Sicurezza su WordPress: ecco come lavoriamo

Scudo digitale con colori fluo e neon che rappresenta una difesa contro gli attacchi hacker

Indice dei contenuti

WordPress è il software web più diffuso e quello che subisce tantissimi attacchi hacker ogni giorno.

La gestione della sicurezza del sito web WordPress, quindi, deve far parte dell’iter quotidiano delle attività da fare, mantenendo anche un monitoraggio attivo per minimizzare i problemi di sicurezza. 

Ma quando devono iniziare le attività di sicurezza? Sin dalla fase di progettazione. 

Questo perché la selezione dei plugin è una tappa fondamentale nella fase di progettazione del sito. 

Andiamo per ordine:

1. Selezione mirata dei plugin in fase di progettazione

Stabiliti gli obiettivi del sito web, cosa deve fare e come, va fatto un progetto strutturato. Nel progetto, si definisce cosa serve e deve essere fatta una ricerca preliminare per comprendere quali siano le tecnologie da mettere in campo. 

Nel nostro caso, abbiamo definito una sorta di capitolato tecnico, che va a coprire una vasta gamma di funzionalità, scegliendo dei fornitori tecnologici affidabili. Questi sono stati scelti anche in base alla capacità di rispondere velocemente alle criticità e alle vulnerabilità che possono emergere. 

Qualità e affidabilità dei plugin installati sono il punto di partenza.

In sintesi, la costruzione di un sito il più possibile sicuro inizia così:

  • Scelta strategica dei plugin: sulla base di cosa deve fare il sito web. Salvo richieste particolari, usiamo plugin che abbiano una community attiva e siano costantemente aggiornati, garantendo così un supporto continuo in caso di vulnerabilità.
    Nel nostro caso, abbiamo un capitolato tecnico che copre già una vasta attività, dal blog, passando per il booking fino alla vendita online.
  • Limitare l’utilizzo dei plugin: Pochi ma buoni. Avere troppi plugin significa essere maggiormente esposti e aumentare le probabilità di minacce online. Nessun plugin è totalmente sicuro. Tutti richiedono aggiornamenti, dato che lo stesso CMS (Content Management System – Sistema di gestione dei contenuti) richiede aggiornamenti periodici, sia per risolvere eventuali problematiche di funzionamento (bug) che di sicurezza.

2. Selezione di un Hosting con maggiori livelli di sicurezza e infrastruttura proattiva

Utilizziamo o consigliamo sempre Hosting dotati di sistemi proattivi di sicurezza, per limitare il numero delle minacce al sito web. 

Un sistema di rilievo dei bot, con blocco preventivo (per fare un esempio), va a bloccare subito una buona parte delle minacce online.

Anche in questo caso, abbiamo scelto un fornitore che ha un occhio di riguardo per la sicurezza, con sistemi di scansioni antivirus anche all’interno dell’Hosting stesso, così da avere più sistemi di allerta che ci permettono di agire tempestivamente.

Aggiornare o cambiare le macchine per una sicurezza continua

Inoltre, negli spazi che abbiamo in gestione – con il fornitore – si valuta un aggiornamento o passaggio di macchina, qualora questa diventasse obsoleta. Per fare un esempio, nel corso del 2024 abbiamo spostato i siti che ospitiamo, in spazi aggiornati senza nessun onere per il cliente. Clonazione ed eventuale IP sono stati a carico nostro e abbiamo lavorato in sinergia con il referente IT dell’azienda. 

Allo stesso modo, avvisiamo il cliente qualora il suo spazio hosting diventi obsoleto, pianificando il cambio di macchina o l’aggiornamento della stessa, comunicando direttamente con il fornitore dello spazio.

Riepilogo sul fronte hosting

  • Ambienti hosting con sistemi proattivi: scegliamo o consigliamo solo spazi hosting che sono dotati di sistemi capaci di fermare la scansione dei bot noti, riducendo la superficie di attacco già a monte, diventando un primo livello di sicurezza.
  • Monitoraggio costante: Gli stessi spazi hosting, ci inviano le segnalazioni delle scansioni antivirus, che vengono tempestivamente controllate. A volte si tratta di falsi positivi. Grazie ai sistemi di backup siamo in grado di intervenire e sostituire i file che possono essere infetti. 

Un buon hosting è come un castello ben difeso: non basta erigere le mura, bisogna anche vigilare continuamente.

3. Difesa avanzata con Web Application Firewall e Anti-Brute Force

Dal primo livello di difesa proattiva dello spazio hosting, passiamo al secondo livello all’interno di WordPress. 

Grazie a un’applicazione firewall web (WAF – Web Application Firewall), impostiamo diverse misure di sicurezza, tra le quali:

  • Oscuramento della versione di WordPress: così da rendere difficili gli attacchi al CMS. Se un attaccante non conosce la versione, non può mettere in piedi strategie mirate.
  • Disabilitazione dell’esecuzione di codice eseguibile nella cartella upload. Area preposta per la gestione di file e media.
  • Blocco preventivo di XSS (Cross-site scripting), di caricamento file malevoli, ecc. 
  • Ampliamento della scansione di sicurezza anche al di fuori di WordPress.
  • Verifica modifica dei file di WordPress e dei Plugin: con controllo file tra quelli presenti nel sito e quelli custoditi dai fornitori ufficiali (sviluppatori dei plugins e file originali del core di WordPress)

L’anti brute force inizia con la scelta intelligente dei nomi utenti. Per fare un esempio, noi utilizziamo un sistema di codifica che varia in base al progetto, così da rendere difficile l’identificazione della user, nei tentativi di accesso del sito. 

È fondamentale, poi, utilizzare password antisfondamento. Il WAF, infatti, viene configurato per obbligare l’utilizzo delle password complesse. 

Limitiamo i numeri di tentativi, impostando poi un ban all’IP “attaccante”. Ci rendiamo conto che, a volte, ci possono essere degli errori nei tentativi di accesso, per questo moduliamo il numero di tentativi in base alla realtà e al numero di editor che ci sono all’interno del sito. 

Inoltre, utilizziamo la doppia autenticazione per accedere ai siti che abbiamo in gestione.

Riepilogo sul fronte sicurezza:

  • WAF (Web Application Firewall): Implementiamo firewall a livello applicativo in grado di bloccare attacchi in maniera proattiva, proteggendo il sito ancor prima che la minaccia raggiunga il core.
  • Protezione anti brute force: Utilizziamo username codificate, password antisfondamento e autenticazione a due fattori, abbattendo il livello di probabilità di riuscire ad accedere al sito web, da parte degli attaccanti.

4. Aggiornamenti WordPress e monitoraggio centralizzato

Grazie a un monitoraggio centralizzato, riusciamo a vedere tutti gli aggiornamenti necessari e stabilire le priorità. Gli aggiornamenti dei plugin o del core, che sono ritenuti critici per la sicurezza, vengono effettuati – solitamente – appena ricevuta la notifica o entro il giorno successivo (si valuta la gravità e se il tipo di vulnerabilità va a colpire una funzione attiva del sito). 

Per il resto, viene effettuato un piano di aggiornamento, per garantire una frequenza di aggiornamento adeguato a tutti i siti web in gestione. Tutti gli aggiornamenti, vengono prima testati sulla copia in area staging, per verificare che siano compatibili con il sistema in uso e non si creino problematiche. 

Qualora ci fossero problemi di compatibilità, vengono testate le soluzioni e replicate nel sito in produzione. 

Riepilogo sul fronte aggiornamenti:

  • Sistema centralizzato di monitoraggio: Grazie a strumenti avanzati, monitoriamo costantemente lo stato di core, plugin e temi, garantendo aggiornamenti periodici e mirati.
  • Notifiche immediate: Ogni potenziale rischio viene segnalato in tempo reale, consentendoci di intervenire prima che si trasformi in un problema critico.

5. Separazione degli ambienti: Staging e Produzione su macchine diverse

Anche i test di aggiornamento, implementazione e modifiche, devono essere fatti in totale sicurezza, senza compromettere il sito online.

I test avvengono su una macchina diversa configurata allo stesso modo di quella di produzione (dove si trova il sito visibile e online).

Macchine diverse e minimizzazione dei rischi

Perché separare le due versioni del sito? Modifiche sperimentali e aggiornamenti di configurazione (es. passare su una versione di PHP superiore, perché quella precedente non viene più aggiornata), avvengono in un ambiente sicuro. 

In questo modo, si possono controllare eventuali errori e lavorare in tutta sicurezza ad eventuali aggiustamenti, senza creare rallentamenti o problemi al sito visibile e creare risto di downtime (di non essere raggiungibile da parte degli utenti).

Riepilogo sulla separazione degli ambienti

  • Ambienti isolati: Per evitare che modifiche sperimentali o errori di configurazione possano compromettere l’esperienza utente, manteniamo gli ambienti di staging e produzione su macchine diverse.
  • Processi di rilascio delle implementazioni controllati: Questa separazione consente di testare ogni aggiornamento in un ambiente sicuro prima di implementarlo sul sito live, riducendo drasticamente il rischio di downtime o vulnerabilità accidentali.

6. Backup e gestione degli accessi

Backup regolari e manuali

Gli spazi hosting che consigliamo – o che utilizziamo – effettuano più backup giornalieri con relativi punti di ripristino.

A questi backup, uniamo anche il backup manuale che viene fatto poco prima di procedere con gli aggiornamenti in produzione (non appena questi hanno passato i test in area staging). 

Questo permette di recuperare l’ultima versione sicura, limitando fortemente l’eventuale perdita di dati, qualora fosse necessario un ripristino rapido in caso di attacco. 

Pochi amministratori

Solitamente, diamo una utenza amministratore al cliente, lasciando più accessi editor. Questo, ovviamente, dipende dalle attività che devono essere fatte nel sito. 

Internamente, abbiamo accessi di amministratore solo a chi gestisce il progetto e gli aggiornamenti. 

Qualora ci fosse un piano di caricamento dei contenuti, chi segue questa parte ha un accesso da editor.

Questa gestione è un approccio prudente per minimizzare i rischi. 

Sintesi su backup e gestione accessi

  • Backup regolari e testati: Pianifichiamo backup completi e incrementali, verificandone periodicamente l’integrità per garantire un ripristino rapido in caso di attacco.
  • Gestione rigorosa degli accessi: Limitiamo i privilegi solo al necessario e usiamo credenziali forti, per non dare al diavolo (o agli hacker) una scusa in più.

Un backup è la rete di sicurezza che ti salva quando tutto va storto.

Best practice per una strategia di gestione efficace

Le nostre best practice rappresentano il risultato di anni di esperienza e gestione. Nel corso della nostra storia, abbiamo costantemente aggiornato tecnologie e procedure per stare al passo con l’evoluzione del settore.

La strategia integrata va oltre la semplice configurazione tecnica. Si tratta di un approccio olistico alla sicurezza, dove ogni componente – dal plugin selezionato al rilascio di versione o aggiornamento controllato – lavora in sinergia per dare la migliore protezione al sito web in wordpress. 

La sicurezza non è mai un punto di arrivo, ma un percorso continuo in cui innovazione e attenzione costante devono essere le parole d’ordine.

Indice dei contenuti

Ultime news
Articoli Correlati
I nostri servizi
Realizzazione eCommerce - Immagine generata con Firefly
Realizzazione eCommerce

Creiamo soluzioni ecommerce personalizzate, ottimizzate per la conversione e l’esperienza utente.

Servizi SEO - immagine generata con firefly
Indicizzazione SEO

Vuoi scalare le posizioni sui motori di ricerca? Il nostro servizio di indicizzazione SEO è la risposta. Implementiamo strategie SEO all’avanguardia per migliorare la visibilità del tuo sito e attrarre un maggior traffico qualificato.

Servizi Hosting e Consulenze immagine generata con firefly
Hosting e Consulenze

Forniamo soluzioni di hosting affidabili e veloci, insieme a consulenze esperte per guidarti nella scelta delle migliori strategie digitali per la tua attività.

Vedi tutti i nostri servizi
Sede Legale:

V.le Fratelli Casiraghi, 53
20099 Sesto San Giovanni (MI)

Siamo aperti da lunedì al venerdì

Mattino 9-13
Pomeriggio: 14-18

Contatti:

Tel. +39 039 67 94 145
Cell.: +39 327 008 34 81

Mail: info[at]viralideaproject.com

Viral Idea Project Srl
P.IVA | CF: IT08573650960
REA: MI-2034769

I nostri servizi:
  • Viral Idea Project Srl
  • 2013 - 2025
Facebook Linkedin Youtube
Skip to content