Ack! Il tuo stomaco affonda durante quel terribile momento in cui ricevi un'email da Strumenti per i Webmaster di Google che ti avvisa che il tuo sito web potrebbe essere stato violato. La mia prima reazione istintiva non è stata quella di sopravvivenza; era una negazione.
Essendo stata recentemente diagnosticata l'ipertensione indotta dalla gravidanza e il diabete gestazionale durante il mio terzo trimestre di gravidanza, la mia voce interiore mi ha convinto che Google deve inviare queste e-mail tutto il tempo e che probabilmente era solo qualcosa benigno. Pochi minuti dopo, è arrivata un'altra e-mail straziante. Da un punto di negazione, ho dovuto saltare direttamente alla modalità sopravvivenza. Era ora di agire. Poco dopo la pulizia, ho continuato a ricevere altre e-mail allarmanti, che consideravo una scossa di assestamento. Tale "pulizia profonda" su Internet può essere un processo lungo e arduo, e sono qui per condividere con voi come sono riuscito a sopravvivere al catastrofico evento digitale nonostante le mie condizioni mediche.
10 lezioni apprese per sopravvivere a un hack di un blog WordPress
1. Niente panico: trova qualcosa, o qualcuno, che ti aiuti a calmarti
Non aver paura di allontanarti momentaneamente dalla situazione. Se sei tutto agitato, trova qualcosa che ti aiuti a calmarti. Prendi una tazza di caffè. Chiama qualcuno. Pregare. Non importa cosa, fai del tuo meglio per non farti prendere dal panico. È controproducente.
2. Comunica: contatta il tuo host web
Comunicare con il tuo host web ti consente di valutare la situazione molto più rapidamente e di conoscere le tue opzioni. Informa il tuo host web dell'hack e verifica se può aiutarti a mettere in quarantena i file infetti. Verifica se possono aiutarti a valutare quanto è grave e se possono aiutarti con un ripristino gratuito del sito da un backup pulito.
3. Preparati: fai un buon backup
A volte, il tuo host web può fare solo così tanto, soprattutto se non dispone di backup puliti. Detto questo, considera di avere un fornitore di backup di terze parti come VaultPress che ti consentirebbe di mantenere un backup completo o di 30 giorni. Come con qualsiasi scenario di gestione delle crisi, è sempre utile essere preparati.
4. Sii onesto: informa e proteggi i tuoi lettori
A seconda del danno, prendi in considerazione la rimozione di parti del tuo sito o di tutto. Non vorrai infettare i computer dei tuoi lettori con qualsiasi cosa possa essere stata iniettata in modo dannoso nel tuo sito violato. Personalizza la tua pagina 404 (File Not Found) con un messaggio che informa che il tuo sito web (o pagina) tornerà a breve.
5. State in guardia: rafforzate la sicurezza
Con il numero crescente di blog che nascono ogni giorno, gli hacker hanno trovato la piattaforma perfetta per sfruttare la forza bruta, l'iniezione di spam, il malware, il defacement e altro ancora. In genere, i proprietari di blog fanno parte di un servizio di web hosting condiviso in cui i loro blog "risiedono" sullo stesso server insieme a molti altri blog. Se l'hacker riesce a violare il collegamento più debole su quel server, tutti gli altri blog diventano a rischio: questo è solo uno scenario. Rafforza la tua sicurezza passando a un host WordPress gestito o iscrivendoti ad altri servizi relativi alla sicurezza come Sicurezza Sucuri. Se sei su WordPress, anche un minimo di attivazione del plug-in "Limita tentativi di accesso" può essere d'aiuto. Questo di solito viene fornito con un'installazione standard di WordPress: dovrai selezionare la casella.
6. Proteggi il tuo account amministratore: controlla se stai dando via il tuo nome utente
Proteggi il tuo account amministratore come faresti con il tuo conto corrente. Il tuo link al profilo dell'autore è di solito un regalo morto quando si tratta di decifrare il tuo nome utente WordPress. Ora, tutto ciò che gli hacker devono capire è la tua password e hanno programmi per farlo. Poco prima di essere informato dell'hack, ho notato alcune attività sospette sul link del mio profilo autore. Quando ho guardato l'URL, mi sono reso conto che stavo facilmente dando via il mio nome utente WordPress. La soluzione? Ora ho almeno due account amministratore associati al mio blog e quello che è pubblicamente disponibile sul link del mio profilo autore ha accesso solo per i contributori.
7. Limita le informazioni che fornisci: proteggi la sezione footer
Tornando all'analogia del conto corrente sopra, un'altra lezione che ho imparato molto tempo fa è stata personalizzare il piè di pagina del mio blog, in particolare la sezione che diceva: "Potenziato da WordPress." Se non vuoi che alcune persone conoscano il tuo numero di conto bancario, è probabile che non vorrai nemmeno che sappiano dove vai in banca. Sebbene siano già in atto ulteriori misure di sicurezza sia nel settore bancario che in quello bloggare mondi, è solo una buona pratica limitare comunque le informazioni fornite. Inoltre, la personalizzazione del piè di pagina del tuo blog offre l'ulteriore vantaggio di rafforzare il tuo marchio. In tale nota, se hai un link di accesso a WordPress nel piè di pagina o nella barra laterale, considera di rimuoverlo, per ogni evenienza.
8. Mantieni una buona manutenzione: mantieni aggiornati i tuoi temi e plug-in
Proprio come dover fare le pulizie a casa per mantenere le cose in funzione e senza intoppi, lo stesso vale quando si tratta di mantenere e aggiornare i temi e i plug-in del tuo blog. Potrebbe non piacerci, ma deve essere fatto. Una buona gestione delle pulizie significa rimanere al passo con gli aggiornamenti non appena diventano disponibili. Anche gli hacker sono in cima alle cose, quindi assicurati di controllare sempre ciò che scarichi. Anche i temi e i plug-in più popolari non sono esenti da violazioni della sicurezza, quindi è meglio conservare solo quelli di cui hai assolutamente bisogno per ridurre le vulnerabilità di sicurezza del tuo blog.
9. Cambia le tue serrature e continua a cambiarle
Cambia la tua password di tanto in tanto e usa password complesse, se non lo stai già facendo. Proprio come faresti con i tuoi conti finanziari, non utilizzare lo stesso nome utente e password su tutta la linea. Avere una password diversa per i tuoi account amministratore e collaboratore, nonché per l'indirizzo email associato al tuo blog.
10. Non lasciare che gli hacker ti abbattano: rinnova e ravviva il tuo blog.
Una delle cose migliori che ho sperimentato dopo l'hack del blog è stata l'opportunità di rinnovare e far rivivere il mio blog. Gli hacker continuavano a tornare – senza successo, per fortuna – e prendevano di mira una sezione specifica del mio blog: quella che riceveva più traffico. Questo mi ha fatto pensare in modo ancora più strategico e ho iniziato a diversificare un po' meglio. Ho anche iniziato a unirmi a più gruppi e reti e ho trovato altri modi per incontrare blogger che la pensano allo stesso modo e indirizzare nuovo traffico al mio blog da quando le mie classifiche di Google sono crollate dopo l'hack.
Nonostante le sfide, sono cresciuto molto come blogger nel 2015. Ho incontrato nuovi amici, acquisito nuove competenze e affinato la mia creatività. Il mio blog festeggerà il suo primo compleanno nel 2016 e non vedo l'ora di fare un'altra recensione di un anno quando arriverà quel momento.
