destro sul file.htaccess e poi clicca su "Visualizza/Modifica":

Una volta aperto il file in un editor di testo, è sufficiente copiare e incollare le seguenti righe di testo alla fine:

# Security Headers
Header always set Strict-Transport-Security: "max-age=31536000" env=HTTPS
Header always set Content-Security-Policy "upgrade-insecure-requests"
Header always set X-Content-Type-Options "nosniff"
Header always set X-XSS-Protection "1; mode=block"
Header always set Expect-CT "max-age=7776000, enforce"
Header always set Referrer-Policy: "no-referrer-when-downgrade"
Header always set X-Frame-Options: "SAMEORIGIN"
Header always set Permissions-Policy "geolocation=(); midi=();notifications=();push=();sync-xhr=();accelerometer=(); gyroscope=(); magnetometer=(); payment=(); camera=(); microphone=();usb=(); xr=();speaker=(self);vibrate=();fullscreen=(self);"
# End Security Headers

Nel file ".htaccess" situato nella directory principale del sito Web, il risultato sarà il seguente:

Importante: una volta copiate queste righe, non dimenticare di salvarle cliccando su "File" e poi su "Salva". A questo punto, clicca su FileZilla per confermare il pop-up che ti chiede di reindirizzare il file sul server. Altrimenti, le modifiche non verranno salvate.
 

Come attivare l'autenticazione a due fattori?

L'utilizzo convenzionale di un identificativo e di una password potrebbe non essere sufficiente ai fini della sicurezza. Le falle sono infatti ben note: password semplicistiche, talvolta identiche per più account, rinnovo non frequente o inesistente o addirittura archiviazione su un supporto non sicuro. Nonostante il livello di complessità della password, è comunque possibile subire un attacco da parte di un hacker.

L'attivazione di un processo di autenticazione a due fattori (2FA o Two Factor Authentication) migliorerà la sicurezza di accesso all’interfaccia di amministrazione. Il processo è molto semplice: oltre al classico utilizzo di un identificativo e di una password, ti verrà chiesto di autenticarti con un fattore aggiuntivo (codice a tempo, autenticazione tramite smartphone, SMS, passphrase). In questo modo, sarà possibile proteggere e tutelare l’accesso come amministratore, evitando di compromettere la sicurezza del sito Web.
Infatti, anche se un utente malintenzionato dovesse riuscire a recuperare la password in qualsiasi modo, la sicurezza dell’accesso non sarà compromessa.

L’autenticazione a due fattori può essere effettuata tramite l'applicazione Google Authenticator o qualsiasi altra applicazione equivalente.
Durante la creazione del tuo account, comparirà sullo schermo un codice QR. A questo punto, non dovrai fare altro che scannerizzare il codice con il tuo smartphone tramite l'applicazione Google Authenticator. Nell’applicazione comparirà quindi un nuovo record che genererà un codice (di default a 6 cifre) che cambierà ogni 30 secondi. Questo codice dovrà essere inserito al momento dell’autenticazione nell’interfaccia di amministrazione.

Un'estensione completa ti permetterà di gestire diverse modalità di autenticazione sul tuo sito Web, sia per gli amministratori che per gli utenti che possiedono un account. L'estensione miniOrange di Google Authenticator è disponibile a questo indirizzo: https://it.wordpress.org/plugins/miniorange-2-factor-authentication/

Ecco come attivare la doppia autenticazione per l'account amministratore (accessibile con un account non a pagamento):

• Accedi all'interfaccia dedicata con l'account amministratore.
• Clicca sul pulsante "miniOrange 2-Factor".

• Clicca su "Configure" (Configurare) con il metodo di autenticazione "Google Authenticator".

• Nel primo step del processo di configurazione, seleziona l'applicazione che utilizzerai sul tuo smartphone per generare la serie di numeri. Una volta selezionato il metodo, scannerizza il codice QR con il tuo smartphone tramite l'applicazione Google Authenticator.

• Assegna un nome e poi passa allo Step 2 della verifica inserendo il codice generato dall’applicazione mobile.
• Se l’operazione è stata completata correttamente, apparirà una finestra per confermarti che l’autenticazione a due fattori è stata attivata sul tuo account.

Come verificare lo stato di salute di un sito Web?

Nella colonna a sinistra della Dashboard WordPress, seleziona "Strumenti" e clicca su "Salute del sito". Questa sezione non è un'estensione, ma è integrata di default a WordPress e può avvisarti di eventuali problemi di performance o sicurezza sul tuo sito.

Per testare le tue intestazioni di sicurezza, clicca qui: https://securityheaders.com/

Come configurare Wordfence in WordPress?

Wordfence include un firewall e uno scanner di malware che sono stati concepiti appositamente per proteggere WordPress.

Clicca su "Attiva", per salvare questa estensione. Se non hai un account Wordfence, clicca su "Get Your Wordfence Licence". Verrai quindi reindirizzato al sito dell’editor dell'estensione per creare il tuo account:

Seleziona la versione "Free" sul sito dell’editor. Dopodiché clicca su "Get a Free Licence". Nella finestra che appare, clicca su "I'm OK waiting 30 days for protection from new threats".

A questo punto, apparirà una nuova finestra con l'URL del tuo sito WordPress. Inserisci il tuo indirizzo email e seleziona la casella di spunta per accettare le Condizioni Generali di Utilizzo:

In seguito, un nuovo messaggio ti informerà che hai ricevuto un'email:

Aprila e clicca sul link per completare la creazione del tuo account (verrai reindirizzato direttamente all'interfaccia di amministrazione di WordPress). A questo punto potrai confermare la chiave di licenza inserita nei moduli:

È possibile effettuare questa operazione anche manualmente copiando la chiave inclusa nell'email di registrazione.

Il firewall, chiamato anche WAF (Web Application Firewall), passa in modalità apprendimento. Questo step può durare diverse decine di minuti.

Nel frattempo, clicca su "Clicca qui per configurare”.

Scarica il backup del file .htaccess sul tuo computer e poi clicca su "Continua".

Come ottimizzare le impostazioni per proteggersi dagli attacchi brute force?

Nella sezione Wordfence, nella colonna di sinistra della Dashboard, clicca su "Firewall" e poi seleziona "Manage Firewall”.

Clicca su "Manage Firewall" e poi su "Brute Force Protection"( nella parte inferiore della nuova pagina).

Ecco le impostazioni consigliate:

• Lock out after how many login failures (numero massimo di errori di connessione prima di vietare l’accesso all'utente): 2.
  Per evitare questo tipo di errore, ti consigliamo di utilizzare un gestore di password.
• Lock out after how many forgot password attemts (numero massimo di tentativi di reimpostazione della password prima di vietare l’accesso all’utente): 2.
• Amount of time a user is locked out (periodo di tempo in cui l’utente non potrà effettuare l’accesso): 2 months (2 mesi).
• Immediately lock out invalid usernames (blocco istantaneo degli utenti che si connettono con un nome utente WordPress inesistente).

Se per errore dovessi vietare l’accesso a te stesso durante la connessione alla Dashboard, riceverai un'email all'indirizzo inserito in Wordfence. In questo modo, potrai interrompere il divieto e provare ad accedere nuovamente.

Se hai bisogno di una protezione equivalente per i tuoi siti Web (diversi da WordPress) ti consigliamo di leggere il nostro articolo link sulla nostra opzione "CDN Security".

Le best practice da adottare per garantire la sicurezza di un sito WordPress

• Mantieni aggiornato il tuo CMS, le estensioni e i temi.
• Configura WordPress per rendere automatici questi aggiornamenti.
• Assicurati che tutte le pagine siano accessibili in TLS/SSL e che il tuo certificato sia valido.
• Imposta un secondo fattore di autenticazione per gli account critici.
• Verifica regolarmente lo stato di salute del tuo sito.