Seleziona una pagina

In questa guida vediamo come rendere WordPress sicuro con il plugin Wordfence per evitare attacchi, calo del traffico e perdita di denaro.

Immagina che dopo aver creato il tuo blog, scritto decine di articoli e aver trascorso molte ore al computer, un giorno ti svegliassi e scoprissi che tutto il lavoro che fatto è andato in fumo.

Il tuo blog è stato hackerato. Hai preso un virus o chissà che altro è successo.

Ci sono passato anch’io e ti assicuro che non è una bella sensazione.

Fortunatamente riuscii a risolvere il problema e da quel momento ho cambiato modo di agire. Ogni volta che creo un nuovo sito web con WordPress metto la sicurezza al primo posto.

Perché puoi fare la SEO migliore del mondo, acquistare il template più caro su Studiopress e creare la migliore strategia di Digital Marketing ma poi, se da un momento all’altro il tuo sito può essere distrutto, tutto il resto del lavoro passa in secondo piano.

Non è solo una questione di attacchi hacker, che rimangono il primo motivo per cui avere un livello di sicurezza adeguato è più che fondamentale.

E’ una questione di risparmio e di guadagni, indipendentemente dal tipo di business che sta sviluppando col tuo sito WordPress.

Punto 1: risparmiare denaro. Potrà sembrare insolito, ma avere un sito WordPress sicuro ti permetterà di risparmiare una buona quantità di denaro. Non solo perché non dovrai servirti di un tecnico per estrarre chissà quale virus ma per evitare eventuali costi superflui dell’hosting.

Ok… ma che c’entra l’hosting con la sicurezza di WordPress?

C’entra perché una dei motivi più comuni per cui i proprietari di un sito web fanno l’upgrade del server è l’esaurimento delle risorse a disposizione e questo può essere causato da tentativi di accedere a pagine inesistenti sul tuo sito. Se il sito fosse stato sicuro non avrebbe esaurito le risorse, e dunque non sarebbe stato necessario un aggiornamento.

Punto 2: aumentare i guadagni. Per questo punto i motivi sono diversi. In generale, un sito web hackerato non funziona e non genera guadagni, e questo è alquanto banale. Ma c’è un altro aspetto fondamentale: la velocità del sito.

 Un sito sicuro è un sito performante in termini di velocità.

L’esempio precedente mostra un caso valido anche per questo punto. Nell’eventualità in cui si verificassero ripetuti tentativi di accedere a risorse del sito si andrebbe anche a compromettere il tempo di caricamento delle pagine e di conseguenza le entrate del sito (è ormai ampiamente verificato che la velocità di un sito è uno dei fattori che più influenza la sua efficacia).

D'altra parte, avere un sito sicuro al 100% è impossibile. Anche i sistemi di sicurezza di banche, multinazionali o interi paesi sono stati hackerati.

Questo non significa che possiamo avvicinarci a quel 100% ed evitare di avere problemi inutili e facili da prevenire.

In questa guida vediamo come raggiungere questi livelli di sicurezza WordPress con il plugin Wordfence. Analizziamo come configurare il plugin e come attivare le varie funzione di protezione disponibili.

Non voglio elencarti in anticipo le diverse opzioni offerte da questo plugin, ma le andremo scoprendo nel corso della configurazione.

Aumentare la sicurezza di WordPress: Guida

Wordfence è un plugin per la sicurezza di WordPress che offre numerosi servizi per proteggere il nostro sito web.

Ha più di 2 milioni di installazioni attive, che lo rendono il plugin per la sicurezza di WordPress più utilizzato.

Wordfence è un plugin freemium, il che significa che è gratuito ma ha caratteristiche premium.

La versione Premium costa poco meno di 100 dollari (e il prezzo scende con l’aumentare del numero di siti o degli anni di abbonamento), ma dispone anche di una versione gratuita che offre un livello di protezione discreto.

Come installare Wordfence

Per iniziare a utilizzare Wordfence in versione Premium è necessario acquistare la licenza. Il procedimento è molto semplice.

Basta andare sul sito ufficiale di Wordfence: https://www.wordfence.com/wordfence-signup/

Seguire la procedura guidata.

Dopo aver ottenuto la tua chiave, accedi al pannello WordPress del tuo sito web e nel menu di sinistra vai su Plugin -> Aggiungi nuovo e cerca “Wordfence”.

N.B. Se vuoi utilizzare la versione gratuita, salta il passaggio “acquistare la licenza”.

scarica wordfence

Scarica e attiva il plugin.

Adesso devi inserire il codice di attivazione (se ne disponi).

Vai su Wordfence dal menu WordPress a destra e clicca su Opzioni.

In alto trovi il campo per inserire la chiave di attivazione del plugin.

attivazione wordfence

La dashboard di Wordfence

Per accedere alle informazioni della dashboard di Wordfence vai su Wordfence -> Dashboard e in questa sezione troverai i rapporti e le statistiche sulla sicurezza del tuo sito web.

Possiamo anche vedere le notifiche Wordfence, per esempio quelle relative al mancato aggiornamento del plugin, o qualsiasi altro problema che richiede la nostra attenzione, e una panoramica delle funzioni attive.

N.B. E’ importante che Wordfence sia sempre aggiornato all’ultima versione disponibile in modo da proteggere il sito in maniera efficace contro nuovi virus o attacchi.

dashboard wordfence

Scansione del sito con Wordfence

Questa è la prima funzione da utilizzare non appena hai attivato il plugin.

Accedi nel menu alla voce “Scan” e clicca su “Start a Wordfence Scan” per eseguire un controllo completo del tuo sito.

scan sito wordpress con wordfence

La scansione di Wordfence analizza i file del tuo sito WordPress alla ricerca di problemi di sicurezza di tutti i tipi come codici maligni, spam url, porte posteriori, vulnerabilità e virus conosciuti.

Inoltre, farà diversi controlli al server, cercherà modifiche non autorizzate nel DNS e verificherà che il tuo IP non venga utilizzato per attività dannose.

La scansione di solito è veloce e dura tra 1 e 10 minuti a seconda della configurazione dello scanner (che vedremo meglio in seguito), la dimensione del tuo sito e la memoria del server.

Puoi annullare la scansione in qualsiasi momento facendo clic sul link “Click to kill the current scan” che trovi direttamente sotto il pulsante “Start a Wordfence Scan” .

Nel box sotto, nei tab New Issues e Ignored Issues, viene visualizzato nel dettaglio i dettagli dello scan appena eseguito ed eventuali problemi da analizzare.

risultati scan

Nota: Il primo errore che di solito trova lo scanner è che il file wp-config-sample.php non esiste (come da immagine sopra).

Questo file è usato solo per gestire le impostazioni del server durante l'installazione di WordPress: in seguito, quando il viene generato il file wp-config.php (senza “sample”) il file wp-config-sample.php non è più utile.

Wordfence lo mostra come pericoloso in quanto è un buco di sicurezza e dovresti eliminarlo.

Pianificare le scansioni

Lo “Scan Scheduling” è funzione premium del plugin che ci permette di scegliere la frequenza e i tempi con cui vogliamo attivare le scansioni.

L’ideale è scegliere degli orari del giorno in cui ci sono meno utenti in modo che il “peso” dello scan non influisca sull’esperienza di navigazione degli utenti.

Per pianificare lo scan vai su Wordfence> Scan> Scheduling.

pianificazione scan

Con lo scanner versione gratuita verrà eseguito automaticamente una volta ogni 24 ore, al momento Wordfence non vuole sovraccaricare i propri server.

Opzioni di analisi di Wordfence

In questa sezione puoi impostare e modificare le opzioni di analisi di Wordfence, anche se la configurazione predefinita è la più corretta e puoi lasciare quella.

Queste impostazioni si trovano nella scheda Wordfence> Scan> Options.

opzioni scan wordfence

Il Firewall di Wordfence

Il Firewall Wordfence è chiamato “WAF Web Application Firewall” che si occupa di filtrare le richieste potenzialmente dannose verso il tuo sito web.

Questo firewall è fondamentale per la sicurezza WordPress perchè entra in azione per combattere codici dannosi associati a temi e plugin.

In parole semplici, è uno strumento che analizza sia i bot che gli esseri umani, eli mimita o li blocca in base ad alcuni criteri con cui riesce a individuare modelli di attacco o qualsiasi altro comportamento inusuale (SQL injection, Cross Site Scripting XSS, caricamento di file dannosi, ecc).

Per configurare il firewall vai Wordfence> Firewall.

Attivando il firewall in modalità di apprendimento (Learning mode) il plugin analizza per una settimana l'attività del tuo sito web per adattare le regole del firewall al sito su cui è installato, prendendo in considerazione anche il comportamento degli utenti ed eventuali servizi presenti.

Una volta passato il tempo di apprendimento cambia la modalità in Enable and protecting per abilitare definitivamente la protezione e bloccare eventuali attacchi.

Ci sono due livelli di protezione firewall.

Per impostazione predefinita viene attivato un livello di sicurezza base che protegge contro molti degli attacchi web e non ha bisogno di ulteriori configurazioni.

C’è poi il livello di protezione estesa che il tuo server in modo più efficiente e consente di eseguire i firewall direttamente all’interno del server in modo da settarsi come prima protezione nei confronti di ogni attacco.

Come configurare la protezione firewall estesa

Per impostare il livello di protezione estesa clicca sul bottone blu “Optimize the Wordfence Firewall”.

protezione avanzata firewall

Dopo aver premuto il tasto devi configurare le diverse opzioni per la funzione firewall correttamente.

Per prima cosa seleziona il tipo di server che stai utilizzando, di solito Wordfence rileva il tipo di server e ti mostra di default l’opzione corretta. Clicca quindi su continua.

ottimizzare firewall

Wordfence poi ti costringe a scaricare una copia dei file “.htaccess file” e “user.ini ” da ricaricare via FTP se qualcosa va storto.

ottimizzare firewall

Una volta scaricati i file clic su “Continua” per completare la configurazione del firewall.

Normalmente Wordfence ti mostrerà una notifica di errore. Niente panico. Questo avviso indica che i cambiamenti non hanno ancora avuto effetto, è necessario attendere qualche minuto e aggiornare la pagina. Se tutto è andato bene, vedrai questa notifica che indica che il livello di protezione esteso è attivo.

protezione firewall estesa attivata

N.B. Se l'errore non va via probabilmente hai sbagliato la scelta del tipo di server e devi reinstallare Wordfence.

Whitelist deglli indirizzi IP

In Wordfence> Firewall trovi anche le opzioni che ti permettono di creare la whitelist degli IP da escludere.

ottimizzare firewall

Gli IP in questo elenco non sono limitati e non saranno bloccati dal firewall.

Durante la Learning mode Wordfence potrebbero essere automaticamente gli indirizzi dei servizi che generano una chiamata esterna ma non sono pericolosi e quindi non devono essere bloccati.

Se dopo aver installato Wordfence hai problemi con servizi esterni, questa opzione può tornarti utile.

N.B. è anche possibile tornare alla “modalità di apprendimento” del firewall per cercare di rilevare e includere nuovi IP  automaticamente nella whitelist.

Brute Force Protection

Passiamo alla scheda “Brute Force Protection”, una delle più importanti per la sicurezza WordPress in quanto ci permette di impostare la protezione del login.

Questa protezione funziona limitanti i tentativi di accesso ripetuti da uno stesso IP che utilizzano una password scorretta. Quando questo avviene, l’IP viene bloccato e non può più tentare di accedere, situazione comune quando un malintenzionato cerca di accedere al tuo sito con un bot che prova ripetutamente nome utente e password.

Imposta questa sezione come vedi in questa immagine:

sicurezza login wordpress

In questo modo, il limite di tentativi è impostato a 5. Dopo, l’IP verrà bloccato per un periodo di 30 giorni.

Bloccare gli IP indesiderati

Una misura di sicurezza di base è quella di bloccare l'accesso a IP che cercano di accedere con intenzioni maligne al sito web.

Wordfence blocca già con il firewall gli IP che eseguono attacchi sul nostro sito e blocca anche gli IP che infrangono le regole protezione del login.

ip bloccati

Ma possiamo anche bloccare gli IP manualmente dalle opzioni Blocking>Blocked IP’s .

Possiamo anche vedere un elenco di indirizzi IP che sono negati l'accesso al nostro sito web, a cui è stato negato il login o che hanno superato le richieste massime di accesso.

Blocco avanzato degli IP

In aggiunta al blocco manuale nella scheda “Advanced blocking” trovi ulteriori opzioni per il blocco degli IP.

blocco avanzato IP

Vediamoli singolarmente perché molto utili in caso di attacchi più “articolati”:

  • IP address range: Inserisci un intervallo IP per bloccare tutta la gamma IP e impedire l’accesso al tuo sito web.
  • Hostname: nome del dispositivo da cui è collegato un utente.
  • User-Agent (browser) that matches: blocca gli IP proveniente da un particolare browser web con il nome “user-agent”.
  • Referer (website visitor arrived from) that matches: consente di bloccare IP degli utenti che provengono direttamente da un altro dominio. Può essere utile quando si nota spam o attacchi che provengono sempre dallo stesso sito web.

Blocco dei paesi

Con la versione Premium di Wordfence possiamo anche bloccare direttamente i paesi da cui riceviamo attacchi.

bloccare paese

Si tratta di un modo efficace per bloccare le richieste massicce generate da un determinato paese.

Blocco per paese è una misura avanzata sicurezza non deve essere attuato alla leggera, perché se non sai quello che blocchi potresti escludere delle funzioni web utili per il tuo sito o addirittura bloccarlo interamente.

Traffico in tempo reale

Wordfence ci permette di visualizzare il traffico in tempo reale sia dei robot che degli esseri umani che accedono alla diverse pagine del sito.

traffico in tempo reale wp

Non solo sei in grado di vedere chi sta accedendo al tuo sito web in ogni momento, ma anche informazioni relative all'utente come:

  • Il tipo di utente (umano o bot)
  • Gli utenti con avvisi
  • Utenti bloccati
  • Gli utenti che sono stati bloccati dal firewall
  • Città da cui si connette
  • L'URL che si sta tentando di aprire
  • Data
  • IP dell'utente
  • Il nome dell'host dal quale si connette
  • Il browser e sistema il sistema operativo utilizzato dall'utente.

Analisi del traffico in tempo reale

Questa funzione fornisce un sacco di informazioni utili.

Per esempio, possiamo vedere se qualcuno sta tentando di accedere alla pagina di login e bloccarlo direttamente (basta usare il bottone “block this IP” che trovi accanto a ogni singola voce).

Guarda il comportamento di questi utenti bloccati:

ip bloccati

Come vedi cercano di accedere a pagine specifiche come:

  • wp-login
  • /administrator

O solitamente ad altre come:

  • php
  • admin-ajax.php

Quando vedi uno di questi casi sul Live Traffic, se non lo ha già fatto Wordfence, agisci manualmente e blocca l’IP.

Password Audit e verifica in due passaggi

La Password Audit è una funzione che tiene sotto controllo le password degli utenti WordPress e invia una notifica se sono troppo deboli e devono essere cambiate per ragioni di sicurezza.

Questa opzione si trova su Tool> Password Audit.

La Verifica in due passaggi invece è una caratteristica di Wordfence Premium.

verifica due passaggi

La verifica in due passaggi consiste nel richiedere 2 diversi fattori di accesso per il login a WordPress.

In questo caso i fattori sono 2 codici: la password che hai impostato a cui aggiungere un codice che riceverai via SMS ogni volta che effettui l’accesso.

Per attivare la verifica in due passaggi vai su Tool>Cellphone Sign-in, inserisci il tuo numero di telefono e scegli l’opzione “Send code to a phone number”.

Opzioni Wordfence

Nell'ultima sezione “Options” trovi tutte le opzioni del plugin Wordfence, come le impostazioni delle API KEY, opzioni che attivano le caratteristiche premium, personalizzazione di rapporti e notifiche, e altre opzioni di base Wordfence.

opzioni sicurezza wordpress

Troviamo anche delle opzioni che abbiamo visto in precedenza come lo scan, il firewall e il blocco IP in tempo reale.

In questa sezione puoi lasciare le impostazioni di default.

Conclusione

Adesso che hai completato tutti i passaggi, il tuo sito WordPress ha innalzato notevolmente il livello di sicurezza.

Un ultimo consiglio: imposta le notifiche di Wordfence come vedi in questa immagine.

opzioni avanzate sicurezza wp

In questo modo riceverai una mail ogni volta che si verifica qualcosa di “sospetto” e potrai verificare per intervenire.

Inoltre, se stai lavorando al tuo sito WordPress, ti segnalo queste due risorse che potrebbero esserti utili:

SEO link building: 6 tecniche per ottenere backlink di valore

Come gestire la Reputazione Online per sviluppare un business sul web

Buon lavoro!

Emanuele Amodeo

Web Marketer e consulente, da sempre curioso e poi studioso di Internet, creo, sviluppo e gestisco business online e aiuto imprese e professionisti a fare lo stesso. Per costruire idee e i progetti amo intrecciare ambiti e competenze non convenzionali (filosofia, psicologia, sociologia, estetica, neuroscienze) con il marketing.

Share This