Installazione di WordPress: 8 step con un occhio alla sicurezza

L’installazione di WordPress è il primo passo fondamentale per creare un sito web potente e versatile; che tu stia avviando un blog personale o un sito aziendale, una corretta installazione di WordPress garantirà una base solida e sicura.

In questa guida, passo dopo passo, ti mostreremo come installare WordPress manualmente, coprendo tutte le opzioni possibili, dai server condivisi ai VPS e server dedicati.

1. Requisiti Minimi per l’Installazione di WordPress

Prima di procedere con l’installazione di WordPress, è utile sapere che la maggior parte dei piani di hosting attuali già soddisfa ampiamente i requisiti necessari, offrono PHP 8 o versioni superiori, oltre a database compatibili come MySQL o MariaDB.

Anche nelle installazioni locali, i software più moderni forniscono ambienti con specifiche superiori a quelle minime richieste.

  • PHP: Versione minima 7.4, ma ormai la 8.2 è ampiamente diffusa
  • MySQL: Versione 5.7 o superiore oppure MariaDB 10.3 o superiore

2. Preparazione dell’Ambiente di Hosting

La scelta del provider di hosting per una installazione di WordPress ottimizzata e sicura, è cruciale per il successo del tuo sito web. WordPress funziona su una vasta gamma di ambienti di hosting, ma è importante scegliere quello che meglio si adatta alle tue esigenze specifiche.

Di seguito, vediamo le opzioni principali con i loro pro e contro.

Hosting Condiviso

L’hosting condiviso è una scelta popolare per chi sta avviando un progetto o gestisce un sito web di piccole dimensioni, con un costo medio di 80-100€ all’anno, puoi ottenere un piano di hosting con ottime prestazioni, perfetto per iniziare.

  • Pro:
    • Opzione economica, ideale per chi ha un budget limitato.
    • Configurazione semplice e veloce.
  • Contro:
    • Risorse limitate, che possono influire sulle prestazioni se il traffico aumenta.
    • Meno controllo sulla configurazione del server rispetto ad altre opzioni.

Tuttavia, è importante considerare che l’hosting condiviso, pur presentando alcune limitazioni, potrebbe portare a due possibili scenari se si raggiungono tali limiti:

  1. Potreste avere problemi nel codice che stanno rallentando il sito
  2. L’opzione migliore: il vostro sito sta ricevendo un buon traffico, e potrebbe essere il momento di considerare un upgrade a un hosting di categoria superiore o a un VPS.

Hosting Gestito

Per una installazione di WordPress semplice, l’hosting gestito è una soluzione in cui il provider si occupa della gestione di tutti gli aggiornamenti: WordPress, Plugin e Tema, permettendoti di concentrarti solo sul contenuto del tuo sito.

  • Pro:
    • Aggiornamenti automatici e sicurezza gestita dal provider.
    • Buona scelta dei temi ed i plugin che servono per la completa gestione ci sono tutti.
  • Contro:
    • Costo superiore rispetto a un hosting condiviso.
    • Meno flessibilità per quanto riguarda le personalizzazioni tecniche sia per i plugin che temi.

VPS (Virtual Private Server)

Per siti web con traffico medio-alto, un VPS offre maggiore controllo e risorse dedicate rispetto all’hosting condiviso; tuttavia, è importante notare che la sicurezza dipende molto dalla configurazione e dalla gestione della VPS.

  • Pro:
    • Maggiore controllo e personalizzazione del server.
    • Risorse dedicate e scalabili che migliorano le prestazioni del sito.
  • Contro:
    • Costo più elevato rispetto all’hosting condiviso.
    • Richiede competenze tecniche per la gestione e configurazione.

Inoltre, è spesso possibile acquistare un servizio di gestione e manutenzione direttamente dal provider, garantendo così che esperti si occupino manutezione del server e quindi anche della sua stessa messa in sicurezza.

Questa opzione offre tutti i vantaggi di un VPS senza dover affrontare le complessità tecniche, ma comporta naturalmente un costo aggiuntivo.

Server Dedicato

Se devi fare una installazione di WordPress per grande portale web o un eCommerce con traffico elevato, un server dedicato è l’opzione migliore, esso prestazioni superiori e controllo completo sull’ambiente di hosting.

Necessita di competenze avanzate per la gestione e manutenzione del server.

Pro:

  • Prestazioni eccellenti grazie a risorse esclusive.
  • Controllo totale su ogni aspetto del server.

Contro:

  • Costo molto elevato, adatto solo a grandi progetti.

Ecco il paragrafo finale che hai richiesto:

Prima di optare per un server dedicato, è importante chiedersi se WordPress sia effettivamente la soluzione migliore come CMS per le tue esigenze.

Se una VPS non è in grado di gestire il carico analizza bene la situazione, potrebbero esserci problemi a livello di codice o a livello di database, o la configurazione della VPS se si è in questo caso.

In questi casi, è fondamentale valutare attentamente se il problema è legato all’infrastruttura o se è necessario rivedere l’architettura del sito e la scelta del CMS.

3. Download di WordPress

Questo passaggio non è necessario se utilizzi i tool autoinstallanti spesso presenti sia negli hosting che nelle VPS, tuttavia, se preferisci un’installazione manuale, puoi scaricare la versione più recente di WordPress direttamente dal sito ufficiale di WordPress.org.

  1. Visita WordPress.org.
  2. Clicca su “Scarica WordPress” e salva il file ZIP sul tuo computer.
  3. Una volta scaricato, estrai il contenuto del file ZIP in una cartella.

Qui troverai anche il link per le precedenti release (https://wordpress.org/download/releases/), utile quando devi ristabilire una versione specifica che si è rovinata o è stata compromessa.

4. Creazione del Database MySQL

Questo passaggio non è necessario se utilizzi tool autoinstallanti forniti dal tuo hosting, che gestiscono automaticamente la creazione del database, tuttavia, se preferisci configurare manualmente, segui questi passaggi per creare il database MySQL, essenziale per archiviare tutte le informazioni e i contenuti del tuo sito:

  1. Accedi al pannello di controllo del tuo hosting (es. cPanel, Plesk).
  2. Trova la sezione “Database” e seleziona “MySQL Database”.
  3. Crea un nuovo utente MySQL e assegna una password sicura.
  4. Assegna tutti i privilegi al nuovo utente per il database appena creato, assicurandoti di concedere i diritti all’utente solo da ‘localhost’ per limitare l’accesso e proteggere il database da potenziali attacchi esterni.

Assicurati che il nome del database, il nome utente e la password siano complessi e difficili da indovinare per migliorare la sicurezza del sito.

5. Caricamento dei File di WordPress

Questo passaggio può essere eseguito automaticamente dai tool autoinstallanti forniti dal tuo hosting. Tuttavia, se preferisci caricare manualmente i file di WordPress sul server web, puoi utilizzare un client FTP come FileZilla.

  • Scarica e installa FileZilla.
  • Connetti FileZilla al tuo server utilizzando le credenziali fornite dal provider di hosting.
  • Carica i file di WordPress nella directory principale del tuo sito web (solitamente public_html o www).

Se utilizzi Aruba o un altro provider che limita l’accesso FTP, assicurati di autorizzare il tuo IP nel pannello di gestione del dominio prima di connetterti.

    6. Configurazione del file wp-config.php

    Per una corretta installazione di WordPress, il file wp-config.php contiene tutte le impostazioni di configurazione principali, inclusi i dettagli del database.
    Ecco come configurarlo:

    • Rinomina il file wp-config-sample.php in wp-config.php.
    • Apri il file wp-config.php in un editor di testo come Notepad++.
    • Modifica i seguenti parametri:
    define('DB_NAME', 'nome_database');
define('DB_USER', 'nome_utente');
define('DB_PASSWORD', 'password_sicura');
define('DB_HOST', 'localhost');
    • Imposta il prefisso delle tabelle: per motivi di sicurezza, cambia il prefisso delle tabelle (wp_ di default) in qualcosa di più unico, ad esempio:
    $table_prefix = 'abc123_';
    • Configura le salt keys: una particolare attenzione va alle salt keys, spesso durante l’installazione di WordPress non sono molto considerate ma sono di fondamentale importanza per la sicurezza del tuo sito; esse sono stringhe di testo casuali che migliorano la sicurezza delle sessioni e dei cookie di WordPress, rendendo molto più difficile per un malintenzionato accedere al tuo sito manipolando i dati di sessione.

      Se le salt keys non sono state generate automaticamente, aggiungile per rendere più sicure le informazioni di autenticazione. Puoi generare queste chiavi dal WordPress.org Secret Key Service.

      Copia le chiavi generate e incollale nel file wp-config.php sostituendo le righe predefinite:
    define('AUTH_KEY', 'inserisci_la_tua_chiave_unica');
define('SECURE_AUTH_KEY', 'inserisci_la_tua_chiave_unica');
define('LOGGED_IN_KEY', 'inserisci_la_tua_chiave_unica');
define('NONCE_KEY', 'inserisci_la_tua_chiave_unica');
define('AUTH_SALT', 'inserisci_la_tua_chiave_unica');
define('SECURE_AUTH_SALT', 'inserisci_la_tua_chiave_unica');
define('LOGGED_IN_SALT', 'inserisci_la_tua_chiave_unica');
define('NONCE_SALT', 'inserisci_la_tua_chiave_unica');
    • Abilita il debug solo in ambienti di sviluppo: se stai sviluppando o risolvendo problemi sul sito, puoi abilitare il debug:
    define('WP_DEBUG', true);

    Ricorda di impostarlo su false in produzione per evitare di rivelare informazioni sensibili.

    Per ulteriori informazioni ti invito a leggere: Un efficace debugging in WordPress? Configurazione veloce e 3 plugin Indispensabili

    7. Installazione di WordPress

    Ora che i file sono stati caricati e il database è stato configurato, puoi procedere con l’installazione di WordPress:

    1. Visita l’URL del tuo sito web nel browser.
    2. Seleziona la lingua del sito e clicca su “Continua”.
    3. Inserisci le seguenti informazioni:
      • Titolo del Sito: Il nome del tuo sito web.
      • Nome Utente: scegli un nome utente unico per l’account admin. Evita i nomi comuni come “admin,” “root,” il tuo nome, o qualsiasi cosa facile da indovinare.
      • Password: Una password sicura per l’account admin.
      • Email Amministratore: Un’email valida per ricevere notifiche di sistema.
      • Visibilità ai Motori di Ricerca: Seleziona se vuoi che il sito sia subito visibile ai motori di ricerca.

    Tips & Tricks per la Sicurezza

    Sarò prolisso senza dubbio, ma per motivi anche legati alla SEO, voglio sottolineare che per una assicurarsi una buona Installazione di WordPress, bisogna curare la parte della sicurezza partendo da questi dettagli.

    Nome Utente: utilizzare nomi utente prevedibili rende più facile per gli hacker tentare attacchi di forza bruta sul tuo sito. Un buon approccio è creare un nome utente composto da una combinazione di lettere, numeri e simboli, rendendolo difficile da indovinare.

    • Tip: dopo aver creato l’account admin, puoi aggiungere un nuovo utente con privilegi di amministratore e rimuovere quello iniziale “admin” se lo hai utilizzato per errore. Questo passo riduce ulteriormente i rischi, rendendo il tuo sito meno prevedibile per eventuali attacchi.
    • Nota di sicurezza: Assicurati di limitare il numero di account con privilegi di amministratore sul tuo sito. Ogni account amministratore aggiuntivo rappresenta un potenziale punto di accesso per gli attacchi.

    Password: la password è la prima linea di difesa per il tuo account admin e deve essere molto sicura.

    • Suggerimento: Crea una password lunga almeno 12-16 caratteri, includendo una combinazione di lettere maiuscole, minuscole, numeri e simboli. Evita l’uso di parole comuni, frasi prevedibili, o sequenze di numeri.
    • Strumenti utili: Puoi utilizzare un password manager per generare e memorizzare password complesse. Questo non solo ti aiuta a creare password sicure, ma facilita anche la gestione di credenziali diverse per ogni servizio.
    • Nota di sicurezza: Evita di utilizzare la stessa password in più siti o servizi. In caso di violazione di uno di questi servizi, gli hacker potrebbero tentare di utilizzare la stessa password per accedere al tuo sito WordPress.

      8. Configurazione Iniziale del Sito WordPress

      Una volta completata l’installazione di wordpress, accedi alla dashboard di WordPress per le configurazioni iniziali:

      Rimozione dei Contenuti Demo

      Elimina il post e la pagina di esempio forniti con l’installazione per mantenere il sito pulito. Questo è un passaggio semplice ma importante, poiché lasciare contenuti demo potrebbe essere un segnale per i bot o gli hacker che il sito è stato appena creato, rendendolo un bersaglio più probabile.

      Impostazioni Generali

      Vai su Impostazioni > Generali e verifica le impostazioni principali come titolo del sito, motto, fuso orario, formato data e lingua del sito. È consigliabile modificare il motto predefinito “Just another WordPress site” con una frase significativa o lasciarlo vuoto per evitare problemi di duplicazione nei risultati dei motori di ricerca.

      Vai su Impostazioni > Permalink e seleziona l’opzione “Nome articolo” per una struttura URL SEO-friendly. Evita l’uso della struttura predefinita basata su ID numerici, poiché non è ottimale per la SEO. Assicurati che le URL siano chiare e rappresentative del contenuto delle pagine.

      Best Practice e Note sulla Sicurezza dopo l’installazione di WordPress

      Aggiorna le impostazioni di lettura e scrittura

      Vai su Impostazioni > Lettura e assicurati che l’opzione “Scoraggia i motori di ricerca dall’indicizzare questo sito” sia deselezionata, a meno che il sito non sia ancora pronto per essere pubblico. In Impostazioni > Scrittura, imposta le tue preferenze per la pubblicazione.

      Impostazioni di Commento

      Per prevenire lo spam, vai su Impostazioni > Discussione e configura i commenti in modo che richiedano l’approvazione manuale o che i commenti siano consentiti solo per utenti registrati.

      Installazione di Plugin di Sicurezza

      Anche nelle configurazioni iniziali, considera l’installazione di un plugin di sicurezza come Wordfence o Sucuri per monitorare attività sospette. Configura subito le impostazioni di sicurezza di base come il blocco degli IP che tentano ripetutamente l’accesso fallito.

      Rimozione del Nome Utente nei URL degli Autori

      Di default, WordPress utilizza il nome utente per creare gli URL degli autori (es. https://tuosito.com/author/nomeutente). Per evitare di rivelare il tuo nome utente pubblicamente, usa un plugin come “Edit Author Slug” per modificarli o disabilita completamente questa funzione.

      Backup Immediato

      Dopo I’installazione di WordPress Prima di iniziare a configurare il sito, installa e configura un plugin di backup come UpdraftPlus. Imposta backup regolari e salva una copia dei backup fuori dal server (ad esempio, su Google Drive o Dropbox).

      Consiglio dopo l’Installazione di WordPress e la configurazione

      Abilita le notifiche email per l’amministratore del sito per essere avvisato di eventuali aggiornamenti, attività sospette, o tentativi di login falliti.

      Aderendo a queste best practice, non solo ottimizzerai il tuo sito per la SEO, ma ne migliorerai anche la sicurezza e la funzionalità generale.

      admin

      Lascia un commento