Skip to main content
WordPress

Plugin WordPress e sicurezza informatica: cosa devi sapere

È importante assicurarsi che i plug-in e temi scelti siano affidabili e sicuri. Sfortunatamente, le persone possono e sfruttano i plugin.

Di solito si tratta di script dannosi iniettati nei plugin con falle di sicurezza. Cosa fanno questi script dannosi? Le possibilità includono l’acquisizione del sito, l’installazione di spyware e l’estrazione di criptovalute, nonché il furto di informazioni sui clienti e dati delle carte di credito dai siti di e-commerce.

Questo non vuol dire che WordPress non sia sicuro. Tra gennaio e luglio 2021, i ricercatori hanno trovato solo tre vulnerabilità nel software di base e sono state corrette. Ma con decine di migliaia di plug-in di quasi altrettanti editori, le probabilità di un problema di sicurezza sono maggiori con i plug-in rispetto alla piattaforma stessa.

Il tuo plugin WordPress è aperto alle minacce?

Scegliere i plugin è un po’ come comprare un’auto. Ovviamente vuoi prestazioni, ma vuoi anche qualcosa che sia sicuro, affidabile e di facile manutenzione. Scegli un rivenditore di auto rispettabile e leggi le recensioni, quindi non compri un limone. E dovresti ottenere plug-in di prim’ordine da una fonte affidabile, in modo da non ritrovarti con un plug-in dannoso o con vulnerabilità di sicurezza note.

Gli esperti di sicurezza considerano la directory dei plugin di WordPress.org come la fonte più sicura per i plugin. Con oltre 59.000 plug-in, non rimarrai senza opzioni e il sito richiede feedback e recensioni dagli utenti.

plugin per wordpress
Solo alcuni dei plugin per ricette su WordPress.org

Controlla quelle recensioni prima di scaricare, non solo le valutazioni a stelle, ma anche il feedback degli utenti. Guarda cosa piace alla gente del plugin. Leggi eventuali problemi che stanno riscontrando con il plug-in o gli aggiornamenti originali. Ottieni un’idea di quanto bene l’editore supporti il ​​plug-in.

Controlla anche il numero di installazioni attive per avere un’idea di quanti utenti si fidano del plugin. Un buon plugin può avere solo poche centinaia di utenti, ma un plugin con migliaia di utenti ha guadagnato molta fiducia.

Aspetta, il mio host web non mi protegge?

Il tuo host web gestisce molta sicurezza, inclusa la protezione fisica e digitale per il server che ospita il tuo sito. Il tuo piano di hosting specifico può includere anche funzionalità di sicurezza per il tuo sito web. Ad esempio, i piani di hosting WordPress gestito di HostGator includono backup giornalieri automatici del sito Web CodeGuard, SiteLock per rilevare e rimuovere malware dal tuo sito e prevenzione dello spam sugli account e-mail del tuo dominio con SpamAssassin.

Questi livelli di protezione ti fanno risparmiare tempo in modo che tu possa concentrarti su esigenze di sicurezza specifiche per il tuo sito web: mantenere aggiornate la tua versione di WordPress , i tuoi temi e i tuoi plugin e assicurarti che gli aggiornamenti non danneggino il tuo sito web (un altro motivo per cui ogni giorno i backup sono così importanti).

Ricorda: le funzionalità di sicurezza possono variare in base all’host web e al piano di hosting. In caso di dubbio, verifica con il team di supporto del tuo piano per sapere con certezza quali funzionalità di sicurezza sono offerte.

Verifica la compatibilità con l’ultima versione di WordPress

Quindi, hai trovato un plugin con buone recensioni e molti utenti. Prima di scaricarlo, assicurati che sia compatibile con la tua versione di WordPress. (Per sicurezza e prestazioni, dovresti sempre mantenere aggiornato il tuo sito Web anche su WordPress.)

Per assicurarti che i tuoi plugin e WordPress siano compatibili, devi conoscere la tua versione attuale di WordPress. Puoi trovarlo accedendo alla dashboard di WordPress e facendo clic su Aggiornamenti. Vedrai un avviso che ti farà sapere se stai utilizzando l’ultima versione e ti darà il numero di versione.

Se hai l’ultima versione di WordPress, vedrai un messaggio simile a questo:

Se stai utilizzando una vecchia versione di WordPress, vedrai un messaggio simile a questo, con un pulsante che ti invita ad aggiornare:

La pagina degli aggiornamenti di wordpress mostra la versione corrente e se è disponibile una versione aggiornata

Devi anche verificare che il plugin che desideri sia aggiornato. La maggior parte degli autori di plug-in è brava ad aggiornare i propri prodotti, ma a volte i plug-in vengono abbandonati o gli aggiornamenti tardano a venire. Se vedi un avviso con un riquadro giallo nella parte superiore della pagina del plugin su WordPress.org, prestagli attenzione.

avviso che il plugin non è aggiornato con l'ultima versione di wordpress
Un avviso su una pagina di plug-in obsoleta

Controlla anche la casella delle specifiche sulla pagina per vedere con quale versione di WordPress funziona e quanto recentemente è stata aggiornata.

guarda quanto recentemente è stato aggiornato un plugin per wordpress
WordPress è alla versione 5.8 ora, quindi questo plugin è seriamente obsoleto.

Questo plugin di esempio potrebbe non funzionare correttamente con la versione corrente di WordPress. Potrebbe anche avere punti deboli di sicurezza che gli hacker possono sfruttare. In effetti, attaccare i siti con plug-in vecchi e obsoleti, compresi i siti Web abbandonati, è una tattica preferita degli aggressori che cercano di dirottare i siti per i propri progetti nefasti.

Se il plugin che hai scelto è compatibile, vai avanti e provalo. Se decidi che non è adatto al tuo sito, eliminalo. Altrimenti, dovrai continuare a mantenerlo, anche se non lo stai usando.

Questo ci porta al modo più comune in cui i buoni plugin vanno male. Quando gli utenti non li aggiornano, gli hacker possono sfruttarli .

Mantieni WordPress e i tuoi plugin aggiornati

Come tutto ciò che è fatto con il codice, WordPress e i plugin ricevono aggiornamenti per nuove funzionalità, miglioramenti e riparazioni. A volte questi problemi sono piccole cose che influenzano l’aspetto o il funzionamento di un plug-in. A volte sono falle di sicurezza che devono essere riparate per tenere gli hacker fuori dal tuo sito.

Quando gli editori annunciano aggiornamenti di sicurezza, anche gli hacker li vedono. E iniziano a controllare i siti che non hanno ancora effettuato gli aggiornamenti, spesso utilizzando bot in grado di scansionare e identificare i siti vulnerabili in modo rapido e su larga scala.

Anche se sei soddisfatto della versione corrente di WordPress e dei tuoi plugin, devi comunque aggiornare. WordPress e alcuni plugin ti consentono di impostarli per l’aggiornamento automatico, cosa che dovresti fare. Per il resto, hai alcune opzioni per mantenere le cose attuali.

1. Crea il tuo programma di aggiornamento manuale.

Questo approccio può funzionare se sei in grado di impegnarti a controllare il tuo sito per gli avvisi di aggiornamento almeno una volta alla settimana. Se tendi a dare il via a piccoli compiti quando sei occupato, salta questo approccio. Potresti finire con le vulnerabilità del sito.

Anche se decidi di non eseguire aggiornamenti manuali, è una buona idea sapere come. A volte potresti temere che un aggiornamento interrompa il tuo sito, soprattutto se i tuoi plugin non sono stati aggiornati per supportare la versione più recente di WordPress. Ti consigliamo di eseguire il backup del tuo sito prima di aggiornare manualmente ed essere pronto a disinstallare l’aggiornamento in caso di problemi.

Proprio come quando controlli per vedere quale versione di WordPress stai utilizzando, andrai alla tua dashboard. Fai clic su Aggiornamenti nella colonna di sinistra, appena sotto Home. Vedrai lo stato dell’aggiornamento per WordPress, i tuoi plugin e i tuoi temi. Se qualcuno non è aggiornato, puoi aggiornarlo qui.

2. Aggiungi un plug-in di sicurezza. Aspetta, perché hai bisogno di un plug-in di sicurezza?

Un plug-in di sicurezza aggiunge un altro livello di protezione per il tuo sito scansionando il tuo sito per problemi di sicurezza, inclusi plug-in obsoleti e aggiornamenti WordPress in sospeso e inviandoti avvisi via e-mail ogni volta che il tuo sito necessita di un aggiornamento.

Sta ancora a te fare gli aggiornamenti. Ma in questo modo non perdi i problemi che emergono tra i tuoi aggiornamenti pianificati regolarmente.

Se il tuo piano di hosting non include un servizio di sicurezza come SiteLock, puoi aggiungerlo al tuo sito. Il piano di base include una scansione malware giornaliera, la rimozione automatica di qualsiasi malware rilevato dalla scansione, protezione dagli attacchi bot e una rete di distribuzione dei contenuti di base che protegge automaticamente il tuo sito con i certificati TSL/SSL più recenti.

Altri piani di sicurezza di SiteLock includono firewall per le tue applicazioni web, protezione da attacchi DDoS, scansione del database e scansioni malware continue (piuttosto che giornaliere).

3. Imposta gli aggiornamenti automatici dei plugin.

Se disponi di plug-in che non dispongono di un’opzione di aggiornamento automatico, considera il plug-in Easy Updates Manager . Sì, un plugin per aggiornare i tuoi plugin—pluginception! La versione gratuita ti consente di impostare alcuni o tutti i tuoi plugin per l’aggiornamento automatico. Questo è l’approccio più efficiente, soprattutto se gestisci più di un sito Web o gestisci un sito ad alto traffico con più plug-in.

Leave a Reply

Rispettiamo la tua privacy!

Su questo sito utilizziamo strumenti nostri o di terze parti che memorizzano piccoli file (cookie) sul tuo dispositivo. I cookie sono normalmente usati per permettere al sito di funzionare correttamente (cookie tecnici), per generare statistiche di uso/navigazione (cookie statistici). Abilitando questi cookie, ci aiuti ad offrirti una esperienza migliore con noi.

Privacy & Cookie Policy