▾ G11 Media Network: | ChannelCity | ImpresaCity | SecurityOpenLab | GreenCity | Italian Channel Awards | Italian Project Awards | ...

Sicurezza WordPress, il Toolkit RocketWeb

Quando ci si trova a gestire uno o più siti WordPress, i compiti più importanti di cui un webmaster deve occuparsi sono due: rendere il sito performante e garantirne la sicurezza. In questo articolo ci occuperemo del secondo aspetto, riservando l’argomento sulle performance per la prossima puntata.

Prodotti
Quando ci si trova a gestire uno o più siti WordPress, i compiti più importanti di cui un webmaster deve occuparsi sono due: rendere il sito performante e garantirne la sicurezza.
In questo articolo ci occuperemo del secondo aspetto, riservando l’argomento sulle performance per la prossima puntata.
wordpresssecurity1

Per mettere in sicurezza Wordpress, se non si dispone delle tecnologie giuste, efficienti e comode da utilizzare con pochi click, tutte le attività volte alla protezione dei propri siti in hosting diventano davvero poco agevoli e aumentano notevolmente le possibilità di incappare in fastidiosi contrattempi.
La bella notizia è che non bisogna necessariamente impazzire dietro a complesse best practices… è sufficiente scegliere un buon fornitore che abbia a disposizione avanzati sistemi di backup e strumenti che automatizzino i processi di messa in sicurezza, come ad esempio propone il provider CoreTech con il piano RocketWeb Hosting.

Il servizio si basa su tecnologie CloudLinux e Plesk Onyx, grazie alle quali è possibile una personalizzazione completa del piano sottoscritto. È importante sottolineare che i piani RocketWeb sono concepiti appositamente per garantire le performance di un sito web, grazie alla scalabilità lineare e granulare delle risorse messe a disposizione dalla piattaforma. Come anticipato, tratteremo l’argomento nei prossimi articoli dedicati alle performance.
wordpresssecurity3
Una volta attivato l’account di Plesk, direttamente dal proprio pannello vi è l’interfaccia del plug-in WordPress Toolkit: disponibile per ogni ambiente, permette di gestire qualsiasi installazione WordPress, aggiornamenti, aggiornamenti dei plug-in, aggiornamenti dei temi ed infine, ma non meno importanti, tutti gli aspetti legati alla sicurezza di un sito internet. La sua importanza e peculiarità sta nel fatto che non può essere sostituito dai classici plug-in installati ed integrati dentro al proprio sito di WordPress perché lavora ad un livello superiore, ovvero a livello server.
Utilizzare WordPress Toolkit in fase di setup e di messa in sicurezza del sito WordPress, significa risparmiare almeno un’ora di lavoro! Di seguito tratteremo alcune delle sue più importanti funzionalità.


Aggiornamento del sistema, dei temi e dei plug-in
Il sistema deve essere aggiornato non appena possibile: controllare lo stato degli update e, con pochi click, eseguirli in modalità centralizzata senza dover necessariamente accedere ad ogni singolo sito, non è mai stato così semplice.
wordpresssecurity4
Il WordPress Toolkit consente inoltre di installare plugin e temi in uno o più siti di WordPress. Di norma, consigliamo di utilizzare solo solo temi e plugin provenienti da sviluppatori affidabili e di competenza comprovata. Se gli update sono disponibili, è meglio aggiornarli il prima possibile e solo dopo aver effettuato un backup dato che talvolta possono verificarsi problemi al corretto funzionamento del sito.

WordPress Hardening: Login, Tabelle, Permessi, File Browsing
Con WordPress, è possibile proteggere la pagina di login tramite password con un’ulteriore maschera di accesso - con nome utente e password definibili a piacere dall’utente - per limitare l’accesso alle cartelle e proteggerne i contenuti direttamente dalla pagina principale dell’account RocketWeb.
wordpresssecurity5
Se eseguite la login sempre dallo stesso indirizzo IP (lavorando con un IP statico) è possibile limitare l’accesso alla pagina di login solo ad uno o più specifici IP.
Il WordPress Toolkit è in grado di gestire anche la messa in sicurezza del database, cambiando i prefissi delle tabelle e verificando che vi siano chiavi di sicurezza configurate correttamente.


wordpresssecurity6
Ricordiamo poi che i file e le cartelle richiedono i giusti permessi - lettura, scrittura, esecuzione; una veloce verifica può aiutarvi a verificare che i permessi siano correttamente settati, evitando che i file possano essere usati per danneggiare il sito.
All’interno di WordPress ci sono due file importanti che meritano la dovuta attenzione per non incappare in problematiche legate alla vulnerabilità del sito. Il primo è readme.html che contiene informazioni sensibili sul sistema: il controllo di sicurezza verifica che tutti i file readme.html siano vuoti e che ogni tema abbia un file functions.php configurato in uno specifico modo.   Per evitare che chiunque, hacker inclusi, conoscano i dettagli sulla struttura del sito, il plug-in permette di verificare che l’esplorazione delle directory sull’installazione di WordPress sia disattivata.
Le cartelle /wp-content e /wp-includes contengono dei file .php che sarebbe meglio non rendere eseguibili. Inoltre, i file .php possono essere modificati all’interno di WordPress, esponendo il sito ad inutili rischi in tema di sicurezza. Con una semplice verifica, possiamo assicurarci che l’esecuzione di questo tipo di file sia disabilitata.

Il backup!
wordpresssecurity7

Dato per certo tutto quanto abbiamo scritto nei precedenti capitoli, senza un buon backup non vi è ancora di salvezza. Consigliamo di pianificare e di testare politiche ben strutturate e automatizzate soprattutto, che conservino con una certa cadenza le copie del database e dei file - i due macro-elementi che compongono un sito WordPress.
I parametri per la pianificazione sono svariati e si possono impostare direttamente dal pannello web: la frequenza del backup, i periodi di retention, backup completi o differenziali o backup manuali.
 
Ripristino di un sito infetto
Se gli sforzi non sono abbastanza e il sito viene infettato, a meno che non venga eseguita una reinstallazione totale di WordPress, l’operazione di ripristino e bonifica non è sempre alla portata degli utenti. Consigliamo di rivolgersi a dei professionisti o al proprio provider onde evitare futuri problemi, come ad esempio delle backdoor lasciate dagli hacker.
wordpresssecurity8
Se ci si vuole cimentare in un ripristino, per prima cosa occorre identificare l’infezione (e annotare come non ripetere una situazione simile). I log di sistema possono offrire indizi importanti sulla natura e sull’origine dell’infezione. Poi, appena possibile, cambiare la password, la quale dovrà essere cambiata nuovamente al termine delle operazioni.
In seguito contattare il provider: dalla nostra esperienza ricordiamo che, che nel caso di hosting condiviso, un problema relativo ad un singolo sito potrebbe essere in realtà un problema comune e riscontrato anche da altri utenti per il quale è già stata trovata una soluzione. In ogni caso la collaborazione con il provider, anche solo per informarlo dell’infezione, è utile.

Conclusioni
Seguendo le best practices discusse in questo articolo ed adottando sistemi che permettono di centralizzare in un’unica interfaccia tutti i propri siti web e di installare, configurare e gestire WordPress in modo semplice e sicuro, potrete ridurre sensibilmente le possibilità di incorrere in una situazione spiacevole.
Il WordPress Toolkit messo a disposizione da Plesk è uno di questi sistemi. In questo modo, non solo diventa possibile risparmiare molto tempo ma verranno ridotti anche i rischi sempre in agguato relativi ad errori o dimenticanze.
Tenete sempre conto che non è possibile essere del tutto al riparo: in quest’ottica, adottate sempre un piano di backup che consenta di eseguire un ripristino tempestivo del sito e ridurre il tempo di downtime.
hosting rocketweb
L’offerta web hosting di RocketWeb, la quale abbiamo più volte citato in questo articolo, è il solo piano hosting che può essere completamente personalizzato tramite un comodissimo configuratoreutilizza tecnologie leader di settore che consentono non solo una gestione immediata ed automatica per la sicurezza dei propri siti, ma rendono anche più performanti le prestazioni, grazie ad un’infrastruttura progettata ad hoc per chiunque sappia cosa gli serve e cosa vuole, senza scegliere a caso il provider internet per i propri progetti.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di ChannelCity.it iscriviti alla nostra Newsletter gratuita.

Notizie correlate

Iscriviti alla nostra newsletter

Mantieniti aggiornato sul mondo del canale ICT

Iscriviti alla newsletter