Corso WordPress
Plugin per la sicurezza – Wordfence
Introduzione
- Introduzione02:53
- Struttura del corsoGratuita04:06
- Cos'è WordPress - temi e pluginGratuita05:11
- Scegliere il nome dominioGratuita04:13
- Come acquistare dominio e hostingGratuita08:33
Primi passi
- Come installare WordPressGratuita08:47
- Interfaccia di WordPress04:49
- I permalink05:43
- Articoli e pagine05:28
- Categorie e tags - la struttura del sito07:28
- Gli editor di testo, i builder di pagina e Gutenberg08:55
- Interfaccia di Gutenberg10:11
- Creare pagine e articoli con Gutenberg - parte 112:29
- Creare pagine e articoli con Gutenberg - parte 206:47
- Reusable Block - Blocchi Riutilizzabili03:20
- Revisioni e stato di un articolo05:32
- Pagine di recupero e modifiche rapide02:50
- Creare il menu di navigazione05:40
- Inserire una voce di menu non cliccabile 01:37
- Gestire i widget nella sidebar e nel footer10:13
- Le impostazioni di WordPress20:00
Personalizzare il tuo sito
- Introduzione ai plugin per WordPress17:16
- Che cosa sono i temi per Wordpress07:05
- Come scegliere un tema10:36
- Come installare un tema su WordPress03:31
- Come cambia la gestione del sito sulla base del tema (2 temi a confronto)09:29
- Importare i file demo del tema04:13
Gestione regolare del sito
- Gestire gli utenti iscritti07:02
- Come aggiornare i plugin01:23
- Come eliminare un plugin00:49
- Come aggiornare WordPress02:11
Creazione portfolio online
- Panoramica sulla creazione di portfolio online 03:51
- Creare un portfolio sul tuo sito web con Enfold 08:50
- Creare un portfolio sul tuo sito web con Avada 05:59
- Creare un portfolio con un tema gratuito e plugin JetPack 14:27
- Consigli addizionali riguardo gli elementi portfolio 02:54
Altre attività per WordPress
- Spostare / Duplicare un sito tramite Plugin 12:33
- Sostituire URL dei link con Velvet URLs 03:28
- Ottimizzare il database del tuo sito web 02:24
- Come spostare un sito WordPress 09:41
- Come installare WordPress manualmente 08:11
- Mettere un sito in Manutenzione 09:08
- Tradurre un plugin con Poedit 05:45
- HTTPS e WordPress 19:23
Come velocizzare WordPress
- Come velocizzare WordPress 11:33
- W3 Total Cache - parte 1 10:01
- W3 Total Cache - parte 2 16:50
- Velocizzare il tuo sito con SiteGround 06:02
Buongiorno,
sto creando un sito e l’ho messo in manutenzione. Nessuno sa che esisto ancora… ha senso installare Wordfence ora quando ho attivo l’SG OPTIMIZER di Wp? Grazie
Ciao Benedetta,
Wordfence e SG Optimizer sono due plugin con funzioni completamente diverse.
Wordfence è un firewall / scanner per la sicurezza, mentre SG Optimizier, come dice il nome, ha delle funzioni per ottimizzare le performance del tuo sito.
Buona giornata
Ciao ragazzi,
ho notato che Wordfence rallenta molto il caricamento del mio sito web.
Sto sbagliando qualcosa?
Grazie
Silvia
Ciao Silvia,
è strano non dovrebbe essere così. Magari i test non erano fedeli, non saprei.
Quello che mi viene in mente è che potresti averli fatti mentre WordFence era in fase di scansione.
Dopo il primo periodo iniziale dopo l’installazione, quando ormai ha già scansionato tutto il tuo sito, dovrebbe utilizzare molte meno risorse.
Inoltre prova ad utilizzare in All Options > Scan Options > Performance Options > Use low resource scanning …
Buona giornata
Scusate ragazzi,
ma se ho configurato wordfence akismet lo posso disinstallare ?
Grazie
Ciao Franco,
Lasciali attivi entrambi, a meno che tu non disabiliti la possibilità di commentare i tuoi post, in quel caso puoi fare a meno di Akismet.
Buona giornata
il plugin in questione ha la possibilità di cambiare anche il link normale dell’accesso al sito (wp-login?)
Ciao Andrea,
non hai la necessità di cambiare la URL per l’accesso al sito.
Maggiori informazioni le trovi in questo video direttamente da WordFence.
Buona giornata
Ho appena installato wordfence e lo sto configurando come consigliato in questo video. Il mio sito è in modalità manutenzione, cioè quando qualcuno (non amministratore) entra a vedere il sito l’unica cosa che vede è una pagina che dice che il sito è in costruzione.
In questo momento ha senso mettere wordfence in modalità “apprendimento”? oppure mi conviene disattivarlo e attivarlo appena il sito sarà pronto?
Ciao Giuseppe,
ottima domanda. Per risondere andiamo a logica.
Se il tuo sito era già online prima di questa nuova versione ed era già indicizzato nei motori di ricerca, allora i bot automatici che cercano di scovare “buchi”, potrebbero già conoscere il tuo sit. Ricordiamoci che questi bot fanno la scansione della rete sparando in stile “mitragliatrice” non perché targhettizzano il tuo sito per un motivo preciso, ma perché cercano server da poter “conquistare” ed utilizzare per altri scopi. Quando un sito è indicizzato ed è online da tempo ha dei link che puntano sulle sue pagine distribuite nella rete ed è per questo che i bot potrebbero conoscerlo.
Se invece “il mondo non sa ancora che esisti” allora le probabilità di attacchi sono minori.
Secondo me puoi attivarlo comunque e poi una volta uscito dalla modalità manutenzione monitori le richieste che arrivano sul tuo sito e nel caso ritocchi le impostazioni. Ti avviso però che questo è un campo molto complesso, il più complesso nel ramo informatico, e pertanto prima di impostare qualcosa nel dettaglio andrei a leggere la documentazione ufficiale del plugin.
Buona giornata
Salve, per quanto riguarda la sicurezza ho installato sul mio sito il plugin gratuito sucuri. è meglio sostituirlo con wordfence?
Il sito è ancora in lavorazione quindi per me non sarebbe per niente un problema fare questo scambio.
Ciao Giuseppe,
sicuramente Sucuri è un prodotto completo e migliore. Attenzione però, ti sto parlando del servizio a pagamento di Sucuri, che prevede anche il firewall. Se devi utilizzare il loro plugin gratuito, allora ti consiglio WordFence, in quanto è dotato anche lui di un firewall (anche se intallato sul sito, mentre con Sucuri le “cattive richieste” non arrivano nemmeno a toccare il tuo server).
Ora, dovresti capire se circa 200$ all’anno valgono l’acquisto di un servizio da “guardie del corpo” per il tuo progetto online.
Se vendi qualcosa o hai un income di qualsiasi tipo, allora ti consiglio proprio di si.
Se sei un’azienda il cui budget di 200$ all’anno non grava sul bilancio, allora ti consiglio l’utilizzo di Sucuuri anche in questo caso (avere una perdita d’immagine a causa di un sito forato o penalizzazione SEO non è uno scenario allettante).
Infine, non da poco, se hai un problema di sicurezza sono loro a risolvertelo!
Invece se hai appena iniziato, allora WordFence è anche lui un buon plugin gratuito (anche lui ovviamente ha una versione a pagamento più completa).
Buona giornata
Grazie mille, io mi riferivo al plugin gratuito sucuri. Visto che non possiamo spendere 200$ per sucuri “premium” installerò Wordfence
Ciao Lorenzo,
vorrei sapere come difendermi da eventuali attacchi che potrebbe farmi il mio webmaster avendo affidato a lui la creazione e realizzazione del mio sito, e avendo lui un nome utente (admin) e una sua password. fidarsi è bene, non fidarsi e’ meglio.
grazie
Ciao Ilaria,
finché il tuo webmaster ha le password da amministratore è suo “diritto” avere accesso al sito.
D’altra parte se hai fatto realizzare il sito esternamente non avevi alternative.
Quello che devi fare è farti creare un account con gli stessi privilegi, in modo che anche tu possa avere il controllo su ogni cosa.
A quel punto puoi anche decidere di modificare la sua password in modo che non possa più accedere.
Poi sarebbe meglio anche cambiare tutte le altre password che gli hai fornito (database, FTP, spazio hosting etc).
Buona giornata
ciao, penso che devo tornare all’opzione 1… corretto?
“Your ‘How does Wordfence get IPs’ setting is misconfigured. This site is currently using PHP’s built in REMOTE_ADDR. This site appears to be behind Cloudflare, so using the Cloudflare “CF-Connecting-IP” HTTP header will resolve to the correct IPs.”
Si esatto, se la seconda non viene accettata utilizza la prima oppure utilizza quella che il messaggio ti ha indicato.
Buona giornata
Ciao Lorenzo.
Mi puoi spiegare meglio l’ultima parte del video sulla disattivazione del protocollo XML-RPC?
Vorrei capre meglio cosa significa non utilizzare servizi per connettersi da remoto al mio sito.
Grazie.
Ciao Andrea,
WordPress può essere comandato anche non direttamente dall’area di admin.
Ci sono delle applicazioni, per esempio delle app o altri client, che ti permettono di compiere determinate azioni, come per esempio pubblicare post, cancellarli, moderare i commenti ecc…
Per farlo, queste app si devono interfacciare in qualche modo con WordPress e lo fanno tarmite l’interfaccia XML-RPC.
Questo servizio, nella versione precedente alla 3.5 non era attivo di default e lo si poteva attivare dalle Impostazioni > Scrittura, ma la cosa creava dubbi agli utenti, pertanto hanno deciso di lasciarlo come base.
Non è obbligatorio interrompere il funzionamento di questa interfaccia, anche perché i due attacchi principali che questa possono causare sono un DDoS ai pingbacks, che se hai Akismet (e dovresti) ci pensa lui a proteggerti, e un attacco di tipo Brute Force, che se hai WordFence attivo ci pensa lui a bloccare dopo che è stato raggiunto il massimo di tentativi di login consentiti.
Detto questo, se non usi applicazioni (o non hai servizi che usano) l’interfaccia XML-RPC, puoi decidre di tagliare la testa al toro e disabilitarli. Tieni presente che se dovessi avere problemi di funzionamento, ricordati che hai disattivato questa funzionalità durante la fase di debug del problema.
Buona giornata
Ciao a tutti.
Prima domanda: quando parlate di disabilitare l’editor, immagino non sia ovviamente quello di testo per scrivere articoli ed altro. Vorrei capire meglio che modifiche si possono fare con questo editor qui tramite un paio di esempi e se la sua disatttivazione non impedisce poi il normale aggiornamento dei temi e dei plugins.
Stessa cosa chiederei per la parte che riguarda evitare l’esecuzione diretta di file PHP in alcune directory: qualche esempio rapido per capire il concetto?
Grazie
Ciao Massimo,
l’editor di cui si parla è quello che mostro nel video (Aspetto > Editor), ovvero quello che si usa per modificare il codice di temi e plugin direttamente dal admin di WordPress. Questo strumento se non sai programmare non va assolutamente utilizzato, perché rischi di rendere il tuo sito non utilizzabile se commetti un errore. E’ per questo che spiego come disabilitarlo qui nel capitolo sulla sicurezza, perché ricorda, sicurezza significa anche proteggersi da errori personali o di altri utenti.
Inoltre anche chi sa programmare non usa quel editor, perché se aggiorni temi e plugin perdi le modifiche che hai apportato. Ci sono altri metodi non distruttivi di agganciare la propria programmazione a WordPress.
Quando si parla di bloccare l’esecuzione di file php si intende che se un maleintenzionato ti riesce a caricare un file spam.php, dove per esempio utilizza il tuo server per mandare email di spam, non sarà in grado di eseguire direttamente quello script. Tieni anche presente che se hai Wordfence installato e qualcuno riesce a salvare un file sul tuo server, questo verrà analizzato, segnalato e se potenzialmente pericoloso verrà etichettato come tale. Pertanto puoi anche non fare questo “ulteriore giro di vite” disabilitando l’esecuzione diretta di file php, ma nel caso, ora, hai la conoscenza su cosa devi fare qualosa ti si presentasse l’esigenza di farlo.
Buona giornata