SupportHost Blog

Rendi sicura la tua installazione WordPress

aprile 10, 2018, Scritto da 0 commenti
Questo articolo fa parte di una serie chiamata "Guida WordPress"

Quanto tempo hai dedicato in fase di installazione alla sicurezza del tuo sito? Verifichi mai i report relativi alle minacce e sai quanti accessi sono stati bloccati? Queste sono semplici domande che se hai un sito dovresti farti, indipendentemente se gestisci un sito con milioni di visite giornaliere o un piccolo blog di moda con meno di mille visite al mese. Non ci sono molte differenze per un hacker.

Passaggi e plugin fondamentali per la sicurezza di un sito WordPress

Se stai per installare un nuovo progetto oppure vuoi proteggere un sito WordPress e renderlo sicuro da ogni attacco, in queste poche righe cercherò di consigliarti alcune tecniche e plugin da configurare in pochi clic.

Come primo passaggio, dovresti eliminare l’account Admin, perchè è uno dei nomi utenti più facili da “bucare”. Quando installi WordPress puoi scegliere infatti di cambiare questo nome, oppure se preferisci, puoi farlo successivamente attraverso il menù Utenti > Modifica. Scegliere un nickname difficile e una password altrettanto complessa può rappresentare il primo grande ostacolo per un malintenzionato.

Procedi poi a cambiare il link di accesso al pannello di WordPress. La maggior parte dei progetti web preferisce tenere il pannello di login su nomedominio.com/wp-admin, ma come per il nome utente è facilmente rintracciabile da un hacker. Se pensi che questo cambiamento sia troppo complicato da fare manualmente, puoi Installare ed attivare un plugin come WPS Hide Login e procedere alla sua configurazione tramite la finestra che trovi in Impostazione > Login Url. La procedura è veramente elementare, nella schermata che ti appare infatti basta scrivere nella casella il nuovo link per raggiungere il login.

Rendi sicura la tua installazione WordPress

Assicurati sempre di aggiornare WordPress all’ultima versione, i plugin e i temi. Quando accedi al pannello di gestione del sito, trovi sotto al comando Home una notifica che ti avvisa della presenza di aggiornamenti disponibili. Dopo aver verificato la compatibilità, puoi procedere all’installazione automatica, in questo modo ti assicuri un altro punto in fatto di sicurezza. Ricorda inoltre di eliminare tutti i componenti inutili, i temi e i plugin che magari hai provato ma che poi hai deciso di non utilizzare, questo perchè potrebbero contenere delle “falle” e potrebbero essere usati come porta per accedere al tuo sito.

Utilizza solo temi e plugin originali, anche se questo vuol dire acquistare qualche soldo. I temi craccati infatti possono contenere un virus al loro interno che, passato qualche tempo, possono rivelarsi estremamente dannosi per il tutto il sito. Ricorda inoltre di effettuare una copia dei dati con frequenza, i cosiddetti backup sono delle vere e proprie ancore di salvezza in caso di problemi. Puoi utilizzare un plugin o procedere manualmente alla copia, per i file del sito ti basterà accedere da Ftp e scaricarli sul tuo pc, mentre per il database dovrai accedere al pannello di controllo dell’hosting ed esportare i dati.

Wordfence: il migliore plugin di sicurezza per WordPress

Tra i plugin più indicati per la sicurezza, con oltre 2 milioni di installazioni, c’è senza dubbio quello di Wordfence. Si tratta di uno strumento gratuito in grado di eseguire alcune operazioni fondamentali e che si configura in qualche minuto.

Nel dettaglio Wordfence:

  1. Scansiona tutti i file presenti nello spazio (temi, plugin, immagini…);
  2. Consente di bloccare gli indirizzi IP;
  3. Invia una mail di allarme in caso di accessi falliti o IP bloccati;
  4. Contribuisce alla velocità del sito

 

Rendi sicura la tua installazione WordPress Wordfence

Come prima cosa andiamo su Plugin > Aggiungi nuovo e, nella casella di ricerca scriviamo “Wordfence”. Una volta installato e attivato procediamo con una configurazione standard, che puoi ritoccare a seconda delle tue esigenze. Ricorda di effettuare un backup prima di ogni movimento e di verificare alla fine se tutto funziona.

Appena attivato, Wordfence attraverso un popup ti chiederà di indicare l’indirizzo mail a cui inviare le mail di allerta. Un passaggio fondamentale per restare sempre aggiornati sulla situazione. Successivamente ti chiederà se vuoi acquistare una licenza premium con tutte le funzioni aggiuntive ma, per ora, procedi cliccando su “No Thanks”.

Configurazione base Wordfence

Partiamo con la configurazione base, attraverso i comandi che trovi sotto la voce Wordfence, sulla barra sinistra.

All Options

Cliccando su All Options verrai inoltrato in una pagina, in cui puoi gestire tutte le funzioni del plugin. Puoi decidere quali attivare e quelle che sono veramente necessarie al tuo sito. Le opzioni preimpostate sono ideali per chi non conosce tutti i meccanismi, ma quello che ti consiglio è comunque di verificare l’attivazione di alcune opzioni, come ad esempio “Update Wordfence automatically” ovvero quella che autorizza l’installazione automatica di una nuova versione  del plugin.

Scendendo nella pagina, se non l’hai inserita prima, puoi scrivere o modificare la mail dove verranno inviate le comunicazioni. Non preoccuparti del numero di messaggi che riceverai, puoi sempre modificare il tipo e numero di notifiche attraverso la sezione chiamata “Email Alert Preference”.

Se non sai bene cosa siano le altre opzioni, ti consiglio di lasciare quelle di default. Ricorda però di attivare nella sezione Scan Option la scansione automatica del sito, in questo modo il plugin scansionerà i file ogni 24 ore, garantendoti una sicurezza sempre aggiornata.

Scan

A questo punto possiamo far partire una scansione di tutti i file presenti nel sito, per capire la situazione attuale del nostro portale. Per avviarla, clicca sul comando Scan e quindi su Start. Adesso dovrai solo attendere che la procedura arrivi alla fine. Il risultato sarà un report completo e dettagliato dei problemi rilevati, puoi decidere tu come e se risolverli o ignorarli.

Firewall

Wordfence offre due modalità di lavoro per il Firewall: la prima avvia il Firewall quando la pagina viene richiesta; la seconda avvia il Firewall prima che il tema e i vari plugin vengano caricati. Questo secondo metodo è ovviamente più raccomandato, ma richiede qualche passaggio in più.

Rendi sicura la tua installazione WordPress impostazioni firewall Woordfence

Per prima cosa scorri fino alla sezione Protection Level e clicca su Optimize The Wordfence Firewall. Nella schermata che si apre, il plugin ti mostra alcuni dati del tuo server, verifica la correttezza di essi e clicca su Continua. A questo punto dovrai consentire una modifica al file .htaccess, ma solo dopo averne scaricato una copia. Clicca quindi su Download file .htaccess e poi su Continua per completare la procedura. Il Firewall entrerà quindi in una modalità detta Learning Mode, ovvero di apprendimento. Questo processo impiegherà una settimana e raccoglierà tutti i dati necessari per funzionare al meglio, successivamente passerà in automatico alla modalità Enable and Protecting.

Blocking e Tools

Attraverso la sezione Blocking puoi vedere tutti gli indirizzi IP bloccati e i dettagli sui tentati accessi. Se non vedi questo comando devi prima abilitarlo dal menù All Options.

Per avere invece una situazione generale sul funzionamento del plugin, devi andare su Diagnostic, che puoi raggiungere dal menù Tools.

Riccardo

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi richiesti sono contrassegnati con *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.