Guida aggiornata alla sicurezza WooCommerce

Chi segue il nostro blog e la nostra attività sui social sa bene quanto la sicurezza informatica sia fondamentale per Linkware, a qualsiasi livello, soprattutto negli ecommerce realizzati con WooCommerce, partendo sempre da quelli più amatoriali dove si annidano le maggiori vulnerabilità, proprio come è accaduto giorni fa quando la sicurezza WordPress è stata bucata in uno dei più noti security plugin.

Andiamo con ordine riprendendo la notizia da una fonte ufficiale come Searchenginejournal che a firma di Roger Montti titola così: WordPress Security Plugin Exposes +1 Million Websites.

Roger Montti, marketer e uomo tutto fare nel vasto mondo del digital marketing e della SEO, ritiene da sempre, che una strategia di visibilità e di brand reputation passi, inevitabilmente, dalla solidità aziendale che trova le sue basi nella sicurezza dell’azienda stessa a 360 gradi.

Quando Google capisce che il tuo sito web o e-commerce è sicuro, ti premia anche in visibilità e ranka più velocemente.

Lo abbiamo visto con i certificati SSL, ma potremmo parlare per ore dell’importanza di avere una CDN, un plugin (nel caso di WordPress) come Sucuri, la doppia autenticazione per accedere alla dashbord, un IP dedicato e navigare con una VPN a pagamento, argomenti che tratteremo in un altro nostro articolo.

Ecco perché abbiamo deciso di scrivere più articoli dedicati alla sicurezza WooCommerce, per fare chiarezza partendo proprio dal suddetto articolo del 12 dicembre 2021.

Sicurezza WordPress: WPS Hide Login WordPress Plugin ha pubblicato la pagina di login nascosta, annullando lo scopo del plugin

Sappiamo perfettamente che la sicurezza informatica non sia pane quotidiano per la maggior parte di noi e che spesso venga sottovalutata perché non capita a pieno.

Si pensa sempre che la sicurezza informatica sia obbligatoria solo per le grandi aziende e che, al contrario, i siti web e i piccoli e-commerce siano immuni da attacchi informatici.

Niente di più sbagliato perché proprio nei grandi numeri cresce e lievita l’hacking.

Spesso gli attacchi hacker sono solo dimostrazioni di “bravura”, spesso si attacca la massa proprio perché è più facile trovare vulnerabilità, fatto sta che i plugin sono le porte aperte che gli hacker preferiscono utilizzare nei loro attacchi.

Ecco perché il plugin WPS Hide Login WordPress ha recentemente corretto una vulnerabilità che esponeva la pagina di accesso segreta degli utenti. La vulnerabilità consentiva a un hacker malintenzionato di vanificare lo scopo del plug-in (di nascondere la pagina di accesso), esponendo il sito a un attacco per sbloccare la password e accedere. In sostanza, la vulnerabilità annullava completamente lo scopo previsto del plug-in stesso, che è quello di nascondere la pagina di accesso di WordPress. Se vuoi leggere tutto l’articolo originale clicca qui.

Sì, perché tra le tante accortezze che un sito web o un e-commerce realizzato con WooCommerce  dovrebbe avere, oltre a quelle che abbiamo citato prima, c’è anche quella di nascondere la pagina di accesso alla dashbord.

Cosa fare per rendere sicuro WooCommerce

Entriamo nel cuore di questo articolo e cerchiamo, passo a passo, di capire insieme cosa fare quando vogliamo rendere sicuro un ecommerce realizzato in WooCommerce.

Non più tardi di 10 anni fa era molto difficile far capire ai clienti quanto il più famoso CMS utilizzato al mondo fosse facilmente attaccabile, forse perché la maggior parte di loro riteneva che il problema non potesse toccarli.

Oggi molte cose sono cambiate e la sicurezza informatica è diventata oggetto di molti dibattiti e corsi e tutti noi sappiamo quanto sia vitale avere un sito web o un e-commerce sempre aggiornato e in totale sicurezza.

Ecco perché vi spiegheremo come rendere WooCommerce sicuro in modalità fai da te.

Perché è importante la sicurezza di WooCommerce?

Un sito web ecommerce è il primo punto di contatto per i potenziali clienti per conoscerti e fidarsi del tuo  brand e del tuo business, quindi è importante mantenere sempre in salute il tuo sito web in termini di sicurezza.

Poiché WordPress ha guadagnato sempre più popolarità negli ultimi anni, oggi è diventato un punto di attrazione per gli hacker che si “divertono” a danneggiare i nostri file e alla fine i nostri business.

Oltre all’hacking, ci sono anche altre minacce, come ad esempio il ransomware che prende in ostaggio il nostro sito web.

Il ransomware è un software che entra nel nostro sistema e ne blocca l’accesso ai visitatori del sito web. Il proprietario del ransomware richiede poi una certa quantità di denaro/risarcimento per liberare il nostro ecommerce.

Non finisce solo con questo, se Google scopre che il tuo sito web è affetto da un virus o da un attacco di hacking può inserire il sito nella lista nera e disindicizzarlo (nella Google Search Console esiste un pulsante apposito nel menù per scansionare il tuo sito web – clicca sul link qui a fianco per leggere la guida ufficiale di Google quando Search Console rileva malware sul tuo sito), e ogni volta che un visitatore vuole visitare il tuo sito web sarà avvisato dal browser del problema di sicurezza sul tuo sito web.

 Oltre agli strumenti e alle pratiche giuste, è molto importante capire il ruolo del tuo fornitore di hosting. È importante affidare il tuo sito web a un provider di web hosting serio e fidato come quelli che utilizziamo noi. 

Quanto è sicuro WooCommerce di WordPress?

Con WordPress, ci riferiamo al nucleo dei file di WordPress e alla sua applicazione WooCommerce che permette di trasformare un sito in ecommerce. WordPress è molto sicuro a condizione che gli amministratori tengano sotto controllo tutti gli altri parametri di sicurezza e seguano tutte le procedure di sicurezza. È importante che il WordPress Admin mantenga tutti i file di base alla versione più recente, e avere sempre tutti i temi e plugin aggiornati.

Cosa fare per rendere sicuro WooCommerce

Da sempre durante le nostre consulenze consigliamo di utilizzare plugin di sicurezza WP affidabili, come Wordfence, Sucuri, o All in One WordPress Security and Firewall. Ci sono versioni gratuite e a pagamento di questi plugin. Questi plugin di sicurezza mantengono un occhio vigile su tutte le attività sospette e bloccano gli attacchi. È possibile configurare facilmente questi plugin utilizzando le rispettive dashboard.

Esistono poi dei server che sono già dotati di tutte questi plugin di sicurezza, ed è possibile configurare e monitorarli direttamente dalla dashboard.

I migliori security plugin WordPress per il 2022

Non sempre tutti questi plugin sono economici, ma spesso possono essere acquistati a prezzi più convenienti durante offerte o periodi particolari come il Black Friday.

Malcare

Malcare è dotato di scansione e pulizia malware istantanea. È possibile cancellare automaticamente il tuo sito web nei passaggi più semplici utilizzando questo plugin. Offre anche inbuilt staging e supporto molto buono. I prezzi partono da 99 dollari all’anno.

Sucuri Security

Sucuri Security è un plugin di sicurezza per WP molto efficace con caratteristiche che includono Security Activity Auditing, File Integrity Monitoring, Remote Malware Scanning e Blacklist Monitoring, con notifiche via email. Ha un’opzione gratuita e una a pagamento con un abbonamento mensile a partire da $16/mese.

iThemes Security

Itheme Security è un plugin di sicurezza molto versatile con opzioni come Malware Scan, User Action Logging e Online File Comparison tra gli altri. Inoltre ci sono molte altre opzioni incorporate in questo plugin come cambiare gli URL per la dashboard di WordPress, rimuovere le informazioni di intestazione RSD, cambiare il percorso wp-content ecc. È anche possibile impostare l’autenticazione a due fattori e la scadenza della password. Il prezzo è di 48 dollari all’anno.

WordFence Security

Wordfence ha aggiornato le regole del firewall contro il malware e la lista degli indirizzi IP dannosi, con caratteristiche come il blocco dei paesi e disabilitare o aggiungere 2FA a XML-RPC. Ha una versione speciale per multisito conosciuta come Wordfence Central come metodo provato per proteggere più siti all’interno del tuo ambiente multisito. Il prezzo parte da $74 all’anno

INDICE