5 cose da dire ai tuoi clienti sulla sicurezza di WordPress

Pubblicato: 2021-02-05

Costruire e proteggere un sito Web WordPress è sempre una sfida. Gli sviluppatori fanno molta attenzione a scrivere codice solido e implementare funzionalità come i plug-in di sicurezza per mitigare gli inevitabili attacchi.

Anche così, non siamo fuori pericolo. Per parafrasare il vecchio proverbio: un sito web è sicuro solo quanto il suo anello più debole. Al di là dei potenziali exploit dovuti al codice, l'anello più debole tende ad essere un utente disinformato. Qualcuno che, non per colpa propria, fa una scelta sbagliata che rende vulnerabile il proprio sito web.

Per usare un altro cliché: la migliore difesa è un buon attacco. In questo caso, significa essere proattivi quando si tratta di insegnare ai clienti le migliori pratiche di sicurezza. Alcune cose (come password complesse) sono universali, mentre altre sono più specifiche per WordPress stesso. E questo è il nostro obiettivo per oggi.

Detto ciò, esaminiamo cinque cose che i tuoi clienti devono sapere sulla sicurezza di WordPress.

Non installare un plugin per WordPress senza consultare un professionista

Abbiamo capito: la tentazione di installare plugin è reale. Dopotutto, sono a pochi clic di distanza.

Ma anche il rischio è reale. I plugin di WordPress variano notevolmente in termini di qualità e, quindi, di sicurezza. Non è raro trovare un plug-in nel repository ufficiale che non è stato aggiornato da un anno o più. Forse è innocuo; forse non lo è.

Per questo motivo, i web designer dovrebbero incoraggiare i clienti a eseguire una rapida consultazione prima di installare un plug-in. Offriti di dare un'occhiata e rivedere i dettagli. Questo singolo passaggio potrebbe prevenire uno scenario da incubo per quanto riguarda la sicurezza e la stabilità del sito.

Ci sono diversi vantaggi. Innanzitutto, questo ti tiene informato su cosa sta succedendo con il sito. Inoltre, ti consente di indirizzare i clienti nella direzione di plugin buoni e affidabili. Per non parlare del fatto che questo insegna ai clienti a pensare prima di fare clic. Questo avvantaggia tutti.

La schermata dei plugin di WordPress.

Crea nuovi account utente, invece di condividerne uno solo

Molte organizzazioni hanno più di una persona che ha bisogno di accedere alla dashboard di WordPress. Troppo spesso questi utenti condividono un unico account.

In apparenza, può sembrare una semplice questione di fiducia. E di certo c'è un elemento in questo. Se un membro del team lascia l'organizzazione, c'è la possibilità che abbia ancora accesso se la password non è stata modificata. E una persona malintenzionata potrebbe fare dei danni.

L'altra vera preoccupazione qui riguarda la sicurezza del dispositivo. Se hai, ad esempio, cinque persone che condividono un account amministratore di WordPress, tutto ciò che serve è uno dei loro dispositivi per essere sfruttato. Ad esempio, un keylogger sul PC di un utente potrebbe compromettere l'account.

Pertanto, è consigliabile che ogni utente disponga del proprio account. Questo è facile da fare all'interno di WordPress e possiamo persino creare ruoli utente personalizzati che limitano ciò che qualcuno può e non può fare.

Un assortimento di chiavi.

Mantieni aggiornati WordPress Core, Plugin e Temi

Idealmente, i tuoi clienti stipuleranno un contratto con te per gestire gli aggiornamenti software. Ma se sono loro ad assumersi la responsabilità, è importante che trattino il problema molto seriamente.

Come sviluppatore, ci sono poche cose più irritanti della risoluzione dei problemi di un sito Web compromesso, solo per accedere a WordPress e vedere che diverse versioni sono obsolete. È come lasciare la porta d'ingresso di casa spalancata, 24 ore su 24, 7 giorni su 7. Non dovresti essere troppo sorpreso quando qualcuno entra e prende la tua nuova TV di fantasia.

L'importanza di mantenere aggiornati il ​​core, i plugin e i temi di WordPress non può essere sopravvalutata. Sapendo che potrebbe essere ancora al di là del livello di comfort di alcuni clienti. Va bene. O possono assumerti per affrontarlo o, almeno, abilitare gli aggiornamenti automatici ove possibile.

Indipendentemente da come vengono implementati gli aggiornamenti, è necessario prendersene cura. Sebbene non garantisca la sicurezza, è molto meglio dell'alternativa.

Una persona che digita su una tastiera.

L'autenticazione a due fattori può fare una grande differenza

Aggiungere l'autenticazione a due fattori a WordPress è abbastanza semplice. Ma vale la pena solo se le parti interessate lo usano effettivamente.

È vero, non è molto conveniente. Dover verificare un'e-mail, un messaggio di testo o controllare un'app mobile per accedere può essere un grosso problema. Ma questo passaggio in più è vitale. Crea un'enorme barriera tra un attore malintenzionato e l'accesso al back-end del tuo sito web.

E l'esperienza dell'utente sta effettivamente migliorando. Alcune implementazioni stanno ora combinando il riconoscimento dei dispositivi con 2FA. Ciò significa che, fintanto che il dispositivo di un utente viene riconosciuto, non sarà necessario verificare un accesso per un determinato periodo di tempo.

Inoltre, 2FA è diventato uno standard in così tanti posti. Alcune app bancarie online non ti consentono di accedere senza di essa. Non c'è motivo per cui anche il tuo sito Web non dovrebbe trarre vantaggio da questa tecnologia.

Ciò che è sicuro oggi potrebbe non essere domani

Indipendentemente dalla piattaforma su cui viene eseguito, un sito Web non è un affare unico. Richiede un'attenzione frequente (se non costante), con la sicurezza che gioca un ruolo importante.

Il web è in continua evoluzione. La nuova tecnologia invecchia molto rapidamente. E ciò che una volta si pensava fosse una best practice di sicurezza può talvolta essere dimostrato il contrario.

Per questo motivo, la sicurezza del sito Web è una sfida che non ha davvero fine. È una battaglia quotidiana sia per le piccole che per le grandi organizzazioni.

Il risultato è che i siti web devono cambiare insieme ai tempi. Quando si tratta di WordPress, ciò potrebbe significare sostituire i vecchi plug-in di sicurezza con qualcosa di meglio. O eliminando temi e plug-in abbandonati per rafforzare le cose. Potrebbe anche richiedere una modifica negli host o negli ambienti server.

È importante capire che solo perché hai investito nella sicurezza oggi non significa che non dovrai farlo di nuovo domani.

Codice sullo schermo di un computer.

Educare i clienti oggi per un sito Web WordPress più sicuro

I nostri clienti spesso si affidano a noi per fornire alcune conoscenze insieme a un sito Web killer. E la sicurezza potrebbe essere solo l'argomento più importante su cui possiamo educarli.

Fare uno sforzo per farlo dall'inizio può pagare dividendi a lungo termine. Un cliente che sa come mantenere sicuro il proprio sito Web WordPress ha meno probabilità di commettere uno di quegli errori cruciali. Solo questa potrebbe fare la differenza tra la pulizia di un sito compromesso e la navigazione senza intoppi.