Come proteggere un sito WordPress – Intervista a Egidio Imbrogno

Ben ritrovati su questi lidi!

Ho il piacere di ospitare sul mio blog Egidio Imbrogno, project manager ed esperto SEO – nonché collaboratore di SOS WP – che si occupa di consulenza SEO, assistenza e formazione per conto di web agency italiane ed estere fin dal 2006.

Egidio ha accettato di porsi davanti ai miei microfoni digitali per raccontare qualcosa sulla sua esperienza SEO e per offrirci alcuni consigli su come gestire nella massima sicurezza i nostri siti WordPress.

Pronti?

Quali sono i pregi di WordPress rispetto ad altri CMS in fatto di sicurezza? E i contro?

WordPress è uno dei CMS open source più diffusi in assoluto, per tante ragioni e la sicurezza è un punto chiave. Come tutti i CMS è soggetto ad attacchi “di massa” da parte di hacker che cercano di sfruttarne le vulnerabilità, ma la community e gli sviluppatori sono molto attivi da questo punto di vista e prendono la cosa molto sul serio. Il principale pro, dal mio punto di vista, è proprio questo. Un altro vantaggio in termini di sicurezza è il fatto che ci sono tanti plugin, gratuiti o a pagamento, che possono essere installati ed utilizzati per rendere un sito o un blog il più possibile sicuro.

Dal punto di vista dei contro, non ne vedo in maniera particolare: è un CMS e, in quanto tale, è soggetto ad attacchi esattamente come i suoi competitors. Differente sarebbe, se il CMS non fosse open source ma proprietario e quindi costruito da zero.

Quali problematiche relative a WordPress riscontri più frequentemente? Quali andrebbero sicuramente risolte e ancora non lo sono state?

Uno dei problemi più pesanti da risolvere è il famoso “schermo bianco della morte”, soprannominato così perché il sito smette di essere visibile e non compare nessun errore. E’ una cosa che fa impazzire molti e nella maggior parte dei casi la causa è da ricercare in un errore del PHP Memory Limit (quindi bisogna indagare in direzione del server). Ecco, se fosse possibile avere una migliore gestione della memoria da parte del CMS sarebbe decisamente utile.

Un errore particolarmente noioso è quello del “Sei sicuro di volerlo fare?” . In pratica, quando si scrive un testo in WordPress e si clicca per salvare in bozza o per pubblicare, WordPress ci ridà questo errore e, anche se si cerca di tornare indietro, tutto quello che si era scritto è perduto. Si tratta di un problema legato ai “nonce”, delle chiavi speciali di sicurezza che il CMS utilizza. In questo caso, nella maggior parte delle volte, è legato ai temi o ai plugin. Una soluzione più “ortodossa” consiste nell’aprire un’altra pagina della sezione di amministrazione del nostro sito, in un’altra scheda dello stesso browser, verificare che si aggiorni senza errori e solo poi tornare sulla pagina con il testo per salvare il lavoro. Ovviamente, un copia – incolla, o la redazione del testo su un software di scrittura, sono soluzioni ancor più sicure per avere, lì da parte, una copia di quello che si è scritto, pronto da usare in caso di errore. Una gestione diversa del nonce potrebbe aiutare, e non poco.

Una lista dei 10 errori più comuni nella gestione di un sito WordPress?

1.  Non dare troppo peso alla sicurezza, purtroppo è una cosa che in tanti fanno. WordPress mette a disposizione gli strumenti giusti, sta a noi usarli;
2.  Non aggiornare WordPress o i plugin. Dal punto di vista della sicurezza, è l’errore più grande: si dà sempre per scontato che al nostro sito non possa accadere nulla, ma non è così;
3.  Usare username e password non complessi. Un errore molto grave è quello di usare “admin” come nome utente (o qualcosa di simile, come amministratore) e una password non complessa. Questo apre ad attacchi e potenziali rischi;
4.  Non fare i backup degli articoli. Anche qui ci sono i plugin giusti, che fanno addirittura i backup in maniera automatica, tutto sta ad implementarli;
5.  Installare temi “taroccati”. A volte, per risparmiare poche decine di euro, si decide di non comprare un tema WordPress o un plugin, e si opta per soluzioni gratuite, scaricate chissà dove. Questo mette in serio pericolo la sicurezza di tutto il nostro sito, quando va bene, e potrebbe addirittura creare problemi al web server, se le cose dovessero mettersi male. Meglio andare sul sicuro e fare quell’investimento di poche decine di euro;

Quali plugin reputi più efficaci per proteggere i siti WordPress da attacchi di malintenzionati?

Il migliore in assoluto è Wordfence, (https://tah.wordpress.org/plugins/wordfence/) altamente consigliato: permette di proteggere da accessi indesiderati, effettua blocchi per IP, fa delle scansioni di sicurezza di tema e file alla ricerca di potenziali rischi, opera da firewall e tanto altro. E’ un “must have” anche sui blog più piccoli.

Un’alternativa valida è Sucuri (https://tah.wordpress.org/plugins/sucuri-scanner/), che opera come scanner di malware, controllo blacklist di accesso, controllo dell’integrità dei file e firewall.

Bulletproof Security (https://srd.wordpress.org/plugins/bulletproof-security/) è un altro plugin molto importante perché protegge da attacchi di tipo SQL Injection (i più pericolosi in assoluto), RFI, XSS e CRFL. Disponibile in versione gratuita o a pagamento, per avere sicurezza aggiuntiva.

Infine, consiglio Protect Your Admin (https://wordpress.org/plugins/protect-wp-admin/), un plugin che permette di modificare l’indirizzo web di accesso all’area riservata, dal classico “wp-admin” a qualcos’altro che si può scegliere in maniera autonoma.

Quali procedure consigli per mettere in sicurezza siti realizzati con WordPress?

A monte (possiamo chiamarlo il passo “zero”) metto l’installare sempre e solo temi e plugin scaricati da siti ufficiali, cercando di evitare sempre quelli presi da fonti non attendibili o da siti “strani”. In generale, non bisogna mai usare un tema o un plugin “craccato”, sia perché stiamo facendo qualcosa di illegale, sia perché ne va della sicurezza del nostro tema.

E’ fondamentale usare un nome utente differente dai soliti ed una password che contenga almeno 1 lettera maiuscola, 1 minuscola, 1 numero ed 1 carattere speciale (e che sia lunga almeno una decina di caratteri).

Ricordate anche, in fase di installazione, di cambiare il prefisso standard delle cartelle, da “wp_” a qualcosa di diverso, così che sia personalizzato.

Infine, come detto prima, bisogna installare tutti i plugin necessari per la sicurezza ed evitare accessi indesiderati.

Quali operazioni di routine consigli di compiere per garantire la sicurezza di un blog o sito?

Per prima cosa farei un controllo quotidiano dei report di Wordfence, in maniera tale da non riscontrare anomalie. Come secondo passaggio opterei per il backup dei nostri testi. Va bene anche un backup al giorno (o più frequentemente) a seconda di quanti articoli scriviamo, o facciamo scrivere, nell’arco di 24 ore.

Un terzo passaggio è quello di usare un plugin come Wordfence o Sucuri, alla ricerca di file corrotti o modificati.

Infine farei un controllo manuale andando in Google e cercando “site:miosito.it”, poi uno spazio e poi cercherei parole a luci rosse o di medicinali, per avere la sicurezza che il sito sia pulito.

Alcuni consigli generici nella gestione di un sito WordPress?

Oltre che tutti i discorsi sulla sicurezza che abbiamo visto fino ad ora, in termini di gestione pratica del sito WordPress, il mio consiglio è quello di fare un uso accorto di tag e categorie. Ho anticipato il concetto qualche domanda qui sopra e ora aggiungo che i siti fatti con WordPress, soprattutto all’inizio con pochi contenuti, tendono ad avere meglio indicizzate le categorie e le raccolte tag, a discapito del post. Nel medio / lungo periodo questo è deleterio, perché, dal punto di vista dell’utilità per l’utente, è indubbiamente meglio leggere il contenuto di un articolo che quello di una categoria o di un tag, che costringe anche ad un altro click per arrivare al testo vero e proprio, e Google questo lo sa.

Dal punto di vista della gestione, inoltre, consiglio di prestare attenzione alla scelta del server, che deve essere performante e adatto agli obiettivi che ci si pone: l’hosting condiviso, benché più economico, non va certamente bene per ogni esigenza.

Quanti plugin al massimo consigli di installare per evitare di avere inefficienze o problemi?

Il meno possibile, ma non c’è un limite massimo, dipende tutto dalle funzionalità di cui si ha bisogno. Bisogna considerare che ogni plugin va a richiamare i suoi file css e i suoi javascript, di conseguenza più se ne richiamano e più il sito si caricherà lentamente.

Periodicamente consiglio una revisione dei plugin che si usano, in maniera tale da andare a vedere se quelli installati ed attivati sono ancora necessari o se possono essere cancellati.

I famigerati pallini colorati di Yoast: come andrebbero correttamente interpretati? Come possono davvero aiutare i blogger?

La diatriba è aperta da molto tempo. Diciamo che i pallini di Yoast possono essere di aiuto per i principianti e permettono di avere delle indicazioni guida molto generali in termini di ottimizzazione di un testo. Ma pensare di posizionare un testo basandosi solo ed esclusivamente su di essi rischia di far prendere una cantonata terribile, e lo stesso vale per chi ottimizza i propri contenuti solo ed esclusivamente sulla base di quello che dice Yoast.

Come ogni cosa, l’utilità di uno strumento dipende esclusivamente dall’uso che se ne fa.

Grazie mille per questa chiacchierata, a presto!

Post simili:

Migrazione di un sito: i falsi miti SEO (Google Webmasters) Il ruolo di Google Search Console in un progetto SEO – Intervista a Paolo Marzano Tag e Categorie WordPress: come ottimizzarli al meglio Chat per sito web: vantaggi e svantaggi delle live chat (di Valentina Iannaco) Casi studio – Come risolvere i problemi comuni che affossano il posizionamento del sito [Case Study] Come ho aumentato dell’800% i visitatori del mio sito (di Dario Scarano) Strategie SEO e di email marketing – Intervista a Maura Cannaviello Recensione “SEO Per WordPress Guida Base” di Valerio Novelli Come posizionarsi su Google News – Intervista a Isan Hydi Come proteggere un sito WordPress – I consigli di Calogero Flavio Albano