WordPress è davvero la scelta migliore per sicurezza e prestazioni?

Costi solo apparentemente bassi e vulnerabilità agli attacchi degli hacker sono alcuni motivi che dovrebbero farti riflettere sulla scelta di questa piattaforma CMS

01/10/2020

WordPress è la piattaforma per creare e gestire siti web più famosa e usata al mondo: almeno 455 milioni di siti la impiegano. Se anche tu decidi di adottarla per il tuo sito hai sicuramente delle buone ragioni per farlo. Sei però anche consapevole delle altrettanto buone ragioni per cui non dovesti farlo? In questo articolo ti spieghiamo il motivo per cui, se ci sono delle ottime ragioni per scegliere Wordpress, ce ne sono altrettante per dubitare che sia un sistema davvero sicuro ed efficiente.

WordPress: le ragioni per sceglierlo come piattaforma per il tuo sito web

Perché scegli Wordpress se hai bisogno di realizzare un sito Internet o un blog? Sicuramente per almeno una delle seguenti ragioni.

1) WordPress è facile da usare

Wordpress ha la fama di essere un sistema di gestione dei contenuti (Content Management System CMS) facile da usare, infatti permette anche a chi non rientra nella categoria degli smanettoni di creare in poche ore un sito completo e perfetto.

Il procedimento di configurazione ti segue passo per passo con istruzioni dove le parole che troverai più spesso sono semplice, elementare, efficace e immediato: un vocabolario pensato apposta per farti capire che i risultati favolosi del web sono a portata di mano.

Per ogni passaggio è indicato il tempo previsto, sono disponibili tutorial di chiarimento e se proprio sei davanti a un ostacolo che non riesci a superare puoi aggirarlo e affrontarlo in seguito.

WordPress sembra nato per soddisfare il tuo sogno di fare tutto da solo senza dover affrontare la spesa richiesta da una web agency e da una squadra di tecnici, editor e grafici.

Se il tuo sito ha bisogno di una funzione particolare potrai scegliere fra migliaia di plugin che soddisferanno ogni tua necessità. Se vuoi un tema o un menù particolare potrai cercarlo in un catalogo enorme.

E potrai prendere le tue decisioni liberamente senza essere costretto ad ascoltare gli esperti quando cercheranno di convincerti che il tuo sito rischia di essere inefficiente e banale.

2) WordPress costa poco

La seconda ragione è che Wordpress si presenta come un servizio a buon mercato, addirittura gratuito nella sua versione base. Ti diranno che puoi ottenere gratis quello che viene descritto come un grande sito, anche se in realtà sarà un prodotto appena amatoriale, senza possibilità di impiego economico o commerciale e con nessuna visibilità da parte dei motori di ricerca.

Se perciò il tuo scopo è di guadagnare dal web dovrai per forza scegliere un piano tariffario. E all’abbonamento iniziale dovrai aggiungere le spese supplementari per i servizi accessori che ti serviranno.

3) WordPress è molto diffuso anche tra le grandi aziende

C'è un’ultima ragione che ti avrà convinto: Wordpress ha tanti clienti famosi. Non solo lo usano i privati ma persino aziende importanti. Queste imprese potrebbero pagare profumatamente dei professionisti per questo tipo di lavoro. Se preferiscono investire su una piattaforma fai-da-te ti sarai convinto che questa è la garanzia che si può ottenere un sito efficace anche spendendo poco.

Ma se WordPress offre davvero tanti vantaggi allora perché tutte le aziende non usano questa piattaforma? Magari ci sono degli imprenditori a cui non piace risparmiare e che preferiscono buttare i soldi dalla finestra. Ma forse hanno delle buone ragioni per non fidarsi, a partire dai problemi di sicurezza di WordPress.

La sicurezza di WordPress: un problema sottovalutato da molti

Quando hai scelto WordPress per costruire il tuo sito hai considerato l’aspetto della sicurezza dagli attacchi dei pirati informatici e degli hacker? Probabilmente no, perché hai dato per scontato che sia invulnerabile ai virus e ai furti di dati. Wordpress è un gigante del web e sicuramente investe milioni per acquisire le tecnologie più avanzate e per assoldare i migliori esperti nel campo del counter hacking e della website security.

Ma allo stesso tempo WordPress è anche una piattaforma open source. In termini informatici significa che il suo software non è protetto da copyright o diritti d’autore e che chiunque può leggere e modificare il suo codice. E’ un bellissimo incoraggiamento alla comunità degli sviluppatori a dare il proprio contributo per migliorarlo e correggerne i difetti. Ma questa libertà di accesso vale per tutti, anche per gli hacker che intendono studiarlo per scoprire i suoi punti deboli o per crearne di nuovi.

Infatti in base a una statistica del 2017 su 100 siti infetti realizzati con piattaforme CMS, 83 appartenevano a Wordpress.

La ragione per cui i pirati informatici si accaniscono contro di esso è legata proprio alle sue dimensioni globali, formate da decine di milioni di siti a livello mondiale. Un bersaglio grande infatti è più facile da colpire di un bersaglio piccolo e offre ai pirati informatici ricompense più ricche di cui impadronirsi, più punti vulnerabili da attaccare e, non ultima, la soddisfazione di aver umiliato una grande società informatica.

I punti deboli della sicurezza di WordPress

Ma quali sono i punti deboli di WordPress? Vediamo di descriverli uno per uno qui di seguito.

1) Core software non aggiornato

Ti avvisiamo di non illuderti che dopo aver creato il tuo sito con WordPress tutto quello che dovrai fare successivamente sarà aggiungere foto, post e video. Infatti dovrai provvedere di persona anche alla manutenzione aggiornando periodicamente il suo core software. Per alcuni è un’operazione noiosa che porta via tempo prezioso. Altri invece non sanno nemmeno da che parte cominciare. In entrambi i casi la tentazione è di rimandare questo tipo di intervento. Ed è un grosso sbaglio perché WordPress rilascia nuove versioni di software proprio per aggiustare i punti deboli usati dagli hacker per attaccare i suoi siti.

E’ stato proprio sfruttando questo genere di falla nella sicurezza che nel 2012 degli hacker riuscirono a postare una falsa intervista a un leader dei ribelli siriani sul sito WordPress della Reuters, una delle più grandi agenzie stampa del mondo. Quindi sei ancora convinto che le scelte delle grandi aziende siano una garanzia? Certo non si possono addebitare colpe a WordPress, perché toccava ai tecnici della Reuters occuparsi degli aggiornamenti. Ma è possibile che due aziende di queste dimensioni non abbiano un canale di comunicazione privilegiato per scongiurare simili problemi? Essere “grandi” non sempre è un vantaggio, perché si cade nella trappola del “Chi aveva questa responsabilità? Non io, chiedi a uno degli altri duecento dipendenti”.

Questo problema non si presenta nelle agenzie web, dove il compito di aggiornare il software spetta a figure ben precise lasciando i proprietari del sito liberi di concentrarsi sul proprio lavoro.

2) Plugin e temi

I plugin sono fondamentali per gestire tutte le funzioni del tuo sito. Ne esistono di ogni tipo e per ogni esigenza: plugin per gestire la SEO, le vendite online, per rendere più veloce il caricamento del sito. Ci sono persino plugin che ti aiutano a gestire i plugin. La directory ufficiale Wordpress ne conta più di 55.000, a cui si aggiungono quelli disponibili presso fonti esterne.

I plugin sono la via d'accesso preferita dagli hacker per violare un sito WordPress.

Come il software anche un plugin può avere dei punti deboli. Ma mentre il software che usi è uno solo i plugin che hai installato saranno tanti. Il consiglio è di non usarne più di 15 ma molti li accumulano come se dovessero farne la collezione. Il problema è che se già è difficile e noioso aggiornare un software immagina cosa significhi tenere d’occhio l’aggiornamento di ogni plugin quando diventa obsoleto e richiede di essere sostituito o addirittura cancellato.

Come se non bastasse quando hai bisogno di un plugin sarai tentato di scegliere il più economico o quello che promette prestazioni superiori rispetto a tutti gli altri. Questo significa cedere alle promesse di fonti poco attendibili o addirittura sospette dietro a cui si nascondono probabilmente degli hacker.

Lo stesso discorso vale per i temi, usati non solo per presentare graficamente il sito ma anche per svolgere certe funzionalità, proprio come i plugin. Anche i temi possono contenere errori nel codice o possono essere stati modificati da un hacker, un problema che riguarda gli stessi temi ufficiali di WordPress. E’ per eliminare queste vulnerabilità che ti potrà capitare di aggiornare il tema che avevi scelto con delle patch di sicurezza. Ti diranno che questa operazione è facile e rapida ma in realtà richiede dapprima un backup di tutto il sito, la scelta del momento giusto per eseguirla (per evitare che arrivino visite proprio in quel momento) e una serie di controlli per accertarsi che il nuovo tema funzioni regolarmente e non sia in conflitto con altre componenti.

La procedura che abbiamo appena descritto però vale solo se non hai mai personalizzato il tuo tema. Se invece lo hai ritoccato dovrai intervenire su ogni singola modifica, sperando di ricordarle tutte, copiarle nel tema aggiornato e testarle.

3) Backdoor

Le backdoor sono delle scorciatoie che permettono di accedere a un sistema informatico evitando la normale autenticazione. Di per sé non sono un male. Infatti possono crearle anche i tecnici per accelerare gli interventi di riparazione e manutenzione di un sito. Ma anche le backdoor “buone”, come quelle “cattive” aperte dai cybercriminali, possono consentire l’accesso di malintenzionati se non sono ben chiuse e sorvegliate.

Dove puoi trovare le backdoor in WordPress? Un primo nascondiglio è fra i temi inattivi, quelli che hai smesso di usare ma che continui a conservare in questa directory.

Poi ci sono i plugin di cui abbiamo già parlato. Questi possono contenere già in origine una backdoor, se hai ceduto alla tentazione di scaricarli da un sito inaffidabile, o potrebbero prestarsi a questo tipo di violazione, se sono stati codificati male.

Infine ci sono le directory di upload. Più alto è il numero di file che contengono tanto più sarà facile nascondere in mezzo a loro una backdoor.

Puoi trovare ed eliminare le backdoor, ma per farlo devi prenderti cura del sito eliminando i file inutili e installando a pagamento dei plugin di monitoraggio. Questo significa investire tempo e denaro in più rispetto a quanto previsto quando hai iniziato a creare la tua prima pagina web con WordPress. Come vedi i costi non sono solo quelli dell’abbonamento.

4) Exploit

Gli exploit sono codici che sfruttano gli errori di scrittura di un software per assumere il controllo di un sito e aggiungere contenuti indesiderati. Uno degli esempi più illustri di questo tipo di minaccia sono i Pharma Hack, così chiamati perché le prime versioni aggiungevano ai siti colpiti pubblicità spam di prodotti farmaceutici.

Anche gli exploit vengono introdotti attraverso versioni obsolete di software o di plugin di Wordpress.

5) Attacchi Denial of Service (DoS)

Gli attacchi Denial of Service (DoS), a volte chiamati anche Distributed Denial of Service (DDos), riescono a rendere inaccessibile un sito, un server o una rete sommergendoli di richieste di collegamento. Spesso il bersaglio di questi attacchi sono le grandi società finanziarie, a cui gli hacker chiedono un riscatto per sospendere la loro aggressione.

Ma se pensate di esserne immuni perché svolgete un’attività che non ha nulla a che fare con la finanza vi sbagliate, perché per lanciare questi attacchi gli hacker hanno bisogno di tanti complici inconsapevoli sotto forma di siti e blog di qualsiasi genere. Ed è più facile trovare quelli che hanno le caratteristiche idonee all’interno di WordPress che in giro per tutta la Rete.

Si risparmia davvero con WordPress?

La morale di tutta questa storia è che WordPress costa più di quanto avrai calcolato all’inizio quando hai visto le sue diverse proposte tariffarie. Non parliamo solo di costi economici ma anche di quella moneta inestimabile che è il tuo tempo. Puoi davvero permetterti di dedicare ogni giorno una o più ore agli aggiornamenti, alla manutenzione e ai test per assicurarti che tutto il tuo sito funzioni regolarmente e non sia vulnerabile agli hacker? Se lavori in proprio dovrai piuttosto concentrarti sui tuoi affari. Se hai una Pmi non potrai permetterti una figura dedicata esclusivamente alla gestione del sito. E persino le grandi aziende hanno dimostrato di trascurare la sicurezza di Internet.

Il nostro consiglio è di non ascoltare chi ti dice che puoi fare tutto da solo ma di affidarti a un’agenzia web come la E-Motion. Non solo garantiremo la massima sicurezza del tuo sito e la sua efficienza, ma lo faremo con costi chiari che ti permetteranno di evitare lo spreco sia di tempo che di denaro.

p.le Arduino, 11 - 20149 Milano
+39 02 87167 542

P.IVA 13366770157 | Rea MI 1643554