Sicurezza WordPress e non solo, ne parliamo spesso, leggiamo, ci studiamo su e troviamo soluzioni a volte adeguate e a volte insufficienti in alcune situazioni.
„La sicurezza assoluta per i nostri siti WordPress, Joomla o altro CMS probabilmente non esiste, esiste tenere aggiornati WordPress, Joomla e gli altri CMS ad ogni nuova release″
Quindi come possiamo proteggere il nostro sito anche quando la nostra versione di WordPress, di Joomla, Drupal o Magento ecce ecc è aggiornata ?
„Sono del personale parere che l’aspetto sicurezza sia una branca specifica e se devo essere sincero in progetti di una grande importanza ma anche di media importanza preferirei affidare la questione ad un team di professionisti specializzati solo in sicurezza”
Spesso si valutano diverse necessarie strategie legate a ciò che dovrà comunicare e vendere il sito.
L’ottica di partenza pone attenzione sul lato UX del sito, la sua indicizzazione e particolare lavoro per quanto concerne il lato SEO nell’ottica di ottenere successo nelle azioni di Web Marketing.
Bene, tutto molto bene…La strategia è fondamentale ! Ci sarebbe però a monte da considerare identica o meglio, maggiore importanza da dedicare alla sicurezza del sito web ovviamente anche questo ha un costo !
I dati parlano chiaro !
Secondo un’analisi eseguita tra il 2014 e 2015, su un campione di 5.500 aziende che comprendono 15.000 siti web e le scansioni eseguite su oltre 1,9 milioni di file, quasi la metà delle applicazioni web scansionate conteneva una vulnerabilità di alta sicurezza’ come XSS o SQL Injection, mentre oltre 4 su 5 applicazioni web sono state colpite da una vulnerabilità di sicurezza media.
Nel complesso, i risultati hanno confermato che le vulnerabilità delle applicazioni web pongono gravi minacce per la sicurezza complessiva delle aziende, come la perdita di dati o alterazione di questi, i tempi di inattività, la perdita di reputazione e spesso pesanti sanzioni.
„La Sicurezza del sito dovrebbe essere una priorità in qualsiasi organizzazione, ma rimane l’aspetto più trascurato da parte dell’azienda. Gli hacker continuano a concentrare i propri sforzi su applicazioni web-based poiché spesso non hanno accesso diretto ai dati back-end come i database dei clienti”
. Questo quanto emerso dall’analisi di Acunetix nella sua relazione.
Secondo il rapporto, sia le applicazioni web che server sono a rischio vulnerabilità di alta e media sicurezza. Quasi il 10 per cento dei server sottoposti a scansione sono stati trovati vulnerabili a rischi elevati di sicurezza e il 50 per cento aveva una vulnerabilità di media sicurezza. Tutto ciò riguarda sia WorPress che altri CMS, come dire: “Chi esegue un attacco poco si cura di quale sia il CMS utilizzato, gli interessa solo danneggiare o modificare, nessun CMS gli sta particolarmente simpatico o meno. Finita la premessa e dato che non tutti possono disporre dell’ovvio budget necessario per ricorrere ad un team di esperti in sicurezza informatica, vediamo come proteggere almeno in parte il nostro sito realizzato con WordPress. I rudimenti sono certamente evitare il classico “admin” come username e password del tipo “1234567” o data di nascita (su questo argomento vi sono centinaia di pubblicazioni e dunque sorvolerò proprio. Mantenere temi e plugin aggiornati e sempre provenienti da fonti sicure, accertarsi che vi siano aggiornamenti recenti. Questi sono spesso la principale fonte di falle che possono compromettere il nostro sito web.
Sui temi vorrei sottolineare, evitiamo di risparmiare se si tratta si un progetto per terzi ma anche se si tratta di un nostro sito o se vogliamo creare un nostro blog.
Vale la pena di spendere qualche dollaro e affidarsi a temi Premium, ve ne sono a partire da poco più di 20 $.
Tra i migliori posso suggerire quelli offerti da Elegant-Theme, Woo-Themes e i template e temi di Gavick Abbiamo accertato che username e password siano sicuri, quindi sarà difficile per i malintenzionati accedere direttamente dal backend di WordPress. Possiamo stare tranquilli…Anche no ! Gli attacchi “Brute Force” sono determinati da software (Bot) che cercano ripetutamente di violare l’accesso al pannello di amministrazione, attacchi che possono durare giorni e a nostra insaputa, sino a riuscire nell’intento. Possiamo ricorrere a uno dei tanti plugin, rammentiamo che verranno eseguite delle modifiche ad alcuni file: wp-config e htaccess. In alternativa cambiare la posizione di wp-admin.
Suggerisco un backup del database e il salvataggio dei file indicati prima dell’installazione del plugin
Il plugin è ITHEMES SECURITY per WordPress
Richiede: 4.1 o superiore Compatibile fino a: 4.4.1 Ultimo aggiornamento: 2 settimane fa Installazioni attive: 700.000+
Giusto “pochi” aspetti da configurare e avremmo una buona protezione e un sistema di alert via Email, inoltre oltre un dato numero di tentativi di accesso si può determinare il blocco dell’indirizzo IP.
Insomma un buon plugin che ci garantisce qualche sonno tranquillo.
Altra ottima soluzione è Clef Two-Factor Authentication
Compatibile fino a: 4.4.1 Ultimo aggiornamento: 4 giorni fa Installazioni attive: 600.000+
Altro plugin per WordPress è WordFence di cui già vi ho parlato in un precedente articolo
Non vorrei fare una lista di tutti i plugin disponibili anche perchè alcuni sono abbastanza difficoltosi nella configurazione, inoltre anche gli stessi plugin che garantiscono sicurezza potrebbero paradossalmente costituire porte di ingresso a malintezionati.
A proposito di plugin verificare lo stato di vulnerabilità o eseguire una ricerca sui plugin che usate sul vostro sito WordPress qui: wpvulndb.com/plugins
La scelta dell’hosting ha fondamentale rilevanza, spesso si cerca di risparmiare a discapito della sicurezza.
Esistono alcuni strumenti che ci consentono di verificare eventuali vulnerabilità.
Uno di questi è il servizio offerto anche nella versione trial di 14 giorni da Acunetix OVS
Sarà sufficiente creare un account, inserire indirizzo IP del server ove si trova il sito o l’url del sito. Scaricare e trasferire un file nello spazio web
Appurata la proprietà del sito si può procedere alla scansione.
Concludo …
Dato che come funghi vengono fuori corsi su come tenere un corso, corsi su come scrivere un corso, guida su come guidare un corso… Non sarebbe male iniziare a lavorare seriamente su Corsi atti a garantire la sicurezza informatica. Non parlo di corsi da poche ore e sbamm sfondi, no, parlo di figure specifiche senza tuttologia alcuna, figure veramente preparate in tal senso ed in questo specifico campo, Professionisti (si con la maiuscola) che possano offrire adeguato supporto in materia di sicurezza.
Migliore Hosting WordPress per Velocità e Sicurezza
Premetto che questo breve articolo non vuole certo suggerire quale esatto hosting scegliere per il vostro sito aziendale o per il vostro blog, non vi è alcun elenco o alcun hosting citato. Vorrei solo ribadire quanto la scelta e l’analisi del servizio abbiano un grande impatto su tutto ciò che andremmo a sviluppare secondo il nostro progetto (auspico che che da un progetto si sia partiti).
Ora sarebbe normale domandarsi: come faccio a scegliere il giusto servizio di hosting ?
Eviterei alcuni punti:
Illimitato (illimitato cosa ?)
Economico (in base a quale criterio)
Sicuro al 100 % (dovrei capire come)
Spesso intervenendo, ma sopratutto analizzando diversi post su gruppi presenti sui Social, leggo di richieste assurde in relazione al sito che è spesso su server condivisi e con piani da 12.99 € l’anno. Si chiede come migliorare in termini di velocità, si mette mano ai vari file, si ottimizzano le immagini, i più disparati plugin per ridurre tutte le query al database. Leggo addirittura frasi del tipo: “il sito è più veloce con un Visual Composer o meglio usare gli shortcode” ? Poi vai a vedere il sito, vedi l’indirizzo IP, esegui un sommario controllo e scopri che è spesso su un servizio di hosting tra i più scarsi, quelli che pigiano dentro un server quanti più siti gli è possibile tanto che potrebbero “esplodere”.
Un esempio pratico che consentirà a tutti di comprendere ciò che intendo.
Quando un cliente ci chiede un preventivo dovremmo distinguerlo da ciò che è un vero e proprio progetto con annesse previsioni di spese sia per quanto riguarda la nostra parcella che per i costi che il cliente si si troverà ad affrontare a medio e lungo termine
Nel preventivo indichiamo sommariamente quanto andremmo a fare, nel progetto vi è una precisa relazione di tutti i punti ed obiettivi, un’accurata analisi di ciò che potrà rivelarsi fondamentale a medio termine. Non possiamo fare a meno di considerare che traffico di visitatori prevediamo per il sito.
Ecco che entra in gioco la possibilità di implementare il piano in base agli sviluppi del nostro traffico. Semplice ? No ! Molti servizi sono limitati e anche su offerte mirabolanti sono assai penosi. Hai problemi di risorse su un condiviso e spesso ti appare quella orribile scritta che ti suggerisce di passare ad altro piano dato che hai superato le risorse disponibili. Corri sul Plesk o Cpanel e vedi che non vi sono segnali che indicano niente del genere. Non hai un problema di sito…Hai un problema di Hosting ! Costoro magari contattati ti suggeriscono di passare al fantastico servizio “Cloud”, bellissimo ! Velocità fantasmagoriche…Anche no ! A fronte spesso di un 50 % in più di costo i risultati restano scadenti, in teoria dovrei avere il 50 % in più di prestazioni… Quello dei fornitori di hosting è un mondo dove non esiste filantropia, questi ragazzi lavorano spesso duramente e si capisce che non si possa vivere solo d’aria.
Dunque come possiamo scegliere il servizio di hosting ? Abbiamo esperienza data da anni di traffico e sbattimento sui vari hosting.
A volte no !
Possiamo affidarci ad altrui reali esperienze, ma non parlo di un singolo blog o piccolo sito con 300 visite settimanali, mi riferisco ad esperienze di siti e blog che macinano anche migliaia di visitatori unici giornalieri.
Ovviamente in tutte queste interessanti considerazioni stiamo anche pensando ai costi di gestione…
Tutto è esponenziale, se voglio ottenere un adeguato raccolto dovrei disporre di una dato appezzamento di terreno e della giusta quantità d’acqua, se decidessi di raddoppiare il raccolto dovrei alla pari aumentare le dimensioni del terreno e la quantità d’acqua. Non pensate ora che possiamo affidarci a strategie fantastiche ed ottenere il doppio del raccolto con lo stesso tipo di investimento, potrebbe pure rivelarsi casuale in forse una sola occasione ma non sarebbe uno standard.
Idem per il nostro sito, sta su un hosting condiviso e subisce in un giorno un picco di visitatori inaspettati, tutto tiene e siamo belli felici. Non è lo standard !
Teniamo sempre presente però che dall’altro lato ci lavorano persone come noi e dunque almeno una fetta importante è data dal customer car, apertura ticket e tempi di risposta, possibilità di colloquio telefonico, possibili interventi tecnici e soluzioni offerte dal personale tecnico, estrema competenza e gentilezza. Tanti bei fattori che ci consentiranno di offrire un sito valido, sicuro e veloce aiutandoci anche nella crescita professionale proprio per via dell’elemento chiave: Comunicare !
Infine tutto si potrebbe riassumere nei due punti cardine: sicurezza e velocità.
Ribadisco che: Tra i fattori di velocità e sicurezza, il server e relativo servizio di hosting è indiscutibilmente un punto che non possiamo fare a meno di prendere in seria considerazione.
Le Prestazioni del servizio di hosting Quando ci accingiamo a scegliere un servizio di hosting una delle considerazioni più importanti è cercare i requisiti in merito alle prestazioni.
Naturalmente ogni servizio di hosting ci dirà che: il loro servizio è il più veloce, il più scalabile, è il più affidabile e il più sicuro da ogni possibile attacco, ma del resto il servizio si deve pur poter vendere.
Quindi, come si fa a valutare diversi fornitori e determinare quale è quello giusto per le nostre esigenze ?
Caratteristiche delle prestazioni
Quando si tratta di prestazioni del vostro sito, ci sono alcuni metodi diversi per analizzare. Ogni fornitore di hosting sostiene di avere l’hosting più veloce. Ma che cosa significa? Ci sono diversi fattori che contribuiscono e consentono grandi prestazioni del sito. Gli acquirenti intelligenti dovrebbero prestare attenzione a tutti.
Tempi di caricamento della pagina
Un fattore importante per alcuni motivi. I motori di ricerca considerano i tempi di caricamento della pagina come un fattore nel determinare page rank, e anche piccoli aumenti di velocità hanno dimostrato che diminuisce il Bounce Rate (la frequenza di rimbalzo) e ciò fa aumentare il coinvolgimento dei visitatori.
Uptime Questo è importante anche per ovvie ragioni. I tempi di inattività possono avere un grande impatto sulla vostra attività. Per ogni minuto che il sito è down si potrebbe perdere potenziali clienti, contatti e affidabilità.
Caching Le tecnologie di caching possono giocare un ruolo importante per ottimizzare la velocità del tuo sito. Una cache altamente performante è in grado di migliorare le prestazioni del vostro sito servendo le richieste dalla memoria del browser piuttosto che dal disco. Il database è il collo di bottiglia finale per la valutazione sulla velocità, e la fonte della maggior parte dei principali difetti delle prestazioni.
Per WordPress
Un hosting ottimizzato per WordPress è consigliato, in quanto è stato progettato per la migliore esecuzione di WordPress. Non tutte le infrastrutture di hosting sono identiche ed esattamente idonee per ogni CMS Diversi elementi possono influenzare in modo significativo le prestazioni del sito. Quando si tratta di infrastrutture WordPress, tutto, dall’hardware, al runtime di PHP, al database, al sistema operativo, può essere ottimizzato per fornire prestazioni migliori per i siti WordPress.
Upgrade del piano di hosting
Cambiare il piano di Hosting è un altro elemento importante delle prestazioni a cui dovremmo pensare quando scegliamo l’hosting. Ogni fornitore di hosting dovrebbe fornire maggiori informazioni chiare su come in futuro dovrebbe essere possibile cambiare il piano di hosting in base a come cresce il traffico del sito. Quando si parla di ridimensionamento, si vorrà sapere se il fornitore sarà in grado di fornire un servizio adeguato.
Migrazione La migrazione del sito può essere lenta e pericoloso, e può provocare tempi di inattività.
Diversi tipi di hosting possono avere un impatto differente, tra cui la facilità e il rischio associato all’upgrade.
Diversi servizi di hosting si occupano dell’intera migrazione, secondo le dimensioni del sito è in talune occasioni meglio affidarsi a loro. Alcuni hosting risentono di grosse difficoltà nel consentire l’esportazione e importazione dei database.
Tipi di Hosting
Direi che c’è solo l’imbarazzo nella scelta dei diversi tipi di hosting. Essi variano in termini di costi, di prestazioni e per quanto riguarda la manutenzione. Se si considerano le diverse tipologie, è bene ricordarsi che le attuali esigenze del tuo sito e come cambiano nel tempo.
Hai picchi di traffico durante tutto l’anno? È il traffico reale di un sito web in crescita? Mantenere le performance del tuo sito a lungo termine è importante perché il tipo di hosting che si sceglie dovrà far fronte a picchi di traffico o di crescita nel corso del tempo. Qui prevediamo i costi, la semplicità nel passaggio ad altro piano, la convenienza e i tempi.
Hosting Condiviso Il tipo più comune di hosting di fascia bassa. Il vostro sito è ospitato sullo stesso server con decine o centinaia di altri siti. Il vantaggio principale è che il servizio di hosting condiviso è a basso costo. Ma il prezzo reale da pagare è sul lato sicurezza e sulle prestazioni. Un piano hosting con molti siti su un server significa che se qualcuno è in grado di violare un sito, possono facilmente entrare in uno qualsiasi degli altri siti, un solo sito può determinare penalizzazione dell’indirizzo IP. I siti su hosting condiviso vanno inevitabilmente incontro anche al verificarsi di problemi di prestazioni, condizione dettata dagli altri siti presenti e dall’utilizzo complessivo delle risorse e loro assegnazione, inoltre consideriamo un sito con un ecommerce di prodotti alimentari e come “vicini” la presenza di centinaia di siti porno…
Virtual Private Server Il VPS hosting è simile a quella di hosting condiviso, il sito è ospitato su un singolo server insieme ad altri siti, ma il sito è contenuto in un server virtuale su quel server, e tu sei responsabile per il tuo server virtuale. Il VPS di solito si traduce in prestazioni leggermente migliori, ma è anche molto più costoso di un hosting condiviso. Se i siti sullo stesso server fisico stanno utilizzando troppe risorse, le prestazioni del tuo sito potrà essere influenzata, questo anche se siete su un altro server virtuale. Il servizio di hosting con un VPS richiede anche una certa conoscenza tecnica e di gestione.
Hosting Dedicato Con server dedicato, il sito è ospitato su un proprio server o cluster di server. Questo è uno dei tipi di hosting più costosi, tutto l’hardware è dedicato al tuo sito. In questa tipologia di servizio si ha bisogno di qualcuno per gestire il server, fattore che spesso determina un aumento del costo. Questo tipo di hosting ti da il maggior controllo sulle caratteristiche relative alle prestazioni del sito. Si dovrebbe anche fare in modo che l’infrastruttura possa sostenere nel lungo periodo, la crescita stabile o i picchi di traffico possono richiedere migrazioni rischiose o causare tempi di inattività se non gestito correttamente. Basti dire, questa opzione richiede spesso la conoscenza più tecnica.
Managed Hosting Se non si desidera avere a che fare con la gestione delle infrastrutture di hosting per il tuo sito, allora un hosting gestito può essere un’opzione interessante. Alcuni Fornitori di hosting lo gestiscono per voi per poter mantenere il sito sicuro e ottimizzarne le prestazioni. Il servizio di Hosting gestito tende ad essere costoso, e spesso limita la capacità di controllare il vostro sito web.
Molti hosting gestiti limitano il controllo sul suo sito, tra cui anche negare il negare l’installazione di alcuni plugin e anche modificare il codice dei file relativi al tuo sito. Potrebbe in taluni casi rivelarsi una scelta corretta e adatta ad alcune tipologie di clienti
Hosting flessibile Una soluzione di hosting è rara, ma l’infrastruttura scalabile orizzontalmente ha enormi benefici in termini di prestazioni e affidabilità, ed è per questo che è utilizzato da aziende come Google, Salesforce, e Facebook. Con l’hosting flessibile, il sito può scalare per soddisfare tutte le esigenze di risorse senza migrazioni o tempi di inattività. Bilanciatori di carico automatizzati spostano risorse attraverso una piattaforma distribuita, e se il traffico del tuo sito cresce, il sito non ha bisogno di essere trasferito ad una nuova architettura.
Fattore Sicurezza La protezione del sito è uno sforzo importante, i servizi di Hosting dovrebbero aiutare, fornendo potenti funzioni di sicurezza e strumenti.
Alcune caratteristiche da considerare sono:
SSL è una tecnologia standard di sicurezza per i siti web, ed è abbastanza di una best practice che i fattori di Google se il vostro sito ha SSL nel suo algoritmo di ricerca. Nel valutare gli host WordPress, indagare se supportano SSL.
Aggiornamento dei CMS e aggiornamenti del plugin o componenti La prima regola è mantenere aggiornato il CMS, i suoi plugin e/o componenti Ove possibile considerare sempre le funzioni di aggiornamento automatico del CMS e dei Plugin o componenti che sarà possibile attivare per evitare problemi di sicurezza. Spesso quando ci troviamo a gestire svariati siti, una dimenticanza del genere ci può costare cara.
Intrusioni di rete e protezione DOS DoS e DDoS sono differenti tipologie di attacchi, una o più macchine, il continuo monitoraggio e le azioni di blocco di indirizzi IP sono parte del servizio di hosting, una parte fondamentale per mantenere il vostro sito sicuro. Il sito in media vede migliaia di tentativi di violazione ogni giorno, e una buona DOS oltre alla protezione della rete di intrusione è la prima linea di difesa quando il sito subisce continui attacchi.
Gestione degli utenti Fare in modo che solo gli utenti realmente abilitati abbiano il diritto di accesso al tuo sito può essere un aspetto difficile da gestire. Ci prendiamo cura di rimuovere i vari permessi e modificare i dati quando non vi siano più collaborazioni in relazione al sito e alcuni utenti non stanno più lavorando sul progetto? Chi ha accesso al sito e che tipo di livelli di accesso? Il tuo servizio di hosting dovrebbe permettere di controllare facilmente le autorizzazioni degli utenti e l’accesso.
Single Sign-On e autenticazione a due fattori SSO e 2FA sono ampiamente utilizzati per difendere il sito contro l’accesso non autorizzato, da tenere in considerazione che alcuni hosting non li supportano. Per WordPress: Two-Factor Per Joomla, dalla versione 3.2 troviamo la procedura per l’attivazione già presente seguendo i 2 messaggi presenti sul lato amministrativo.
Backup I backup sono essenziali per proteggere il vostro sito in caso si sia verificata una violazione o se avete problemi nell’esecuzione, spesso alcuni aggiornamenti non sincronizzati tra temi, plugin e versione del CMS possono determinare problemi e necessità di ripristino da precedente backup. I backup possono essere eseguiti in modo manuale o automatico. Possono essere memorizzati per diversi periodi di tempo. Possono essere memorizzati nella stesso spazio del vostro sito o in uno diverso. Assicurati di indagare e valutare se i backup di un hosting soddisfano le tue esigenze.
Spesso alcuni servizi offrono backup come pacchetto aggiuntivo, 1/7/30 giorni, personalmente mi è capitato di richiedere un backup di una settimana senza aver il riscontro adeguato, in sintesi deduco che il backup fornito fosse quello delle 24 ore precedenti e che non vi fosse esistenza alcuna di quello settimanale e mensile. Se impiegate un’installer come Softaculus per il CMS, programmate secondo le attività del sito i vostri backup, per sicurezza potrete utilizzare un componente o plugin e programmarlo in modo tale che a cadenza stabilita esegua il backup e trasferimento dei dati su altro spazio. Nella totale assenza di entrambe le soluzioni…Ecco resta la procedura manuale.
In rete esistono diversi servizi per testare le prestazioni del sito e la velocità di esecuzione oltre a diversi servizi che sono in grado di valutare le prestazioni del server dove abbiamo il nostro sito. Posso suggerire anche questi:
Cosa pensano alcuni utenti sulla sicurezza di WordPress e quali azioni sono le più diffuse ?
Un sondaggio brevissimo da cui appare chiaro che si mette al primo piano aggiornamento dei temi e plugin e solo al settimo posto si menziona la scelta dell’hosting, esclusa completamente l’opzione che prevede la collaborazione con esperti in sicurezza.
