Sapevate che installare un plugin di sicurezza sul vostro blog o sito web WordPress è un approccio per proteggerlo? Ma sapete qual è il miglior plugin di sicurezza per WordPress?
Bene, in questo articolo vi parleremo del plugin Wordfence, uno dei plugin di sicurezza più popolari e ben valutati nel repository di WordPress. Attualmente ha più di 2,4 milioni di download (in continuo aumento) e un rapporto di recensioni di 4,9 su 5, praticamente nullo.
COS'È WORDFENCE (E COME CONTRIBUISCE A MIGLIORARE LA SICUREZZA DI WORDPRESS)?
- Si tratta di un antivirus con un motore di scansione che, tra le altre cose, confronta i file di WordPress con quelli originali presenti nel repository di WordPress e, in caso di mancata corrispondenza, guida l'utente nel processo di correzione.
- Si tratta di un firewall a livello di applicazione basato su PHP che blocca tutto il traffico dannoso (quello che viola le regole, sia che si tratti di persone che di robot) prima ancora che raggiunga il vostro sito. WordFence Firewall vi impedisce di essere violati.
- Ha anche un motore di caching che può aumentare la velocità di caricamento del vostro sito web o blog da 30 a 50 volte. Non possiamo confermare quest'ultimo dato, ma c'è.
Cosa fa esattamente Wordfence per proteggere la sicurezza di WordPress?
Wordfence monitora e protegge continuamente il vostro sito web dagli attacchi brute force imponendo codici di accesso forti, limitando i tentativi di login e altri protocolli di sicurezza per l'iscrizione. In poche parole, difende il sito web da chi cerca di usare le "cattive arti" contro di esso. Consente di vedere chi visita il sito o il blog, cosa fa e chi è stato bloccato, sia che si tratti di umani che di robot. Wordfence è un gold standard quando si tratta di proteggere il vostro sito o blog da menti maligne. Vediamo il menu che il plugin ci presenta, passo dopo passo. L'idea di oggi è quella di spiegare a fondo alcune sezioni di questo plugin, in modo che possiate capire come funziona e avere alcune nozioni di base su di esso.
- Scansione
- Traffico in diretta
- Impostazione delle prestazioni
- IP bloccati
- Accesso da cellulare
- Blocco del paese
- Programma di scansione
- Ricerca Whois
- Blocco avanzato
- Opzioni
Installare WordFence
Come per la maggior parte dei plugin di WordPress, il processo di installazione di WordFence è piuttosto semplice.
Fase 1: Per installare e configurare WordFence sul vostro sito, andate nella dashboard di WP e selezionate Plugin e Aggiungi nuovo; cercate WordFence nella barra di ricerca dei plugin e selezionatelo. Premete il pulsante Installa ora e poi cliccate su Attiva.
Fase 2: Una volta installato, verrà visualizzata una schermata che chiede di inserire il proprio indirizzo e-mail per ricevere un avviso di sicurezza. Accettate i termini e fate clic su Continua.
Fase 3: nella schermata successiva WordFence vi chiederà di inserire una chiave API per completare il processo di installazione. Se avete acquistato un account premium, potete inserire la vostra chiave premium per attivare le funzioni extra. In caso contrario, cliccate sull'opzione No Thanks.
Passo 4: Voilà! WordFence è stato installato e il vostro sito è già migliorato! Ma ora è il momento di entrare nel vivo della questione.
Configurazione del firewall
Wordfence Web Application Firewall comprende a una robusta serie di protezioni che preservano il nostro sito web da attacchi e minacce comuni come il caricamento di file dannosi, l'iniezione di codice SQL e altri. In base a regole di sicurezza predefinite, il firewall ispeziona il traffico in entrata e in uscita di bot e umani e può bloccarne o consentirne l'accesso.
Configurazione di base del firewall Wordfence
- Accedere all'opzione Firewall nella barra laterale della dashboard di WordPress, Wordfence > Firewall; selezionare l'opzione "Tutte le opzioni Firewall".
- Qui si configura l'opzione Firewall primario. L'opzione predefinita è Stato firewall: Attivato e Protetto; è un'opzione di protezione di base. La cosa migliore è che viene attivata la modalità di apprendimento, che consente al Firewall di imparare a conoscere il vostro sito web e a proteggerlo. Il Firewall si attiverà automaticamente dopo una settimana.
- Salvare le modifiche. La configurazione di base del Firewall è stata eseguita con successo.
Configurazione del firewall esteso
Il WordPress Extended Firewall offre maggiore sicurezza al nostro sito web. Poiché Wordfence è un plugin, alcuni codici pericolosi possono essere elaborati da WordPress prima di essere eseguiti. Di conseguenza, il Firewall esteso modificherà il file .htaccess per garantire che tutte le richieste PHP vengano elaborate prima di essere eseguite.
- Andare all'opzione Firewall > Tutte le opzioni del firewall per configurare il firewall Wordfence esteso e toccare Ottimizza il firewall Wordfence.
- Verrà presentata una scheda in cui si devono eseguire due operazioni. Innanzitutto, scegliete un tipo di server (se non lo sapete, consultate il vostro provider di hosting). In ogni caso, Wordfence vi suggerirà un server. Il secondo passo consiste nell'ottenere una copia di backup del file .htaccess, che potrete semplicemente incorporare utilizzando un file manager o un FTP se qualcosa dovesse andare storto.
- Se tutto funziona correttamente, si riceverà un messaggio di successo.
- Se si controlla il codice del file .htaccess, si vedrà il codice di configurazione del firewall Wordfence.
- Fatto, avete finalmente attivato con successo il Firewall esteso.
Protezione contro gli attacchi Brute Force
Sempre nella sezione Tutte le opzioni del firewall di Wordfence> Firewall, troveremo una sezione chiamata Brute Force Protection. Seguite i passaggi seguenti e proteggete il vostro sito web dagli attacchi di forza bruta.
- Determina diversi accessi falliti per bloccare l'accesso: Raccomandazione: 05 tentativi.
- Il numero di tentativi di password falliti per bloccare l'accesso: Raccomandazione: 05 tentativi.
- Il tempo in cui l'utente sarà bloccato: Raccomandazione: 30 minuti.
- Le altre impostazioni possono essere lasciate come predefinite.
Limitazione del tasso
La sezione Limitazione del tasso consente di limitare l'accesso ai bot cattivi che scansionano il vostro sito web alla ricerca di vulnerabilità; assicuratevi di aver attivato questa opzione.
Andate su Wordfence > Tutte le opzioni > Limitazione della frequenza > Per quanto tempo un indirizzo IP viene bloccato quando viola una regola. È possibile regolare l'intervallo di tempo desiderato.
Configurazione dello scanner
Con la funzione di scansione di Wordfence, possiamo analizzare tutti i file del nostro sito WordPress, alla ricerca di codice dannoso e shell che gli hacker potrebbero aver installato. Per farlo, andate nella barra laterale della vostra dashboard di WordPress, opzione Wordfence > Scansione e fate clic sul pulsante Avvia nuova scansione.
A questo punto, lo scanner di Wordfence inizierà la ricerca dei rischi e, se ne vengono rilevati, nei risultati ci fornirà una breve descrizione del problema.
Autenticazione a due fattori
L'autenticazione a due fattori (2FA) aggiunge un ulteriore livello di protezione/sicurezza alla pagina di accesso del vostro sito web WordPress e ai suoi utenti. Accedete all'opzione Wordfence della barra laterale della dashboard di WordPress > Sicurezza del login per abilitare l'autenticazione a due fattori sul vostro sito web.
In WordFence, visitate la pagina Sicurezza del login. Scansionate il codice QR dal campo dell'app di autenticazione, scaricate il codice di recupero (mettetelo in un posto sicuro) e fate clic su Attiva. Tutto qui!
Se avete domande sul plugin o sulla sicurezza di WordPress, fatele nella sezione dei commenti qui sotto. Oppure, se volete migliorare la sicurezza di WP, contattateci!
