Con questo articolo vorrei inaugurare una serie di “pillole” sulla questione della sicurezza dei siti realizzati con WordPress. Tempo fa ne scrissi un altro che ha fatto da “apripista”, ma data l’importanza del tema ho deciso di approfondire dividendo l’argomento in più “saggi”.
Innanzitutto, devi sapere che WordPress è il CMS più utilizzato: alla data attuale (gennaio 2014) viene scelto al 60% tra tutti i Content Management System, mentre il 21% di tutti i siti esistenti sul pianeta (ce ne sono anche al di fuori?) è stato realizzato con WordPress.
Numeri come questi, oltreché impressionanti, la dicono lunga sull’affidabilità, l’efficienza e la fiducia che noi sviluppatori web riponiamo in questo CMS. Da un lato però, sollevano anche serie preoccupazioni: così “immenso”, risulta anche un enorme “bersaglio” per gli hackers o altri sistemi gestiti da malintenzionati.
Fortunatamente, gli sviluppatori al lavoro su WordPress sono sempre molto attenti e rapidi nel rilevare possibili falle e correggere eventuali bugs. Lo attesta l’alta frequenza degli aggiornamenti (anche 6 o 7 l’anno). Ma non basta! Anche noi dobbiamo garantire sui nostri siti la corretta “formula” di protezione, soprattutto su questioni che esulano da WordPress stesso (come ad esempio la scelta dell’hosting).
Ho deciso così di raccogliere in questa serie di articoli tutti i know-how che ho sviluppato in questi entusiasmanti anni di sviluppo e design di siti con WordPress. Citerò gli articoli dei massimi esperti sul tema, approfondendoli con appunti e note personali presi da casi reali sui quali ho lavorato. Parlerò anche delle migliori guide e dei manuali che ho letto nel tempo.
Come sempre, la mia intenzione è migliorare e ampliare la documentazione carente che esiste, purtroppo, in lingua italiana.
Il rischio è sempre presente
Parto già dicendoti una cosa certa: non sarai mai sicuro al 100%! La creatività e il talento degli hackers corrono sullo stesso binario della crescita e dell’innovazione tecnologica. Nessuno potrà mai venderti un prodotto chiamandolo “sicuro al 100%” senza al tempo stesso mentirti. Tutto quello che puoi fare è abbassare drasticamente la soglia del rischio.
Sembrerà banale, ma la prima cosa che consiglio è anche quella più intuitiva: tieni costantemente aggiornato il sistema! Fai sempre l’update di WordPress: non ci sono solo nuove features e innovazioni grafiche ogni volta che esce una nuova versione. Aggiorna sempre anche tutti i plugin e i temi installati, perché un plugin o un tema disattivato (ma ancora presente nel sistema) possono rappresentare un “varco” per possibili malintenzionati: cancella quelli che non usi più, inutile tenerli lì ad arrugginire. E quando lo fai, elimina anche i files collegati, cioè quelli che si trovano nella cartella FTP: può essere che un plugin ben realizzato faccia quest’ultimo passaggio da solo nel momento in cui lo cancelli, ma è sempre bene controllare!
Il secondo passaggio “obbligato” è avere una password più che efficace: tra il tuo appartamento e il mondo esterno installeresti mai una semplice zanzariera? No, vorresti di sicuro la miglior porta blindata in circolazione. E mentre stai pensando alla più inossidabile serratura che artigiano abbia mai creato, sappi che la stessa scelta la devi fare per il tuo sito.
Scegli quindi una password difficile da interpretare: inserisci i numeri, mescola le maiuscole e le minuscole, utilizza simboli e spazi (#, %, *, @). Una password deve essere sufficientemente lunga (almeno 10-15 caratteri) e unica: non usare mai quella che hai già scelto su altri servizi. Non usare parole o frasi strettamente collegate alla tua persone (la tua data di nascita, il tuo cognome, ecc.), perché potranno essere facilmente intuibili.
Pazienza quindi se da qui in avanti dovrai ricordarti 200 password diverse (magari segnatele in qualche luogo sicuro), ne varrà comunque la pena. Se sei più comodo, usa un tool online come questo per la creazione delle tue password.
Inoltre, è inutile avere una password a prova di bomba se gli altri utenti del tuo sito ne possiedono una debole: è come avere una porta blindata in titanio e di fianco un bel buco nel muro. Presta attenzione a chi interagisce e si iscrive al tuo sito, sii un attento “padrone di casa” e non consegnare ad altri ruoli importanti (come amministratore) se non strettamente necessario. Assicurati che gli altri utenti siano prudenti nell’utilizzo del sito così come lo sei tu, ed elimina sempre quelli che sai già non interagiranno più.
Il danno non sempre si vede
Purtroppo non tutte le volte che il tuo sito viene attaccato troverai un festone decorativo ad avvertirti dell’intrusione. Quasi sempre invece, il codice estraneo viene inserito ed istruito per lavorare in sottofondo senza che tu te ne accorga. Potrebbe essere in atto anche ora mentre scrivo, sul mio o sul tuo sito. Per essere sempre informati, è necessario dotarsi di abili sistemi di individuazione: ne parleremo assieme nei prossimi capitoli.
“Backuppare” regolarmente
Un amico con la passione della moto una volta mi disse:”Esistono al mondo due tipi di motociclisti: quelli che sono caduti, e quelli che devono ancora cadere”. Seppur molto meno drastico nel nostro caso, la stessa cosa si può dire dei siti: ci sono quelli che almeno una volta sono “saltati per aria”, e quelli per il quale deve ancora succedere. Nessun problema, se stiamo attenti e ci mettiamo il “casco”, quando qualcosa andrà storto (e fidati, prima o poi capiterà) non saremo impreparati! La prima cosa da fare è ripristinare alla svelta la situazione: serve allora un’efficiente strategia di backup: fare ogni tanto la copia del solo database non basta, perché ti servono anche tutti i file dentro la cartella FTP in modo da poter ricostruire completamente il tuo sito.
C’è chi si affida per questo ad un programmato “backup manuale”. La cosa può anche funzionare, ma alla lunga prima o poi te ne dimenticherai: i tuoi progetti cresceranno di numero, mentre il tuo tempo al contrario diminuirà. Acquista allora sul tuo hosting un servizio di backup completo (molti assicurano solo il database), oppure usa un plugin che esegua questa operazione in automatico. Ne esistono di ottimi: vedremo quali sono quelli che possono farti risparmiare un sacco di tempo, in grado di funzionare in concomitanza a servizi di terze parti come Dropbox (spediscono i files di backup direttamente nella tua cartella privata!).
Rimani aggiornato!
Se vuoi quindi rimanere aggiornato sui prossimi articoli e scoprire tutti i trucchi del mestiere per manetenere protetto, sicuro ed efficiente il tuo sito, iscriviti alla Newsletter!