Metti il tuo sito WordPress in sicurezza con Wordfence Security

mettere sito wordpress sicurezza wordfence security

Oggi ti parliamo di uno strumento importante per la sicurezza del tuo sito web: Wordfence Security.

Da quanto tempo hai realizzato il tuo sito WordPress? Quando è stata l’ultima volta che ti sei occupato di monitorarne il livello di sicurezza?

La tua risposta potrebbe essere “molto tempo fa”, o addirittura “mai”!

Anche se poche persone lo fanno con regolarità, assicurarsi che il proprio sito sia sicuro è estremamente importante.

WordPress è infatti una piattaforma open source – cioè, i codici sono pubblicamente consultabili da tutti, anche dagli hacker. Allo stesso modo, sono disponibili anche i codici di tutti i plugin. Con queste informazioni, un hacker esperto potrebbe essere in grado di identificare eventuali falle ed attaccare il tuo spazio web.

Oggi ti presenterò uno strumento molto utile. Si tratta del plugin Wordfence Security. E’ un plugin estremamente popolare (4.7 milioni di download) che, oltre ad avere diverse funzionalità per monitorare lo stato di sicurezza del sito, permette anche di velocizzarlo con l’opzione caching.

Come usare Wordfence Security

Scan

La prima cosa che potrai fare quando installi Wordfence Security è fare uno scan del sito.

Terminato lo scan, tutti i problemi individuati saranno visualizzati a fondo schermo. Qui puoi selezionare varie opzioni .

Nello screenshot sottostante è stata identificata una variazione tra il file wp-includes/version.php installato sul mio sito di prova e il file contenuto nel pacchetto di installazione WordPress standard.

wordfence security scan

In questo caso, cliccando “See how the files has changed” ho però scoperto che la variazione è dovuta all’installazione di WordPress in italiano.

Quindi, posso tornare indietro e cliccare “Always ignore this file”, in quanto sono stato in grado di riconoscere che il problema non è dovuto ad un attacco hacker ma ad una personalizzazione della mia installazione.

In caso di dubbio, puoi però visualizzare il file e usare le altre opzioni disponibili.

Live traffic

Nella sezione chiamata “Live Traffic” puoi monitorare gli utenti ed i robot che visitano il tuo sito.

In questa pagina ci sono varie tab: utenti live, utenti registrati, registro dei login/logout effettuati (questo potrebbe esserti utile se temi che qualcuno abbia scoperto le tue credenziali di accesso), eccetera.

Qui puoi anche vedere quali URL generano un errore 404.

Nota: in testa a questa pagina, vedrai un comando ON/OFF per attivare e disattivare la funzionalità Live Traffic. Questa opzione ti sarà utile se temi che la funzionalità usi troppa memoria.

Performance Setup

Come ho menzionato nell’introduzione, oltre a monitorare il livello di sicurezza dei siti WordPress, questo plugin permette anche di migliorarne la performance attraverso la funzionalità di caching.

Nella sezione “Performance Setup” puoi:

  • Attivare due tipi di caching: quella base e quella Falcon (in grado di ottimizzare la performance del tuo sito fino a 40-50 volte)
  • Configurare la cache in modo che venga svuotata automaticamente quando pubblichi un nuovo post
  • Svuotare la cache manualmente
  • Escludere specifici URL dalla cache

Ovviamente, questa funzionalità di Wordfence Security si andrebbe a sovrapporre a quella di altri plugin come WP Super Cache.

Blocked IP

Se vuoi bloccare l’accesso e/o la visualizzazione del tuo sito ad un particolare utente, crawler o bot, puoi indicare l’indirizzo IP da bloccare in questa sezione.

Se blocchi la visualizzazione del sito ad un particolare IP, quando l’utente prova ad aprire una tua pagina apparirà un messaggio in cui è indicato che è stato inserito un blocco.

Se vuoi, puoi anche bloccare dalla Bacheca WordPress specifici indirizzi IP, senza però limitare ad essi la visualizzazione del sito.

Cellphone Sign-in (funzionalità a pagamento)

Se sottoscrivi un account premium, avrai accesso alla funzionalità Cellphone Sign-in.

Se non vuoi rischiare che hacker o utenti indesiderati usino le tue credenziali per entrare nella Bacheca WordPress, usare questa funzionalità ti permetterà di aggiungere un’ulteriore protezione al tuo sito.

Per effettuare l’accesso, avrai infatti bisogno – oltre a username e password – di un codice che sarà inviato al tuo numero di cellulare via SMS.

Country Blocking

Oltre a limitare l’accesso a specifici indirizzi IP, con Wordfence Security potrai bloccare il sito ad interi paesi.

Nella sezione Country Blocking puoi semplicemente spuntare i paesi da bloccare, ed anche impostare l’URL di una pagina verso la quale ridirigere gli utenti che provano ad accedere al tuo sito da quelle regioni geografiche.

Scan Schedule (funzionalità a pagamento)

Se sottocrivi un piano premium, puoi programmare scan regolari per monitorare il livello di sicurezza del sito.

Trovi il costo di Wordfence Security nei paragrafi successivi.

Whois Lookup

Vuoi avere maggiori informazioni su un particolare dominio o indirizzo IP? Semplicemente, incollalo in questa sezione e clicca “Lookup IP or domain”.

Le informazioni pubblicamente disponibili appariranno sulla schermata.

Advanced Blocking

Se desideri bloccare un particolare bot, una serie di indirizzi IP o, addirittura, i visitatori che arrivano da un specifico URL, fallo da questa pagina.

Options

Infine, nella sezione chiamata “Options” trovi alcune funzionalità base del plugin su cui lavorare per ottimizzarne l’utilizzo.

Nella prima sezione (Basic options) attiverai e disattiverai le funzionalità del plugin – alcune sono disponibili solo per chi sottoscrive un piano premium.

Nel campo “Where to email alerts” potrai anche inserire l’indirizzo email dove desideri ricevere le notifiche inviate da Wordfence Security.

Tra le opzioni avanzate disponibili vi sono quelle per:

  • Configurare frequenza e contenuto delle notifiche
  • Impostare la funzionalità Live Traffic in modo che non consideri le visite degli amministratori
  • Configurare gli scan del sito
  • Impostare alcune funzionalità per limitare il numero e la frequenza di login alla Bacheca

E altre numerose funzionalità.

Trattandosi di un plugin con molte opzioni, la cui configurazione ti richiederà probabilmente fino a qualche ora di lavoro, Wordfence Security permette anche di esportare e successivamente importare le tue preferenze, nell’eventualità che vadano perse a causa di qualche errore.

wordfence security esporta preferenze

Wordfence Security Premium

Come hai letto nella guida, alcune funzionalità sono disponibili sono per chi sottoscrive un account Wordfence Premium.

Il costo di una API singola per 1 anno è di $39. Questo prezzo va a diminuire se ordini un numero superiore di API o sottoscrivi il servizio per un periodo più lungo.

Wordfence Security è un ottimo plugin. Le numerose funzionalità disponibili ti permettono di tenere sotto controllo il traffico sulle tue pagine, di bloccare eventuali utenti sospetti e anche di migliorare la performance del tuo sito.

Ovviamente, le funzionalità del plugin utilizzano un po’ di risorse del tuo server; per questo, è bene servirsene con regolarità ma senza abusarne.

Anche le opzioni premium sembrano piuttosto interessanti e $39 all’anno è un costo sufficientemente contenuto.

Nel complesso, se vuoi prestare particolare attenzione alla sicurezza del tuo sito WordPress questo è un plugin che ti consiglio senza dubbio di installare.

L’unico problema che ho individuato è che le schermate di configurazione del plugin sono interamente in inglese, anche se hai installato WordPress in italiano. 

Conclusione

Hai mai usato Wordfence Security? E’ stata un’esperienza positiva? Adotti qualche soluzione alternativa per migliorare la sicurezza e/o la performance del tuo sito?

Come sempre, la discussione continua qui sotto: lascia il tuo messaggio o qualunque domanda nella sezione commenti.

Alla prossima guida.

Andrea Di Rocco

Andrea Di Rocco

Ciao! Sono Andrea, il webmaster di SOS WordPress. La mia missione è di aiutarti a diventare autonomo nel creare il tuo sito web, posizionarti sui motori di ricerca e guadagnare online grazie al tuo progetto. Oltre a questo voglio far si che tu spenda il minor quantitativo di soldi e tempo mentre raggiungi i tuoi obiettivi sul web. Conosciamoci nell'area commenti di questo articolo!

[PROMO LIMITATA] 50% SU HOSTING SITEGROUND + ASSISTENZA SOS WP GRATIS

SiteGround - Miglior hosting per Wordpress
17 commenti
  1. dice:

    Ciao Andrea,
    ma Wordfence è veramente indispensabile per la sicurezza?
    Oppure effettuando un’installazione sicura di WordPress, usando credenziali forti ed aggiornando periodicamente CMS, template e plugin, ci si mette già in sicurezza, rendendo Wordfence solo un di più inutile?

    Grazie, un saluto!

    Rispondi
    • dice:

      Ciao Fabio, dipende anche dall’hosting in uso, ecco perché caldeggiamo l’utilizzo dei migliori provider sul mercato.
      Il plugin Wordfence security in ogni caso, ti offre più funzionalità (come lo scan, o il blocco IP) che possono aiutarti a gestire altri aspetti del tuo sito web, sempre legati alla sicurezza. Spero di esserti stato di aiuto, un saluto!

      Rispondi
  2. dice:

    ho appena installa il plugin e adesso non mi fa più accedere al pannello wordpress perchè se ci provo mi dice You have been locked out due to too many invalid login attempts. aiutoooo adesso come faccio a entrare??? probabilmente qualcun altro ha provato a entrare e il plugin ha bloccato ogni accesso, il mio compreso!!! E adesso come entro???

    Rispondi
  3. dice:

    Ciao Andrea stesso problema di Lorenzo facendo lo scan mi esce questo errore;
    This file appears to be installed by a hacker to perform malicious activity. If you know about this file you can choose to ignore it to exclude it from future scans. The text we found in this file that matches a known malicious file is: “$xcedcc1d=”\x62\141\163\145\66\x34\x5f\x64\145\x63\157\144\145”;@eval($xcedcc1d(“.
    Ho provato ad eliminarlo ma non mi funziona più il blog, quindi sono tornato a versione precedente. Il sito è tutto aggiornato non so che fare. Grazie

    Rispondi
      • dice:

        Si adesso posso accedervi, ma se tento di cancellare quel problema mi blocca il sito facendo uscire un errore 500 del server. Per adesso sono ritornato indietro tramite il backup del hosting. Ho lasciato in sospeso gli errori rilevati da wordfence.

        Rispondi
  4. dice:

    Grazie per l’articolo utilissimo. Ho installato Wordfence sul mio sito e dopo lo scan mi ha riportato il seguente errore “File appears to be malicious: wp-content/plugins/wp_sm_optimizepress_privacy/licensing.php”
    This file appears to be installed by a hacker to perform malicious activity. If you know about this file you can choose to ignore it to exclude it from future scans. The text we found in this file that matches a known malicious file is: “$l612bc1f=”\x62\141\x73\x65\66\64\x5f\x64\x65\143\157\x64\x65”;@eval($l612bc1f(“.

    Posso cancellarlo dopo aver fatto il back-up? Nel caso in cui faccio un danno, con il ripristino torna tutto a posto?

    Perché nella scritta per cancellarlo dice Delete this file (can’t be undone). che significa che non si può tornare indietro.

    Spero che tu possa aiutarmi

    Rispondi
    • dice:

      Ciao Lorenzo,
      ti consiglio prima di tutto di ripetere lo scan. Se il risultato è il medesimo, controlla se il plugin Optimizepress è aggiornato. Aggiornalo, se non lo hai fatto ancora.
      Se ancora si ripete il messaggio, dopo ulteriore scan, effettua il backup e poi elimina il file.
      Fammi sapere, un saluto!

      Rispondi
  5. dice:

    Quindi se installassi Wordfence Security potrei disinstallare tranuquillamente wWP Super Chache? Con quale dei due plugins si ottengono maggiori risultati in termini di velocità del sito?

    Rispondi
    • dice:

      Ciao Pietro,
      difficile dare una risposta univoca.. consiglio di usare uno solo dei due, se si verificano dei rallentamenti al sito.
      Sono entrambi due ottimi plugin, da testare singolarmente per verificare le prestazioni e confrontarle fra di loro.
      Grazie del tuo commento!

      Rispondi
  6. dice:

    Ottimo. Lo uso anche io per qualche sito. cosa ne pensate del sucuri scan plugin???
    Integrate questo plugin con il Limit Login Attempt?

    Rispondi

Lascia un Commento

Vuoi partecipare alla discussione?
Fornisci il tuo contributo!

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *