Spesso mi chiedono se WordPress sia sicuro. La risposta, come spesso accade, è: “Dipende…”. WordPress è sicuro se si seguono i 4 punti fondamentali che ti illustro nell’articolo, altrimenti…

Il vantaggio di WordPress è quello di permettere al cliente di autogestirsi il sito, a differenza di un software proprietario che legherebbe il cliente all’agenzia che lo ha realizzato. WordPress è un software opensource, il più utilizzato per la realizzazione di siti web ed e-commerce; essendo una piattaforma standard, dunque, qualsiasi agenzia (che sappia lavorare con WordPress) può prendere in mano il sito di un cliente anche se realizzato da altri.

La tesi dei detrattori 

Alcuni detrattori sostengono che i software proprietari siano più sicuri dei software opensource, perché il codice sorgente, non essendo pubblico, risulta più protetto, a differenza invece dei software opensource il cui codice sorgente è di pubblico dominio.

In realtà è proprio questo che rende sicuro un software opensource, il fatto cioè che ci sia una grande comunità di persone che possono analizzare costantemente il codice, trovare eventuali falle e quindi chiuderle.

Ci sono infatti continui rilasci di nuove versioni di WordPress, sviluppati proprio per migliorare costantemente la piattaforma sotto ogni punto di vista. Questi ad esempio sono i rilasci della 5.3, a cui sono seguiti quelli della 5.4,  5.5 e 5.6.

Da tutto ciò capiamo perché alla domanda “WordPress è sicuro?” la risposta è: dipende. Dipende infatti dalla cura e dell’attenzione che chi ha in gestione il sito ripone nell’installazione degli aggiornamenti di WordPress, man mano che questi vengono rilasciati.

Perché un sito in WordPress sia sicuro, quindi, è necessario aggiornarlo periodicamente, seguendo questi passi.

1 – Aggiornamento di WordPress

Il motore WordPress va aggiornato costantemente. Per farlo basta accedere periodicamente al back end del sito e verificare se ci sono aggiornamenti. Questa attività può essere svolta dal proprietario dal sito; l’operazione infatti non è troppo complessa, ma poiché in alcuni casi può dare dei problemi è buona norma, prima di procedere agli aggiornamenti, effettuare un backup completo del sito (vedi punto 4).

Se invece si preferisce delegare l’agenzia la questioni della sicurezza e degli aggiornamenti è possibile stipulare un contratto di manutenzione.

2 – Aggiornamento plugin di WordPress

Oltre a WordPress, occorre aggiornare anche i plugin, ovvero le componenti aggiuntive che possono svolgere determinate funzioni.

Effettuare l’aggiornamento è abbastanza semplice: dal back end di WordPress basta cliccare su Aggiornamenti, selezionare i plugin da aggiornare ed effettuare l’aggiornamento. L’operazione è solitamente meno invasiva dell’aggiornamento di WordPress, ma anche in questo caso è sempre meglio effettuare un backup prima (vedi punto 4).

3 – Plugin di Sicurezza

Abbiamo accennato ai plugin, bene: per rendere WordPress sicuro è necessario installare un plugin deputato al controllo della sicurezza del tuo sito. Uno dei più utilizzati e che mi sento di consigliare è Wordfence Security  Wordfence Security – Firewall & Malware Scan

wordfence

4 – Back up del Sito

Ultimo, ma non meno importante, è il backup del sito. Questa operazione è da eseguire prima di effettuare aggiornamenti di WordPress e dei plugin, in modo da poter ripristinare la situazione in caso di malfunzionamenti che potrebbero verificarsi a seguito degli aggiornamenti. Anche in questo caso ci viene in aiuto un plugin:  UpdraftPlus WordPress Backup Plugins

Nella configurazione del plugin è consigliabile avere almeno 4 copie del sito con cadenza settimanale, se parliamo di un sito che non subisce molti aggiornamenti, mentre se si tratta di e-commerce con parecchi movimenti giornalieri, occorre studiare una strategia di backup volta alla salvaguardia dei dati, dove il backup può essere effettuato anche più volte al giorno.

Sì, il tuo sito WordPress può essere sicuro

Ecco dunque che se andiamo a seguire queste 4 procedure, possiamo affermare con certezza che il nostro sito WordPress è sicuro. Considerate questa parte come una base di partenza, da cui poter andare a eseguire ulteriori passi molto più complessi, come l’hardening del sito o la blindatura dei file .htaccess… ma ricordate una cosa:

La parte debole del sistema è quasi sempre l’utente.

Inutile avere un sistema super blindato e poi utilizzare come password 123456789 :-)

About the Author: Riccardo Giletta

Opera nel settore informatico dal 1989 come sistemista e project manager. È stato responsabile della sala macchine di Banca Sella e del gruppo che la gestiva. Ha esperienza nella gestione di grandi parchi di server con particolare attenzione alla sicurezza, ai livelli di servizio e alla business continuity. In Oplà si occupa di Wordpress, SEO e analisi dei dati.

Se ti è piaciuto questo articolo, condividilo!

Scriviamo anche noi una newsletter ;-)

Diciamo la verità: non abbiamo più voglia di iscriverci all’ennesima, inutile newsletter. Infatti quella di Oplà è una email che inviamo di tanto in tanto, senza una particolare regolarità, ma solo quando abbiamo qualcosa di realmente utile e interessante da raccontare. Quindi, se ti va, iscriviti!

Grazie! Abbiamo registrato la tua iscrizione.
Purtroppo si è verificato un errore, ti va di riprovare?