Proteggere sito con Wordfence

Se stai per leggere questo articolo su Wordfence, allora hai deciso di proteggere il tuo sito da solo.

Attenzione! Se hai acquistato il nostro video corso di WordPress, allora c’è un’intera sezione dedicata alla sicurezza in cui trovi anche la lezione dettagliata inerente a Wordfence. Puoi quindi evitare di proseguire con l’articolo.

Questo articolo è il proseguimento della Guida alla Sicurezza WordPress.

Se non l’hai ancora letta allora fallo subito. Sarà fondamentale per comprendere quanto ti stiamo per spiegare.

Il plugin gratuito che abbiamo scelto come soluzione per la sicurezza “fai da te” è Wordfence, utilizzato da altri 2 milioni di utenti WordPress.

Wordfence Plugin

Ha anche lui molte opzioni ed offre sia il firewall, installato internamente al tuo sito, che gli strumenti di scansione per rilevare malware, trojan, backdoor e altre vulnerabilità conosciute.

Installa il plugin come ormai sei solito fare e accedi alla dashboard.

Dashboard

Wordfence Dashboard

Come ogni dashboard che si rispetti, in questa pagina troviamo il riassunto delle diverse attività che il plugin svolge.

Abbiamo la lista e lo stato di tutti i servizi attivi e quelli che invece sarebbero attivi solo a pagamento.

In Threat Defense Feed trovi il numero di tipologie di attacco da cui il plugin si difende. Il primo numero è quello per tutti gli utenti, il secondo per il servizio a pagamento.

Ci sono poi diversi dati statistici, come il numero di attacchi bloccati per il nostro sito e un report per tutti gli attacchi mondiali difesi da WordFence.

Interessante capire anche le nazioni in cui gli attacchi si verificano, per il nostro sito e per il mondo intero.

Possiamo vedere il numero di IP bloccati e un resoconto dei tentativi di login.

SiteGround Miglior Hosting

Options

Come prima cosa vai nel pannello Options per ad impostare i settings.

In questa pagina possiamo abilitare o disabilitare molte delle funzioni del plugin.

Abbiamo la funzione Enable Live Traffic View. Wordfence infatti permette di vedere in diretta tutto il traffico che arriva sul tuo sito.

Di base, siccome è una features che appesantisce le performance, lasciala disabilitata. Se avrai la necessità di utilizzarla potrai attivarla comunque in seguito.

Importante controllare di avere attivo Enable automatic scheduled scans. In questo modo verrà effettuata la scansione dei virus in modalità automatica.

Se inoltre vuoi che Wordfence installi gli aggiornamenti automaticamente, spunta l’opzione “Update Wordfence automatically…“. Altrimenti ricordati che, se c’è un plugin da aggiornare con costanza, è proprio quello inerente alla sicurezza, quindi verifica sempre che non ci siano aggiornamenti pendenti.

Inserisci ora l’email dove vuoi che ti arrivino le segnalazioni alla voce Where to email alerts.

Alla voce Come How does Wordfence get IPs, seleziona la seconda opzione (use “PHP built in…“), che dovrebbe andare bene nella maggior parte dei casi, altrimenti, se ci sono problemi o avvisi, torna alla prima scelta “Let Wordfence use the most…“.

Come vedi le opzioni sono divise in diverse sezioni. Scendi in quelle inerenti agli Alerts.

Wordfence Alerts

Leggi queste voce e abilita o disabilita quelle per cui vuoi ricevere una notifica.

Stai attento a non abilitare tutto, perché opzioni come Alert me when a non-admin user signs in ti manderebbero un’email ogni volta che un utente del tuo sito effettua l’accesso.

Scendi nella sezione delle options chiamata Scan to Include.

Wordfence Scan toinclude

Abilitia Scan theme files e Scan plugin files against repository versions for changes.

In questo modo il plugin controllerà che i file dei tuoi temi e dei tuoi plugin siano uguali a quelli che si trovano nella repository di WordPress.

Visto che, modificare i file core di WordPress, plugin e temi, non è una pratica consigliata, i file dovrebbero sempre corrispondere a quelli del server di WordPress.

Logicamente questa opzione non funziona con plugin e temi comprati o non presenti nella repository ufficiale.

Use low resource scanning è un’impostazione da considerare se il tuo server non è molto potente. Attivandola, la scansione verrà prolungata nel tempo, affaticando di meno la macchina su cui si trova il tuo sito.

Le altre opzioni lasciale così. Se sei interessato a qualcuna di loro puoi sempre premere l’icona con la “i” per avere maggiori informazioni riguardo a quella specifica funzione.

Scan

Procedi nella sezione scan per controllare che non ci siano malware, altre vulnerabilità, file del core modificati o altro.

Start Wordfence Scan

Premi il pulsante Start a Wordfence Scan per iniziare.

Il tempo richiesto dalla procedura dipende dalle dimensione del tuo sito. Una volta terminata ti verranno mostrati i risultati.

Se il plugin trova qualcosa che non va, allora ti verranno notificate anche le azioni consigliate da eseguire.

Security issues

Sempre in Scan, trovi in alto la tab Scheduling.

Per la versione free la scansione avviene ogni 24 ore, mentre se si vuole gestire la schedulazione manualmente, bisogna passare a quella a pagamento.

Nella tab options trovia le impostazioni che abbiamo visto prima alla voce di menu options.

Firewall

Wordfence propone il lavoro del firewall in due modalità differenti.

In quello impostato di base il firewall lavora a livello di plugin. Significa che, quando viene richiesta una pagina, il firewall viene caricato insieme agli altri plugin.

Il secondo metodo è l’extended protection. In questo caso il firewall entra in azione prima che il core di WordPress, i temi e i plugin vengano caricati.

Come puoi immaginare quest’ultimo è il metodo più sicuro, perché interviene prima di ogni altro elemento.

Per attivare questa impostazione premi Optimize the Wordfence Firewall.

Optimize Wordfence Firewall

Nella schermata seguente puoi vedere che, in automatico, Wordfence recupera le informazioni sul server su cui hai installato il sito. Premi Continue.

Wordfence detect server

Per potere fare entrare in azione il firewall prima di ogni altra cosa, è necessario permettere a Wordfence di cambiare il file .htaccess della tua installazione di WordPress.

In questo file infatti, sono registrate delle impostazioni che agiscono direttamente sul server.

Per evitare problemi scarica una copia di backup premendo download htaccess.

Download htaccess copy

Nel caso dovessi avere dei problemi quello che dovrai fare è connetterti via FTP, cancellare il file .htaccess presente nella root del tuo sito, caricare il file che hai appena scaricato e rinominarlo sul server esattamente .htaccess, con il punto all’inizio e senza il .txt alla fine.

Ok, ora puoi premere il tasto Continue.

Come vedi, attualmente il Firewall è in Learning Mode.

Firewall learning mode

Wordfence, invece di farti impostare tutte le varie impostazioni, userà il Learning Mode per una settimana,  raccoglierà dati ti utilizzo del tuo sito e cercherà di capire come impostarsi al meglio.

Passata questa settimana cambierà in automatico il suo stato in Enable and Protecting.

Le impostazioni in Brute Force Protection e Rate Limiting lasciale così come di default.

Live Traffic

Come anticipato Wordfence, nella sezione Live Traffic, ti permette di vedere tutto il traffico che passa per le tue pagine.

Se sei interessato ad analizzare un certo tipo di traffico, puoi utilizzare il filtro selezionando una delle opzioni: traffico umano, utenti registrati, crawlers ecc… e puoi bloccare l’IP del visitatore.

Wordfence live traffic

Blocking e Tools

Tutti gli IP bloccati e la loro gestione possiamo ritrovarli nella sezione Blocking.

In Tools l’unica parte che ci interessa è quella della diagnostica, dove troviamo tutta una serie di informazioni utili in caso di malfunzionamenti.

Se vuoi conoscere nel dettaglio ogni tipo di impostazione, Wordfence mette a disposizione una documentazione esaustiva.

Altre operazioni manuali

Per Wordfence è tutto, ma diamo ancora delle ultime indicazioni per dare un giro di vite ulteriore alla tua installazione di WordPress.

Disabilitare l’editor di WordPress

Per disabilitare l’editor devi inserire nel file wp-config.php questo codice:

define( 'DISALLOW_FILE_EDIT', true );

In questo modo non sarà più possibile modificare da Aspetto > Editor i file del core, quelli dei temi e dei plugin.

Disabilitare l’esecuzione diretta di script PHP

Per evitare l’esecuzione diretta di file PHP in alcune directory devi, utilizzando un editor di test, creare un nuovo file e incollare questo codice:

<Files *.php>
deny from all
</Files>

Salva il file come .htaccess e lo caricalo via FTP all’interno della cartella di cui vuoi bloccare gli script, come per esempio nella cartella wp-content/uploads.

Mi raccomando: crea questo file con un editor di testo come Atom o Sublite Text, e tieni presente che i file con il punto all’inizio non sono visibili dal tuo sistema operativo, poiché sono file nascosti. Sono visibili invece dal tuo editor e del client FTP, come Filezilla, che utilizzi per caricarlo sul server.

Evitare di mostrare il contenuto delle directory (Directory Listing)

Avere un server online che mostra il contenuto delle directory non va bene.

Se dopo aver controllato per diverse cartelle vedi la lista dei tuoi file, immagini e cartelle, allora devi scaricare il file .htaccess che si trova nella root del tuo sito e aggiungergli la seguente riga:

Options -Indexes

Disattivare XML-RPC

Il protocollo XML-RPC viene utilizzato da WordPress per eseguire delle procedure da remoto.

Dalla versione 3.4 è stata attivata di default, ma è un fattore che potrebbe causare attacchi Brute Force.

Questo protocollo non serve averlo attivo se:

  • NON fai post sul tuo sito tramite Windows Live Writer.
  • NON usi la WordPress mobile App.
  • NON utilizzi alcun tipo di servizio per connetterti da remoto con il tuo sito.

In questo caso ci viene incontro sempre il file .htaccess, quello nella root del sito, in cui dobbiamo inserire

<Files xmlrpc.php>
order deny,allow
deny from all
allow from xxx.xxx.xxx.xxx
</Files>

Dove la riga allow from la inseriamo se vogliamo abilitare solo un determinato IP (da sostituire alle varie xxx).

Con questo ultima informazione chiudiamo questo articolo.

Ti ricordo che se vuoi affidare tutto quello che compete la sicurezza del tuo sito a dei professionisti, allora leggi questo articolo su come proteggere il tuo sito WordPress tramite Sucuri.

Come sempre se hai domande siamo a disposizione nei commenti!

2 commenti

Lascia un Commento

Vuoi partecipare alla discussione?
Sentitevi liberi di contribuire!

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *