7 miti sulla sicurezza di WordPress: completamente sfatati e sfatati
Pubblicato: 2023-10-21Nonostante sia il sistema di gestione dei contenuti più popolare al mondo, continuano a circolare miti sulla sicurezza della piattaforma WordPress. A causa della sua natura open source, gli utenti inesperti potrebbero considerarlo meno sicuro di un prodotto commerciale. Inoltre, potrebbero essere innervositi dalle notizie sui problemi di sicurezza di WordPress nelle notizie.
Mito n. 1: la sicurezza è compito del tuo provider di hosting
Come principiante o proprietario di un sito web per la prima volta, potresti pensare che la sicurezza del tuo sito web sia dominio delle persone che paghi per mantenerlo online. E questo è vero in un certo senso; il tuo provider di web hosting è davvero la prima linea di difesa. Il loro compito è assicurarsi che non sia facile accedere al tuo server web e proteggere l'entità fisica su cui risiede il tuo sito. Se non lo fanno, sono semplicemente un cattivo ospite.
La sicurezza del sito web è principalmente una tua responsabilità
Tuttavia, a parte questo, il coinvolgimento del tuo provider di hosting nella sicurezza del tuo sito WordPress dipende davvero dal tuo piano. Su un host condiviso, un host VPS o anche un server dedicato, praticamente affitti solo lo spazio del server. Quello che ne fai dipende da te.
Ciò significa che il provider di hosting non ti assiste in alcun modo nel mantenere sicuro il tuo sito Web WordPress. Questo è il tuo lavoro.
Certo, alcuni provider offriranno funzionalità di sicurezza aggiuntive come un firewall o una CDN. Monitoreranno inoltre i loro server per rilevare malware, virus, ecc. e agiranno se rilevano qualcosa sul tuo sito. Tuttavia, spesso ciò significa anche che disabilitano il tuo sito e ti chiedono di risolverlo. Non è una soluzione ideale, soprattutto se sei un principiante.
L'hosting gestito può aiutare
Se desideri che il tuo provider di hosting assuma un ruolo più attivo nella sicurezza del tuo sito Web WordPress, devi optare per l’hosting gestito. Si chiama così perché, oltre a fornire spazio sul server, un provider di hosting gestito si assume anche alcune delle attività quotidiane legate alla gestione di un sito web. La sicurezza è uno di questi, così come l’ottimizzazione della velocità, gli aggiornamenti del sito e il supporto di esperti.
Naturalmente, questo tipo di servizio costa di più, tuttavia, spesso ne vale la pena a seconda della fiducia nel proprio livello di abilità per proteggere il proprio sito. Può dare molta tranquillità.
Tuttavia, nel complesso sfatiamo questo mito sulla sicurezza di WordPress una volta per tutte: a meno che non sia parte del servizio che hai prenotato, il tuo provider di hosting non è responsabile della sicurezza del tuo sito web e di evitare che venga violato e hackerato. Questa responsabilità è tua.
Mito n.2: WordPress stesso rappresenta un rischio per la sicurezza
Ora potresti pensare: “Ok, se il provider di hosting non fa questo per me, non è rischioso affidarsi a un software gratuito? Quanto può essere bello qualcosa che un gruppo di volontari realizza nel loro tempo libero? Inoltre, vedo queste persone di Wix dirmi in TV che anche WordPress non è sicuro."
Va bene, affrontiamo questo dopo.
La prima cosa che devi capire è che nulla di ciò che è connesso a Internet è completamente sicuro. Migliaia di siti web vengono hackerati ogni giorno, dal più grande al più piccolo. È come la vita, alla fine, ci sono solo diversi livelli di insicurezza e bisogna assicurarsi di rendere il più improbabile possibile che accada qualcosa di brutto.
WordPress dispone di ampie misure di sicurezza
Qui WordPress non se la passa peggio degli altri. Infatti, nel corso degli anni, la piattaforma ha implementato un solido sistema per scoprire e affrontare i problemi di sicurezza nel prodotto principale.
Esiste un team di sicurezza dedicato composto da circa 50 esperti, tra cui sviluppatori principali, ricercatori sulla sicurezza e altri professionisti della sicurezza web. Molti di loro lavorano per WordPress.com, un'azienda che ha tutto l'interesse a garantire la sicurezza del software su cui si basa l'intera attività.
Inoltre, il team si consulta con i team di sicurezza di altre società di hosting e persino con i sistemi di gestione dei contenuti.
Il loro ruolo è monitorare attivamente WordPress per individuare eventuali vulnerabilità e rispondere rapidamente a qualsiasi cosa si presenti. Se qualcosa segnalato è abbastanza grave, hanno la possibilità di creare e spedire una patch immediata. Questo verrà installato automaticamente su qualsiasi sito Web WordPress versione successiva alla 3.7, a meno che non disattivi specificatamente questa funzionalità.
Oltre a ciò, WordPress generalmente vede aggiornamenti frequenti, circa due o tre nuove versioni principali all’anno con aggiornamenti minori, di manutenzione e di sicurezza nel mezzo. Ciascuno viene fornito con correzioni per potenziali problemi di sicurezza e un ampio processo di test.
La sua comunità è la sua risorsa principale
In aggiunta a quanto sopra, potresti avere un’immagine sbagliata di come sia realmente questo “gruppo di volontari”. Molti di loro sono dipendenti di aziende milionarie che utilizzano WordPress per il proprio business. Inoltre, tutti loro hanno una parte in gioco per mantenere sicuro il software su cui basano il loro sostentamento.
In generale, la natura open source di WordPress è parte della sua forza. Il codice sorgente è liberamente disponibile, aperto a chiunque possa esaminarlo, nonché trovare e segnalare lacune nella sicurezza. E molte persone lo fanno. Voglio dire, basta guardare il numero di contributori per WordPress 6.3.
Infine, esistono molti provider di hosting specializzati e plugin di sicurezza per migliorare ulteriormente la sicurezza dei siti Web WordPress. Per non parlare delle migliaia di post di blog e tutorial disponibili che aiutano gli utenti a implementare anche misure di sicurezza.
Quindi, cosa diciamo di questo mito sulla sicurezza di WordPress? Non è vero. I sistemi in atto per garantire la sicurezza e l'inespugnabilità del prodotto principale di WordPress sono pari o superiori a quelli degli enti commerciali.
Mito n. 3: WordPress è la piattaforma più hackerata
Qualcosa che potrebbe contribuire al tuo disagio nell’usare WordPress sono le statistiche che dicono che è il CMS più hackerato in circolazione. Ed è vero, in passato la piattaforma ha fatto notizia per alcuni problemi di sicurezza di alto profilo. Voglio dire, guarda questo grafico, non ti rende scettico sull'utilizzo di WordPress per qualcosa di serio?
Considera le dimensioni di WordPress
A questo punto dobbiamo ritornare ad una delle prime cose che abbiamo detto nell’introduzione. WordPress è il sistema di gestione dei contenuti più popolare in circolazione.
Quanto è popolare?
Secondo W3techs, alimenta oltre il 43% di tutti i siti Web su Internet.
In numeri assoluti, si tratta di oltre 470 milioni di siti. Sono moltissimi siti web. Inoltre, come puoi vedere dal grafico qui sopra, nessun altro sistema si avvicina nemmeno lontanamente a queste statistiche.
Allora perché WordPress è la piattaforma più compromessa? Perché ci sono molti più siti Web WordPress da hackerare.
Pensaci, se fossi una persona che per vivere si intromette nei siti web di altre persone, quale sistema prenderesti di mira? Quello con una scorta infinita di potenziali vittime e più possibilità che qualcuno lasci una porta laterale aperta, o quello in cui gli obiettivi sono lontani e intermedi? Probabilmente conosci la risposta.
Il core di WordPress non è il problema
Infine, se approfondisci le statistiche, scoprirai rapidamente che solo una piccola percentuale degli attacchi hacker riusciti a WordPress è dovuta a WordPress stesso. E anche in questi casi, spesso perché il sito Web esegue una versione obsoleta.
La maggior parte delle vulnerabilità deriva dalle estensioni di WordPress, in particolare dai plugin.
Quindi, sì, WordPress è davvero la piattaforma più violata, e gran parte di questo mito sulla sicurezza è vero. Tuttavia, la ragione dietro a ciò è molto più sfumata.
Mito n.4: Allora i plugin di WordPress non sono sicuri
Un osservatore attento (e sicuramente lo sarai anche tu) potrebbe aver notato che lassù abbiamo semplicemente gettato tutta la nostra discussione sotto l'autobus. A quanto pare, abbiamo ammesso che i plugin di WordPress rappresentano un enorme problema di sicurezza.
Dal momento che sono una parte centrale dell'ecosistema e dell'esperienza di WordPress (perché tutti li usano per aggiungere più funzionalità ai siti Web), ciò significa che non hai altra scelta se non quella di creare siti Web non sicuri con WordPress.
Oh no, rotto!
Il problema con i plugin
Naturalmente anche qui bisogna essere più sfumati.
Sì, ovviamente c'è un problema con i plugin di WordPress. Sono un punto di ingresso comune nei siti web.
Tuttavia, per metterlo in prospettiva, devi prima guardare l’enorme numero di plugin esistenti. Il solo repository di WordPress ne conta circa 60.000. Inoltre, ce ne sono molti altri disponibili in altri negozi sul Web.
Tuttavia, ciò che è una risorsa dell’ecosistema WordPress può anche essere una responsabilità. Gli autori di questi plugin hanno livelli di competenza diversi e non tutti i plugin vengono mantenuti e aggiornati attivamente. Pertanto, possono avere diversi livelli di qualità e sicurezza del codice.
La community di WordPress ne è consapevole e fa del suo meglio per rispondere a questo problema. Ci sono stati casi in cui i plugin con problemi noti sono stati eliminati dalla directory dei plugin. Inoltre, abbiamo persone che lavorano su un controllo dei plugin simile al plugin di controllo dei temi per aumentare la qualità complessiva dei plugin di WordPress.
Quindi, la prima regola per respingere questo rischio per la sicurezza è assicurarsi di utilizzare plugin che a) provengano da fonti affidabili eb) ricevano supporto e manutenzione attivi.
Non è solo una questione di plugin, ma di come li usi
Tuttavia, i plugin stessi sono solo una parte dell’equazione. In molti casi, il problema riguarda proprio il modo in cui le persone li utilizzano sui propri siti. Nello stesso rapporto menzionato sopra, si afferma anche che il 36% dei siti compromessi aveva un plugin obsoleto.
Quindi, proprio come con il core di WordPress, non è necessariamente il software il problema, perché i problemi di sicurezza vengono effettivamente risolti, il problema è che gli utenti non applicano tali correzioni.
Inoltre, spesso c’è un problema con il numero di plugin. Come è ovvio da quanto sopra, le estensioni comportano alcuni rischi. Pertanto, più ne hai, più potenziali porte secondarie introduci nel tuo sito.
La soluzione: installa solo il numero di plugin necessario per portare a termine il lavoro. Se non stai utilizzando attivamente un plugin, eliminalo. Non lasciarlo indugiare sul tuo sito web dove non fa altro che invecchiare e offrire potenzialmente un rischio per la sicurezza.
Mito n. 5: il tuo sito non è un bersaglio, a nessuno importa
Questo è un classico tra i miti sulla sicurezza dei siti web, anche al di fuori di WordPress. Molte persone, soprattutto coloro che gestiscono siti Web per hobby o di piccole dimensioni, non pensano di offrire un obiettivo sufficientemente redditizio perché un hacker possa interessarsi ad attaccarlo. Voglio dire, se pubblichi solo foto del tuo criceto domestico, cosa potrebbe ottenere qualcuno violando il tuo sito web?
L'hacking non è personale
Ci sono due cose che devi capire qui. Per prima cosa, l’hacking dei siti web non assomiglia a quello che vedi nei film. Non c'è una persona con una felpa con cappuccio seduta davanti a un laptop che seleziona manualmente il tuo sito e poi passa il tempo a cercare manualmente modi per accedervi.
No, la stragrande maggioranza degli attacchi avviene automaticamente. Esiste un esercito di bot automatizzati che scansionano costantemente il web alla ricerca di vulnerabilità note nei siti Web e, se ne trovano una, ne approfittano. La maggior parte delle volte sei semplicemente vittima di opportunità.
Rilevare il tuo sito non è davvero l'obiettivo
In secondo luogo, hackerare un sito web spesso non significa rubare dati finanziari o altre informazioni sensibili. Nella maggior parte dei casi, gli hacker stanno semplicemente cercando di impossessarsi di parti del tuo sito per utilizzarlo a proprio vantaggio:
- Reclutalo come parte di una botnet per utilizzarlo in attacchi DDoS
- Invia spam dal tuo server di posta
- Diffondi malware sui computer dei tuoi visitatori
- Pubblica collegamenti a siti Web fraudolenti sul tuo sito
Alcune persone lo fanno semplicemente per deturpare il tuo sito e dimostrare le loro capacità.
Quindi, tienilo a mente. Non si tratta di te. Si tratta semplicemente di essere un obiettivo che può essere sfruttato e dovresti fare del tuo meglio per evitarlo.
Mito n.6: l'utilizzo di password complesse manterrà il tuo sito sicuro
L’utilizzo di informazioni di accesso sicure fa sicuramente parte della sicurezza di WordPress, questo non è un mito. Esistono molti modi in cui password e nomi utente deboli possono ritorcersi contro di te:
- Attacchi di forza bruta : significa che un programma prova in modo casuale diverse combinazioni di nome utente e password finché qualcosa non funziona.
- Credential stuffing : è simile agli attacchi di forza bruta, tuttavia è più mirato. In questo caso l'hacker utilizza credenziali che sono già state compromesse, ad esempio rivelate in un altro attacco informatico. Questo attacco si basa sul fatto che molte persone riutilizzano i propri nomi utente e password.
Se non credi che ciò possa essere così grave, ecco un'infografica che mostra quanto velocemente in media gli hacker possono violare la tua password in base alla sua complessità.
Pertanto, le password complesse aiutano a proteggere il tuo sito. Allora perché questo punto appare in un elenco di miti sulla sicurezza di WordPress?
Perché le password complesse da sole non bastano. La sicurezza dei siti web è un puzzle di cui loro sono solo un pezzo. Se trascuri il resto, lascerai comunque importanti strade aperte agli aggressori per violare il tuo sito web.
Inoltre, le password sono solo l'inizio. Per bloccare davvero la tua pagina di accesso, ti consigliamo di limitare i tentativi di accesso, utilizzare l'autenticazione a più fattori e prendere in considerazione un firewall. Inoltre, credenziali forti non contano solo per il sito stesso ma anche per tutto ciò che è correlato ad esso, come il tuo hosting e gli account FTP.
Mito n.7: basta installare un plugin di sicurezza e il gioco è fatto
Molti principianti, che non sanno molto sulla sicurezza di WordPress, si affidano ai plugin per mantenere il proprio sito sicuro. E i plugin di sicurezza di WordPress come WordFence, MalCare o Sucuri sono una manna dal cielo in questo senso. Sono molto utili nell'aiutare gli utenti inesperti a rafforzare il proprio sito contro gli aggressori con pochi clic.
Tuttavia, ancora una volta, questo non è un modo infallibile per mantenere il tuo sito sicuro. L’area di influenza di questi plugin ha i suoi limiti, possono solo bloccare il sito stesso ma non hanno alcun potere sul suo ambiente più ampio.
Se il tuo sito risiede su un server non protetto o il tuo account di hosting viene violato tramite una password debole, il tuo plug-in di sicurezza non sarà in grado di difendere il tuo sito da esso. Quindi, ancora una volta, i plugin di sicurezza di WordPress non sono un mito, è solo che non possono fare il lavoro da soli.
Mito finale: la sicurezza di WordPress è complicata
L’idea che mantenere sicuro il proprio sito WordPress sia difficile è un altro mito che impedisce alle persone di avviarne uno proprio. Sebbene questo sia un argomento importante, non è nemmeno scienza missilistica. Alla fine, la maggior parte della sicurezza del sito web si riduce al rispetto di alcune best practice:
- Utilizza un provider di hosting adeguato, scegli l'hosting gestito se desideri assistenza con la sicurezza
- Mantieni aggiornati WordPress e tutti i plugin e i temi
- Avere solo il minimo indispensabile di estensioni sul tuo sito, disabilitare ed eliminare ciò che non stai utilizzando attivamente e assicurarti che ciò che hai sul sito sia ben mantenuto
- Assicurati che le tue credenziali di accesso siano forti e mantienile al sicuro, migliora la sicurezza limitando i tentativi di accesso e attraverso l'autenticazione a più fattori
- Esegui regolarmente il backup del tuo sito web per poter tornare a una versione precedente
- Utilizza i plugin di sicurezza di WordPress per assistenza, ma considera anche le parti su cui non hanno controllo
Con questi strumenti, la probabilità che succeda qualcosa al tuo sito dovrebbe essere notevolmente ridotta, anche se non potrà mai essere pari a zero.
Di quale mito sulla sicurezza di WordPress senti regolarmente parlare o a cui ti sei iscritto? Fateci sapere nei commenti!