Corso WordPress

Plugin per la sicurezza – Wordfence

Dopo avere spiegato e mostrato i vantaggi di utilizzare un servizio come quello offerto dalla Sucuri, andiamo a vedere una soluzione "fai da te", grazie a uno dei plugin più utilizzati nella comunità di WordPress per la protezione del proprio sito web.

Parleremo di Wordfence andando a vedere come impostarlo, il punto di partenza per avere un firewall interno al sito, uno scanner e servizi di monitoraggio.

Codici nella lezione:

Per disabilitare l’editor:

define( 'DISALLOW_FILE_EDIT', true );

Per evitare l’esecuzione diretta di file PHP in alcune directory:

<Files *.php>
deny from all
</Files>

Il protocollo XML-RPC:

<Files xmlrpc.php>
order deny,allow
deny from all
allow from xxx.xxx.xxx.xxx
</Files>

Hai una domanda su questa lezione?

Accedi al video corso


    • Gianluca
      Gianluca dice:

      Ciao Franco,
      Lasciali attivi entrambi, a meno che tu non disabiliti la possibilità di commentare i tuoi post, in quel caso puoi fare a meno di Akismet.

      Buona giornata

  1. Giuseppe
    Giuseppe dice:

    Ho appena installato wordfence e lo sto configurando come consigliato in questo video. Il mio sito è in modalità manutenzione, cioè quando qualcuno (non amministratore) entra a vedere il sito l’unica cosa che vede è una pagina che dice che il sito è in costruzione.
    In questo momento ha senso mettere wordfence in modalità “apprendimento”? oppure mi conviene disattivarlo e attivarlo appena il sito sarà pronto?

    Rispondi
    • Lorenzo
      Lorenzo dice:

      Ciao Giuseppe,
      ottima domanda. Per risondere andiamo a logica.
      Se il tuo sito era già online prima di questa nuova versione ed era già indicizzato nei motori di ricerca, allora i bot automatici che cercano di scovare “buchi”, potrebbero già conoscere il tuo sit. Ricordiamoci che questi bot fanno la scansione della rete sparando in stile “mitragliatrice” non perché targhettizzano il tuo sito per un motivo preciso, ma perché cercano server da poter “conquistare” ed utilizzare per altri scopi. Quando un sito è indicizzato ed è online da tempo ha dei link che puntano sulle sue pagine distribuite nella rete ed è per questo che i bot potrebbero conoscerlo.

      Se invece “il mondo non sa ancora che esisti” allora le probabilità di attacchi sono minori.
      Secondo me puoi attivarlo comunque e poi una volta uscito dalla modalità manutenzione monitori le richieste che arrivano sul tuo sito e nel caso ritocchi le impostazioni. Ti avviso però che questo è un campo molto complesso, il più complesso nel ramo informatico, e pertanto prima di impostare qualcosa nel dettaglio andrei a leggere la documentazione ufficiale del plugin.

      Buona giornata

  2. Giuseppe
    Giuseppe dice:

    Salve, per quanto riguarda la sicurezza ho installato sul mio sito il plugin gratuito sucuri. è meglio sostituirlo con wordfence?
    Il sito è ancora in lavorazione quindi per me non sarebbe per niente un problema fare questo scambio.

    Rispondi
    • Lorenzo
      Lorenzo dice:

      Ciao Giuseppe,
      sicuramente Sucuri è un prodotto completo e migliore. Attenzione però, ti sto parlando del servizio a pagamento di Sucuri, che prevede anche il firewall. Se devi utilizzare il loro plugin gratuito, allora ti consiglio WordFence, in quanto è dotato anche lui di un firewall (anche se intallato sul sito, mentre con Sucuri le “cattive richieste” non arrivano nemmeno a toccare il tuo server).

      Ora, dovresti capire se circa 200$ all’anno valgono l’acquisto di un servizio da “guardie del corpo” per il tuo progetto online.
      Se vendi qualcosa o hai un income di qualsiasi tipo, allora ti consiglio proprio di si.
      Se sei un’azienda il cui budget di 200$ all’anno non grava sul bilancio, allora ti consiglio l’utilizzo di Sucuuri anche in questo caso (avere una perdita d’immagine a causa di un sito forato o penalizzazione SEO non è uno scenario allettante).
      Infine, non da poco, se hai un problema di sicurezza sono loro a risolvertelo!

      Invece se hai appena iniziato, allora WordFence è anche lui un buon plugin gratuito (anche lui ovviamente ha una versione a pagamento più completa).

      Buona giornata

    • Giuseppe
      Giuseppe dice:

      Grazie mille, io mi riferivo al plugin gratuito sucuri. Visto che non possiamo spendere 200$ per sucuri “premium” installerò Wordfence

  3. Ilaria
    Ilaria dice:

    Ciao Lorenzo,
    vorrei sapere come difendermi da eventuali attacchi che potrebbe farmi il mio webmaster avendo affidato a lui la creazione e realizzazione del mio sito, e avendo lui un nome utente (admin) e una sua password. fidarsi è bene, non fidarsi e’ meglio.
    grazie

    Rispondi
    • Gianluca
      Gianluca dice:

      Ciao Ilaria,
      finché il tuo webmaster ha le password da amministratore è suo “diritto” avere accesso al sito.

      D’altra parte se hai fatto realizzare il sito esternamente non avevi alternative.

      Quello che devi fare è farti creare un account con gli stessi privilegi, in modo che anche tu possa avere il controllo su ogni cosa.

      A quel punto puoi anche decidere di modificare la sua password in modo che non possa più accedere.

      Poi sarebbe meglio anche cambiare tutte le altre password che gli hai fornito (database, FTP, spazio hosting etc).

      Buona giornata

  4. Alberto
    Alberto dice:

    ciao, penso che devo tornare all’opzione 1… corretto?

    “Your ‘How does Wordfence get IPs’ setting is misconfigured. This site is currently using PHP’s built in REMOTE_ADDR. This site appears to be behind Cloudflare, so using the Cloudflare “CF-Connecting-IP” HTTP header will resolve to the correct IPs.”

    Rispondi
    • Lorenzo
      Lorenzo dice:

      Si esatto, se la seconda non viene accettata utilizza la prima oppure utilizza quella che il messaggio ti ha indicato.

      Buona giornata

  5. cusatiandrea
    cusatiandrea dice:

    Ciao Lorenzo.

    Mi puoi spiegare meglio l’ultima parte del video sulla disattivazione del protocollo XML-RPC?
    Vorrei capre meglio cosa significa non utilizzare servizi per connettersi da remoto al mio sito.

    Grazie.

    Rispondi
    • Lorenzo
      Lorenzo dice:

      Ciao Andrea,
      WordPress può essere comandato anche non direttamente dall’area di admin.
      Ci sono delle applicazioni, per esempio delle app o altri client, che ti permettono di compiere determinate azioni, come per esempio pubblicare post, cancellarli, moderare i commenti ecc…

      Per farlo, queste app si devono interfacciare in qualche modo con WordPress e lo fanno tarmite l’interfaccia XML-RPC.
      Questo servizio, nella versione precedente alla 3.5 non era attivo di default e lo si poteva attivare dalle Impostazioni > Scrittura, ma la cosa creava dubbi agli utenti, pertanto hanno deciso di lasciarlo come base.

      Non è obbligatorio interrompere il funzionamento di questa interfaccia, anche perché i due attacchi principali che questa possono causare sono un DDoS ai pingbacks, che se hai Akismet (e dovresti) ci pensa lui a proteggerti, e un attacco di tipo Brute Force, che se hai WordFence attivo ci pensa lui a bloccare dopo che è stato raggiunto il massimo di tentativi di login consentiti.

      Detto questo, se non usi applicazioni (o non hai servizi che usano) l’interfaccia XML-RPC, puoi decidre di tagliare la testa al toro e disabilitarli. Tieni presente che se dovessi avere problemi di funzionamento, ricordati che hai disattivato questa funzionalità durante la fase di debug del problema.

      Buona giornata

  6. elmax22
    elmax22 dice:

    Ciao a tutti.
    Prima domanda: quando parlate di disabilitare l’editor, immagino non sia ovviamente quello di testo per scrivere articoli ed altro. Vorrei capire meglio che modifiche si possono fare con questo editor qui tramite un paio di esempi e se la sua disatttivazione non impedisce poi il normale aggiornamento dei temi e dei plugins.
    Stessa cosa chiederei per la parte che riguarda evitare l’esecuzione diretta di file PHP in alcune directory: qualche esempio rapido per capire il concetto?

    Grazie

    Rispondi
    • Lorenzo
      Lorenzo dice:

      Ciao Massimo,
      l’editor di cui si parla è quello che mostro nel video (Aspetto > Editor), ovvero quello che si usa per modificare il codice di temi e plugin direttamente dal admin di WordPress. Questo strumento se non sai programmare non va assolutamente utilizzato, perché rischi di rendere il tuo sito non utilizzabile se commetti un errore. E’ per questo che spiego come disabilitarlo qui nel capitolo sulla sicurezza, perché ricorda, sicurezza significa anche proteggersi da errori personali o di altri utenti.

      Inoltre anche chi sa programmare non usa quel editor, perché se aggiorni temi e plugin perdi le modifiche che hai apportato. Ci sono altri metodi non distruttivi di agganciare la propria programmazione a WordPress.

      Quando si parla di bloccare l’esecuzione di file php si intende che se un maleintenzionato ti riesce a caricare un file spam.php, dove per esempio utilizza il tuo server per mandare email di spam, non sarà in grado di eseguire direttamente quello script. Tieni anche presente che se hai Wordfence installato e qualcuno riesce a salvare un file sul tuo server, questo verrà analizzato, segnalato e se potenzialmente pericoloso verrà etichettato come tale. Pertanto puoi anche non fare questo “ulteriore giro di vite” disabilitando l’esecuzione diretta di file php, ma nel caso, ora, hai la conoscenza su cosa devi fare qualosa ti si presentasse l’esigenza di farlo.

      Buona giornata

Corso WordPress GRATUITO

INSERISCI NOME E MAIL PER ACCEDERE ALLE PRIME 19 LEZIONI.

Zero spam. Garantito.

Corso Wordpress Gratis

Inizia il Corso di WordPress GRATIS!

Inserisci nome ed email per avere l'accesso gratuito alle prime 19 lezioni del corso. Impara a costruire da solo il tuo sito web!

Ci sei quasi! Ti abbiamo mandato un'email per confermare il tuo indirizzo di posta.

Pin It on Pinterest