"Abbiamo installato Wordfence, siamo al sicuro." Purtroppo, questo è il mito più comune nello sviluppo WordPress d'agenzia. Sebbene i plugin aiutino, la vera sicurezza avviene a livello di server e di processo.
1. Hardening a Livello Server
La sicurezza inizia prima ancora che WordPress venga caricato.
- Permessi File: Assicurare che tutte le directory siano 755 e i file 644. Mai 777.
- Versione PHP: Eseguire l'ultima versione PHP supportata (attualmente 8.3/8.4) garantisce la copertura delle patch.
- Disabilitare il Directory Browsing: Impedisce ai bot di vedere il contenuto delle tue cartelle `/uploads`.
2. Livello Applicazione (WordPress)
Oltre ai plugin, dobbiamo ridurre la superficie d'attacco.
- Disabilitare XML-RPC: A meno che non usi l'app mobile o Jetpack, questa API antica è solo una porta per brute-force. La disabilito via codice.
- Limitare i Tentativi di Login: Essenziale per fermare gli attacchi su `wp-login.php`.
- Cambiare Username Admin: Mai usare `admin`. È il primo nome utente che i bot indovinano.
3. Il Fattore Umano (Workflow d'Agenzia)
La vulnerabilità più grande è di solito una password debole su un account trascurato.
- Niente Login Condivisi: Ogni sviluppatore, project manager e cliente ha il proprio account. Se qualcuno va via, chiudiamo il suo account, non quello "Admin Agenzia".
- 2FA (Autenticazione a Due Fattori): Obbligatoria per i ruoli Amministratore. Nessuna eccezione.
- Principio del Privilegio Minimo: Lo stagista SEO ha bisogno di accesso Amministratore? No. Dagli accesso Editore.
Quando sviluppo per le agenzie, implemento questi "Muri Invisibili" di default. Significa che i tuoi clienti sono più sicuri senza che tu debba pensarci.