SSL: l'ABC della sicurezza web
Il certificato SSL (Secure Socket Layer) cripta la connessione tra il browser dell'utente e il server, impedendo l'intercettazione dei dati. Si riconosce dal lucchetto verde e dalla URL che inizia con HTTPS. Dal 2018, Google Chrome segna come "non sicuro" tutti i siti senza SSL. Oltre alla fiducia degli utenti, HTTPS è un fattore di ranking Google. Tutti i buoni hosting includono oggi l'SSL gratuito con Let's Encrypt.
Le minacce più comuni per i siti WordPress
- Brute force: tentativi automatici di accesso alla pagina di login
- Plugin vulnerabili: plugin obsoleti con falle di sicurezza note
- Iniezione SQL: attacchi al database tramite form non protetti
- Malware: file infetti che trasformano il sito in spam machine
Le 5 misure di sicurezza fondamentali per WordPress
- Mantieni WordPress, tema e plugin sempre aggiornati all'ultima versione
- Usa password forti per admin, FTP e database (usa un password manager)
- Installa un plugin di sicurezza (Wordfence o Sucuri, hanno piano gratuito)
- Limita i tentativi di login e cambia la URL della pagina di login
- Configura backup automatici giornalieri su storage esterno
I backup: la rete di sicurezza finale
Anche il sito più sicuro può essere compromesso. I backup automatici giornalieri (su servizio esterno come Google Drive, Dropbox o Amazon S3) ti permettono di ripristinare il sito in poche ore in caso di attacco. UpdraftPlus è il plugin di backup più usato su WordPress.