La checklist di sicurezza: 4 cose da considerare prima di avviare il tuo sito WordPress

Sia che tu crei il tuo sito Web utilizzando i nostri migliori temi WordPress professionali o che qualcun altro lo faccia per te, la sicurezza del tuo sito dovrebbe rimanere sempre in cima alla tua lista di priorità.

Ma, come molti proprietari di siti sanno dolorosamente, c'è di più per mantenere un sito attivo e funzionante che aggiungere contenuto, elaborare ordini ed eseguire il piano di marketing.

Le violazioni della sicurezza possono variare da quelle fastidiose, come i messaggi di posta elettronica SPAM tramite i moduli di contatto, a quelle costose, come nei casi in cui il tuo sito è offline e non è in grado di guadagnare.

All'estremità più estrema dello spettro, una violazione della sicurezza può persino portare a risultati pericolosi, esporre le informazioni e compromettere ulteriormente la sicurezza online dei tuoi visitatori.

Fortunatamente, mantenere un sito Web sicuro e protetto non deve essere costoso o dispendioso in termini di tempo. Decine di migliaia di altri proprietari di siti Web danno la massima priorità alla sicurezza del proprio sito e, nel mercato libero, ciò significa tutta una serie di plug-in e servizi tra cui scegliere.

Si combinano per mantenere il tuo sito online e mantenere la fiducia dei visitatori, indipendentemente dai cattivi attori che potrebbero inviare nella tua direzione. Questo articolo descrive in modo specifico l'elenco di controllo di sicurezza prima di avviare un sito Web.

Ecco quattro importanti considerazioni da fare prima di mettere online il tuo sito. Si applicano anche se sei già online, poiché sono facili da implementare su siti esistenti e, quando si tratta di sicurezza del sito, è sempre meglio tardi che mai!

La checklist di sicurezza: 4 cose da considerare prima di creare un sito Web WordPress

1. Inizia con un plug-in di sicurezza All-in-One

Come accennato nell'introduzione, in un momento in cui esiste un plugin per WordPress per tutto, la sicurezza del sito non sarebbe mai mancata.

Secondo Security Week, 18,5 milioni di siti Web vengono infettati da malware in un dato momento. La stessa fonte prosegue affermando che un sito Web medio viene attaccato 44 volte al giorno.

Era il 2018 e con una media di mezzo milione di nuovi siti lanciati ogni giorno, i numeri sono impossibili da ignorare.

I nuovi proprietari di siti potrebbero potenzialmente commettere l'errore di presumere che il loro sito non sia di alcun interesse per un potenziale aggressore. Tuttavia, vale la pena considerare che nessuno vuole gestire un sito che nessuno visita.

Sia che tu aggiunga il tuo URL ai materiali stampati, ottimizzi i tuoi contenuti per i motori di ricerca o gridi del lancio sui social media, l'obiettivo è solitamente quello di attirare l'attenzione del tuo pubblico di destinazione. Sfortunatamente, così facendo, è inevitabile che anche il tuo sito venga esposto ai bot.

Per la maggior parte, le violazioni della sicurezza del sito Web sono raramente manuali. Coloro che sono disposti a investire tempo e sforzi per entrare nel back-end di un sito quando di solito non dovrebbero identificare obiettivi specifici.

Invece, la maggior parte delle violazioni, specialmente sui siti più piccoli e più recenti, deriva da bot e script. Usano gli stessi motori di ricerca che usano gli utenti e spesso eseguono gli stessi schemi di attacco relativamente semplici con cui hanno avuto successo in passato.

La cosa buona dei modelli è che sono facili da identificare quando qualcuno sa cosa stanno cercando. Gli sviluppatori dietro i popolari plugin di sicurezza sono le persone perfette per il lavoro e analizzano questi tentativi per garantire una protezione solida.

Wordfence, iThemes Security e Sucuri sono tutte scelte immensamente popolari e ognuna vanta opzioni sia gratuite che a pagamento.

Naturalmente, l'aggiornamento a pagamento spesso vale la pena, ma se hai un budget limitato o vuoi aspettare di vedere come si comporta un sito prima di investire ulteriormente, le versioni gratuite sono infinitamente meglio di niente.

2. Assicurati di aver installato la crittografia SSL sul sito

Una delle cose più importanti della checklist di sicurezza è la crittografia SSL. Alcuni proprietari di siti potrebbero ritenere che l'installazione della crittografia SSL sia una sfida tecnica. Tuttavia, gli host web ora semplificano il più possibile la configurazione di questa funzionalità su un sito Web WordPress.

Alcuni host lo rendono possibile con un solo clic e assicurano che il tuo certificato rimanga valido per sempre. Nel peggiore dei casi, è solo necessario seguire alcune istruzioni e copiare e incollare un paio di chiavi di sicurezza. Soprattutto, vale la pena farlo.

Come spiegato più dettagliatamente da Kaspersky , un certificato SSL garantisce che le connessioni tra siti Web e visitatori siano protette.

Un tempo considerato essenziale solo per coloro che elaboravano transazioni finanziarie sui loro siti Web, SSL è ora praticamente uno standard a sé stante e si traduce in una protezione HTTPS su tutte le comunicazioni.

Infatti, se un sito afferma nel suo codice di avere un certificato ma sembra essere un errore nella sua legittimità, browser come Google Chrome visualizzeranno un avviso a tutta pagina, consigliando a un potenziale visitatore di tornare indietro.

Naturalmente, molti utenti utilizzeranno anche una VPN per proteggere le proprie comunicazioni con un sito, ma questa non è una scusa per rinunciare alla protezione HTTPS.

Sebbene vi sia una chiara differenza tra HTTPS e una VPN, la prima spetta al proprietario del sito da implementare, mentre la seconda è un ulteriore livello di protezione da parte del visitatore.

La legislazione online si sta evolvendo rapidamente e la privacy online è un argomento caldo da diversi anni. Possedendo un sito Web, un individuo ha la responsabilità di fare il possibile per proteggere le informazioni dell'utente.

Questo non deve essere costoso o tecnicamente impegnativo, ma un proprietario responsabile del sito dovrebbe, almeno, assicurarsi di aver adottato ragionevoli precauzioni per proteggere i dati.

L'integrazione SSL è un passaggio fondamentale per farlo. Tale precauzione è considerata anche da Google un fattore di ranking e l'aggiunta di uno potrebbe comportare un leggero aumento delle prestazioni di ricerca.

3. Proteggi la pagina di accesso

A meno che non ci siano errori più gravi nel modo in cui è stato progettato un sito Web, o non sia in corso un attacco più mirato, come un DDOS (Distributed Denial-of-Service), la maggior parte degli aspiranti aggressori richiede l'accesso all'area di amministrazione back-end di un WordPress installazione per causare gravi danni.

Un piccolo inconveniente di WordPress è che la pagina di accesso predefinita è solitamente la stessa su ogni sito, con '/wp-admin/' aggiunto al dominio principale.

Quei bot e script che abbiamo menzionato in precedenza sono condizionati a tentare di accedere a questa pagina come standard. Una soluzione rapida per ridurre la loro potenza è semplicemente spostarla.

Hai il vantaggio di poterlo aggiungere ai segnalibri, annotarlo o cambiarlo tutte le volte che preferisci. Se cambiato in una posizione casuale, un attacco automatizzato avrebbe altrettanta difficoltà a trovare la pagina quanto a elaborare la password.

Molti dei plug-in di sicurezza menzionati in precedenza consentono agli utenti di modificare la propria pagina di accesso predefinita con pochi clic. È anche possibile codificare manualmente la modifica utilizzando CSS e plugin indipendenti come LoginPress.

Durante questo passaggio, ha anche senso ricontrollare le tue credenziali. Prima che un sito venga pubblicato, si è tentati di rendere la procedura di accesso il più semplice e lineare possibile.

Tuttavia, quando un sito si apre al mondo, è altrettanto interessante rendere la vita più difficile agli aspiranti attaccanti.

Assicurati di utilizzare una password complessa per ogni account con privilegi di accesso e salvala potenzialmente con un gestore di password come LastPass o RoboForm . Cerca di evitare anche nomi di accesso ovvi: 'admin', 'editor' e il nome del sito dovrebbero essere tutti evitati.

Ricorda, il nome aggiunto ai post non deve essere lo stesso del nome utilizzato per accedere, quindi non preoccuparti di renderlo pubblicamente visibile.

4. Organizzare backup regolari

Se la protezione di un sito Web WordPress fosse un lavoro rapido, facile e infallibile, nessuno si preoccuperebbe di eseguire le decine di milioni di attacchi automatizzati che si verificano ogni giorno.

Ma, sfortunatamente, a volte ci sono lacune nella sicurezza, mentre in altri quegli script sono particolarmente fortunati. Pertanto, ha senso mantenere backup regolari del tuo sito e, soprattutto, conservarli in un luogo diverso dal server.

I backup combattono anche uno degli elementi più spesso trascurati nella protezione di un sito Web: l'errore dell'utente. Anche i proprietari di siti Web più esperti sbagliano e un semplice clic errato può facilmente compromettere difese altrimenti robuste.

Anche prendere l'abitudine di backup regolari riduce al minimo i danni nei casi oltre la sicurezza. I siti che interrompono e diventano irrecuperabili sono rari e poco preoccupanti, ma quando una specifica modifica del codice può eliminare un sito Web di grandi dimensioni, spesso può essere più facile ripristinare le modifiche piuttosto che richiedere tempo per identificare il problema.

Ciò può significare perdere alcuni giorni di raccolta e pubblicazione dei dati, ma spesso è un piccolo prezzo da pagare in cambio di un sito Web senza compromessi.

Non sorprende che i plugin siano spesso la soluzione migliore qui ancora una volta. Il backup di Updraft Plus è senza dubbio il più popolare.

Sebbene ci sia sicuramente una curva di apprendimento per ottenere il massimo da esso, il plug-in si adatta bene alle sue controparti di sicurezza nell'offrire versioni sia gratuite che a pagamento con il primo che fa un ottimo lavoro sui nuovi siti.

Inoltre, può essere configurato per eseguire il backup di interi siti e quindi inviarli tramite e-mail o archiviarli in uno dei numerosi account di archiviazione cloud.

Nel complesso, un ottimo sito Web WordPress non solo cattura l'attenzione e incorpora contenuti straordinari, ma mette la sicurezza di se stessi e dei loro visitatori in cima alla lista delle priorità.

L'articolo riguarda l'elenco di controllo di sicurezza prima di avviare il tuo nuovo sito Web. Con così tanti plugin là fuori che sono facili da usare e configurare come i nostri, anche i principianti virtuali di WordPress possono creare un sito sicuro e pronto per il lancio.