Intervista a Ivica Delic sui professionisti e la sicurezza di WordPress

Finora abbiamo intervistato solo persone che capiscono e lavorano nell'applicazione e nella sicurezza di WordPress. Abbiamo sempre sentito la voce dei venditori . Tuttavia, in questa intervista abbiamo adottato un approccio diverso. Abbiamo intervistato Ivica Delic, un professionista di WordPress sulla sicurezza. Lo scopo di questa intervista è capire meglio come i professionisti di WordPress, per i quali forse la sicurezza non fa per loro, vedono e comprendono i prodotti e i servizi di sicurezza. Questa intervista ci aiuta anche a capire dove possiamo migliorare e cosa stanno facendo questi professionisti per proteggere i siti web dei loro clienti.

Ivica Delic lavora con WordPress dal 2011 e ha co-fondato FreelancersTools.com. Si è offerto volontario nella comunità di WordPress e ha partecipato e presentato a numerosi WP Meetup sull'accelerazione dei siti Web WordPress. Ivica ha avviato diversi gruppi Facebook popolari su vari argomenti WordPress. È amministratore in più di 25 gruppi Facebook, che insieme hanno oltre 150.000 membri. Ivica si è laureato in Economia e dopo oltre 20 anni di gestione di team nel settore bancario ha co-fondato Confida, una società di mercato digitale che si concentra sull'aiutare i clienti nella gestione di siti Web WordPress e nelle esigenze di marketing digitale.

L'intervista

D1: Quali sono le prime 5 best practice di sicurezza che implementi/segui quando configuri un nuovo sito Web WordPress?

Il primo è scegliere un hosting WordPress buono e affidabile. Ho lavorato con molti host web e ce ne sono molti buoni. Uso SiteGround per la maggior parte del mio lavoro.

La seconda best practice consiste nell'implementare una buona strategia di backup. Uso sempre un servizio online ove possibile, come BlogVault. Ciò consente di archiviare i backup fuori sede e in un luogo sicuro.

Quindi installo una serie di strumenti e plug-in per la sicurezza di WordPress. Raccomando sempre MalCare e WP Activity Log come ultima linea di difesa del sito Web a tutti i nostri clienti.

Le restanti due migliori pratiche sono raccomandazioni per i nostri utenti; usa password WordPress uniche e complesse e mantieni sempre aggiornati il ​​core, il tema, i plugin, il PHP e tutto il software sul tuo server web e computer di WordPress. Se possibile utilizzare un software antivirus/antimalware.

Q2. Trovi che i plug-in e i servizi di sicurezza di WordPress siano facili da implementare e utilizzare o no?

Abbiamo testato molti plugin e strumenti di sicurezza negli ultimi anni. Ce ne sono alcuni che sono molto facili da implementare e utilizzare. Tuttavia, alcuni altri sono molto difficili da usare e stanno facendo più male che bene. Lasciano molto all'utente su cui decidere, tuttavia, la maggior parte degli utenti e dei professionisti non è esperta di sicurezza. Quindi trovano questi plugin travolgenti e finiscono per sotto o sovraproteggere i loro siti web.

Il più delle volte, gli utenti configurano in modo errato plug-in di sicurezza complessi. Ad esempio, vengono bloccati dal proprio sito Web dal plug-in di sicurezza o tutte le loro immagini hot linkate non vengono più caricate. Oppure alcuni plug-in di sicurezza con monitoraggio dell'integrità dei file segnalano che una modifica in un file di registro è potenzialmente dannosa. Gli utenti si fanno prendere dal panico per queste cose perché non capiscono che, ad esempio, una modifica in un file di registro non è dannosa o perché le immagini hot linked non funzionano.

Q3. Qual è stata la sfida/difficoltà più grande che hai incontrato durante l'implementazione o l'utilizzo di plug-in/prodotti/servizi di sicurezza?

Per fare riferimento alla domanda precedente, la sfida più grande che ho incontrato personalmente è che devo testare e controllare gli strumenti di sicurezza utilizzati sul sito Web di un cliente, con i quali potrei non avere familiarità. A volte ci assumiamo la gestione del sito web di un cliente e dobbiamo verificare che tutte le soluzioni di sicurezza funzionino correttamente insieme senza sovrapposizioni di funzioni. Dobbiamo assicurarci che non ci siano problemi di compatibilità tra di loro per evitare comportamenti indesiderati, come il blocco degli amministratori del sito.

Q4. Segui dei siti Web di sicurezza per conoscere la sicurezza di WordPress o lo lasci ai professionisti? O è un po' di entrambi?

Sono membro e amministratore di alcuni gruppi Facebook sulla sicurezza di WordPress in cui pubblicano molti esperti di sicurezza di WP. Seguo e leggo tutte le notizie rilevanti sulla sicurezza, nonché i consigli pratici / le migliori pratiche sulla sicurezza. Tuttavia, il complesso compito di pulire i siti infetti che (ancora) non ho padroneggiato. In tali situazioni mi affido ai professionisti.

Q5. Preferisci utilizzare un servizio firewall WordPress online o installare un plug-in firewall WordPress sul tuo sito? Spiega perchè.

Preferisco utilizzare un servizio WAF (Web Application Firewall) di WordPress online. Tutti gli esperti affermano che WAF è un livello di sicurezza molto migliore contro hacker e attacchi DDoS. Un WAF è in grado di rilevare e bloccare qualsiasi cosa dannosa prima che raggiunga il tuo sito. Sfortunatamente, i plugin di WordPress non possono fornirlo, poiché stanno cercando di difendere il sito Web dall'interno .

Q6. Secondo te, quali sono le prime tre cause per cui i siti WordPress vengono violati?

Condivido la stessa opinione di molti altri professionisti:

• hosting di siti Web non sicuri,
• uso di password deboli e facili da indovinare,
• core WordPress obsoleti, temi, plugin, PHP e altri software.

Se non ti dispiace che aggiunga un suggerimento in più, se ti interessa il tuo sito Web e la tua attività non installare plugin e temi annullati.

D7: Cosa pensi che il settore/i fornitori della sicurezza di WordPress possano fare per aiutare più professionisti come te, la cui sicurezza non è la loro tazza di tè, a comprendere e proteggere meglio i siti Web dei loro clienti?

In breve, devono renderlo molto più semplice per l'utente. Possono farlo:

• creare più procedure guidate per un'implementazione più facile e veloce dello strumento di sicurezza,
• implementare automaticamente "le migliori pratiche" in modo che non rimanga molto da fare all'utente,
• implementare un sistema di avviso in modo che quando alcuni strumenti di sicurezza vengono installati sullo stesso sito con funzionalità sovrapposte, l'utente viene informato del problema.

Q8. Se potessi scegliere una funzionalità di sicurezza da includere nel core di WordPress per impostazione predefinita, quale sarebbe e perché?

Mi piacerebbe vedere il servizio Web Application Firewall (WAF) incluso in WordPress per avere almeno il livello di base della protezione della sicurezza, come abbiamo su Windows con Windows Defender preinstallato.

Q9. C'è qualche argomento o contenuto in particolare che vorresti vedere di più da fornitori e professionisti della sicurezza?
Mi piacerebbe vedere più casi d'uso della vita reale per principianti che spiegano cosa fare in particolari situazioni quotidiane quando la sicurezza viene violata. Ce ne sono parecchi là fuori, ma la maggior parte di essi sono rivolti a persone di sicurezza avanzate. Usano gergo e strumenti complessi.

Q10. Pensi di poterti tenere aggiornato con le novità sulla sicurezza di WordPress o no? Se no, quale pensi sia il problema?
Sì, dopo tutti questi anni mi sento abbastanza sicuro di aver capito. Ci è voluto un po' di tempo per testare e creare con cura la nostra casella combinata degli strumenti di sicurezza e per garantire che tutti i membri del nostro team seguano le migliori pratiche di sicurezza.