Oggi ti parliamo di uno strumento importante per la sicurezza del tuo sito web: Wordfence Security.
Anche se poche persone lo fanno con regolarità, assicurarsi che il proprio sito sia sicuro è estremamente importante.
WordPress è infatti una piattaforma open source.
Questo significa che i codici sono pubblicamente consultabili da tutti, anche dagli hacker. Allo stesso modo, sono disponibili anche i codici di tutti i plugin.
Con queste informazioni, un hacker esperto potrebbe essere in grado di identificare eventuali falle ed attaccare il tuo spazio web.
Oggi ti presenterò uno strumento molto utile. Si tratta del plugin Wordfence Security.
E’ un plugin estremamente popolare (più di 2 milioni di download) che, oltre ad avere diverse funzionalità per monitorare lo stato di sicurezza del sito, permette anche di velocizzarlo con l’opzione caching.
Se invece vuoi una soluzione precisa, comprensiva di un’analisi del tuo sito, per determinare eventuali aree a rischio, affidati al nostro servizio messa in sicurezza siti web, cliccando qui.
Come usare Wordfence Security
Installazione e attivazione
Come al solito, la prima cosa da fare è scaricare e attivare il plugin.
Puoi farlo direttamente dalla Bacheca del tuo sito WordPress.
Dopo l’attivazione apparirà un modulo in cui ti viene chiesto di inserire l’indirizzo email utilizzato dall’admin del sito. Aggiungilo in modo da ricevere avvisi di sicurezza relative al tuo sito.
Subito sotto puoi scegliere se ricevere o meno la newsletter di Wordfence Security.
Un’altra funzionalità utile ai nuovi utenti è il tour del plugin che ti mostra come muovere i primi passi.
Si tratta sicuramente di un elemento positivo per far familiarizzare gli utenti con le funzionalità di questo strumento.
Dopo l’attivazione del plugin, verrà aggiunto un menu dedicato alla Bacheca di WordPress.
La Dashboard ti mostra una panoramica delle funzioni attive e delle notifiche su aggiornamenti disponibili per plugin e temi, nonché problemi riscontrati nel corso della scansione più recente.
Scan
La prima cosa che potrai fare quando installi Wordfence Security è fare uno scan del sito.
Terminato lo scan, tutti i problemi individuati saranno visualizzati a fondo schermo. Qui puoi selezionare varie opzioni .
Nello screenshot sottostante è stata identificata una variazione tra il file wp-includes/version.php installato sul mio sito di prova e il file contenuto nel pacchetto di installazione WordPress standard.
In questo caso, cliccando “See how the files has changed” ho però scoperto che la variazione è dovuta all’installazione di WordPress in italiano.
Quindi, posso tornare indietro e cliccare “Always ignore this file” in quanto sono stato in grado di riconoscere che il problema non è dovuto ad un attacco hacker ma ad una personalizzazione della mia installazione.
In caso di dubbio puoi comunque visualizzare il file e usare le altre opzioni disponibili.
Firewall
Il Firewall di Wordfence ti aiuta a proteggere il tuo sito dagli attacchi esterni.
Mentre quello degli utenti premium viene aggiornato in tempo reale, quello del plugin gratuito viene aggiornato dopo 30 giorni.
Appena installi il plugin, si attiva la modalità di apprendimento. Serve a Wordfence per imparare cose sul tuo sito e come proteggerlo.
Gli sviluppatori del plugin consigliano di permettere al firewall di raccogliere dati per una settimana prima di attivarlo.
In questa sezione puoi configurare le regole e gli URL “whitelisted”, ovvero considerati sicuri.
All’interno di questo menu trovi anche una scheda chiamata “Brute force protection”.
Qui puoi impostare delle regole per migliorare la sicurezza del tuo sito, come richiedere agli amministratori e agli editori di utilizzare delle password sicure, decidere dopo quanti tentativi di accesso falliti bloccare gli account e per quanto tempo.
Infine, nella scheda Rate limiting puoi decidere le regole da applicare per i crawler e gli umani, in modo da limitare il numero di richieste inviate al server.
Live traffic
Nella sezione chiamata “Tools” puoi monitorare gli utenti ed i robot che visitano il tuo sito.
In questa pagina ci sono varie opzioni che puoi attivare dal menu a tendina: utenti live, utenti registrati, registro dei login/logout effettuati (questo potrebbe esserti utile se temi che qualcuno abbia scoperto le tue credenziali di accesso), eccetera.
In questa sezione inoltre, potrai anche vedere quali URL generano un errore 404.
Nella sezione Live traffic “options” puoi aggiungere username o indirizzi IP da ignorare nel tracciamento.
Live Traffic ti permette di filtrare le visite in base alla tipologia di utenti, distinguendo i visitatori umani dai crawlers (appartenenti a Google oppure no), a chi ha ricevuto errori relativi a pagine non trovate e altro.
Bloccare un IP
Se vuoi bloccare l’accesso e/o la visualizzazione del tuo sito ad un particolare utente, crawler o bot, puoi indicare l’indirizzo IP da bloccare nella sezione Tools > Live traffic.
Puoi anche utilizzare lo strumento WhoIs Lookup per scoprire a chi appartiene un determinato IP.
Se blocchi la visualizzazione del sito ad un particolare IP, quando l’utente prova ad aprire una tua pagina apparirà un messaggio in cui è indicato che è stato inserito un blocco.
Se vuoi, puoi anche bloccare dalla Bacheca WordPress specifici indirizzi IP, senza però limitare ad essi la visualizzazione del sito. Da questa sezione puoi controllare la lista degli IP con l’accesso o il login bloccati.
Nella scheda “IPs throttled for accessing the site too frequently” troverai gli IP che hanno effettuato troppo velocemente l’accesso al sito, infrangendo le regole di Wordfence.
Le regole possono essere definite nella sezione “Firewall” e servono a limitare il numero di richieste ricevute ogni minuto dal tuo sito. Se alcuni visitatori (umani e crawler) dovessero infrangere le regole, un messaggio li avviserà che l’accesso è stato revocato per qualche minuto, invitandoli a riprovare più tardi.
Cellphone Sign-in (funzionalità a pagamento)
Se sottoscrivi un account premium, avrai accesso alla funzionalità Cellphone Sign-in.
Se non vuoi rischiare che hacker o utenti indesiderati usino le tue credenziali per entrare nella Bacheca WordPress, usare questa funzionalità ti permetterà di aggiungere un’ulteriore protezione al tuo sito.
Per effettuare l’accesso, avrai infatti bisogno – oltre a username e password – di un codice che sarà inviato al tuo numero di cellulare via SMS.
Country Blocking
Oltre a limitare l’accesso a specifici indirizzi IP, con Wordfence Security potrai bloccare il sito ad interi paesi.
Nella sezione Country Blocking puoi semplicemente spuntare i paesi da bloccare, ed anche impostare l’URL di una pagina verso la quale ridirigere gli utenti che provano ad accedere al tuo sito da quelle regioni geografiche.
Questa opzione è disponibile solo per gli utenti premium.
Advanced Blocking
Se desideri bloccare un particolare bot, una serie di indirizzi IP o, addirittura, i visitatori che arrivano da un specifico URL, fallo da questa pagina.
Puoi dover ricorrere a questa misura ad esempio perché il tuo sito sta subendo un attacco o ricevendo spam da un particolare set di indirizzi IP.
Quando utilizzi questa funzione, puoi inserire una ragione per le tue azioni, in modo da poterle analizzare e rivedere in un secondo momento.
Whois Lookup
Prima di bloccare una serie di IP, è consigliabile effettuare una ricerca per ottenere maggiori informazioni.
Vuoi avere maggiori informazioni su un particolare dominio o indirizzo IP?
Semplicemente copia quell’IP, clicca su Tools e poi incollalo in questa sezione e clicca “Lookup IP or domain”.
Le informazioni pubblicamente disponibili appariranno sulla schermata.
Scan Schedule (funzionalità a pagamento)
Se sottoscrivi un piano premium, puoi programmare scan regolari per monitorare il livello di sicurezza del sito.
Trovi il costo di Wordfence Security nei paragrafi successivi.
Gli altri strumenti disponibili
Oltre alla ricerca per IP, la sezione Tools contiene altri 3 strumenti molto utili.
Il primo è il Password Audit, che ti aiuta a stabilire quanto siano sicure le password utilizzate da te e dagli altri amministratori.
Puoi scegliere di controllare quelle degli account admin usando un dizionario di 260 milioni di password, quelle dei vari utenti confrontandole con 50.000, oppure condurre un audit di tutti gli account WordPress.
Questo ti permette di inviare un’email ai vari utenti, invitandoli a cambiare password se ne hanno una debole.
Si tratta di una funzionalità premium, utile soprattutto a chi ha siti che contengono account con dati sensibili.
La prossima opzione di cui voglio parlarti si chiama Cellphone Sign-in.
Ti permette di attivare l’autenticazione a due fattori per gli account admin, aumentandone il livello di sicurezza.
L’ultimo tool disponibile è Diagnostics.
Come dice il nome, si tratta di uno strumento diagnostico, che controlla cose come file di sistema, database MySQL, connettività, plugin, temi e tabelle del database.
Options
Infine, nella sezione chiamata “Options” trovi alcune funzionalità base del plugin su cui lavorare per ottimizzarne l’utilizzo.
Nella prima sezione (Basic options) attiverai e disattiverai le funzionalità del plugin – alcune sono disponibili solo per chi sottoscrive un piano premium.
Nel campo “Where to email alerts” potrai anche inserire l’indirizzo email dove desideri ricevere le notifiche inviate da Wordfence Security.
Tra le opzioni avanzate disponibili vi sono quelle per:
- Configurare frequenza e contenuto delle notifiche;
- Impostare la funzionalità Live Traffic in modo che non consideri le visite degli amministratori;
- Configurare gli scan del sito;
- Impostare alcune funzionalità per limitare il numero e la frequenza di login alla Bacheca;
- Regole di accesso per il firewall
E altre numerose funzionalità.
Trattandosi di un plugin con molte opzioni, la cui configurazione ti richiederà probabilmente fino a qualche ora di lavoro, Wordfence Security permette anche di esportare e successivamente importare le tue preferenze, nell’eventualità che vadano perse a causa di qualche errore.
Wordfence Security Premium
Come hai letto nella guida, alcune funzionalità sono disponibili sono solo per chi sottoscrive un account Wordfence Premium.
Il costo di una API singola per 1 anno è di $99.
Questo prezzo va a diminuire se ordini un numero superiore di API o sottoscrivi il servizio per un periodo più lungo.
Wordfence Security è un ottimo plugin.
Le numerose funzionalità disponibili ti permettono di tenere sotto controllo il traffico sulle tue pagine, di bloccare eventuali utenti sospetti e anche di migliorare la performance del tuo sito.
Ovviamente, le funzionalità del plugin utilizzano un po’ di risorse del tuo server.
Per questo è bene servirsene con regolarità ma senza abusarne.
Anche le opzioni premium sembrano piuttosto interessanti, specie l’aggiornamento in tempo reale del firewall.
Nel complesso, se vuoi prestare particolare attenzione alla sicurezza del tuo sito WordPress questo è un plugin che ti consiglio senza dubbio di installare.
L’unico problema che ho individuato è che le schermate di configurazione del plugin sono interamente in inglese, anche se hai installato WordPress in italiano.
Conclusione
Come sempre, la discussione continua qui sotto.
Hai mai usato Wordfence Security?
È stata un’esperienza positiva?
Adotti qualche soluzione alternativa per migliorare la sicurezza e/o la performance del tuo sito?
Lascia il tuo messaggio o qualunque domanda nella sezione commenti.
Alla prossima guida.
12 risposte
Ciao, la mia domanda sarà banale, ma vorrei capire se, acquistando una delle licenze,posso installarla solo su un sito o su diversi siti.
Grazie
Ciao Lara, la licenza di Wordfence Premium è valida per un solo sito web. E’ però possibile spostarla da un sito ad un altro dalla tua area utente di Wordfence.com: fai il reset della licenza e a quel punto puoi utilizzarla su un altro sito web. Restiamo a diposizione se hai altre domande, un saluto!
Ciao Andrea, grazie per questi fantastici articoli, davvero utilissimi!
Nell”ultimo sito web su cui ho installato wordfence sono sparite varie immagini in giro per il sito.
Disattivandolo appaiono tutte nuovamente, e continuando a riattivare-disattivare ho notato che ne spariscono randomicamente sempre di diverse, non sono sempre le stesse. Non riesco a capire da cosa possa essere causato questo problema, ne vedo una logica dietro a queste sparizioni.
Per caso ti è mai capitato?
Ciao Alessandro, hai provato a impostare il Learning Mode su Wordfence? Vai su Basic Firewall Options > Web Application Firewall Status. Quindi imposta l’opzione Learning Mode. Facci sapere, un saluto!
L’ho tenuto attivato per qualche giorno, dopo di che ho cambiato l’impostazione. Mi consigli di tenere attivo il learning mode più a lungo?
Si, prova a tenerlo attivo più a lungo.
Ciao Andrea,
ho tenuto attivo il learning mode per alcuni giorni prima di switchare e riscontrare il problema descritto.
Ora ho provato a riattivare il plugin ed attivare immediatamente anche il learning mode, ma sono scomparse nuovamente immagini random in giro per il sito.
Pensi che possa aver senso caricare file media random con il learning mode attivo per “istruire” il plugin, e che in tal modo i file media che scompaiono appena lo attivo torneranno visibili autonomamente, o mi suggerisci qualche altra azione?
Ciao Alessandro per capire meglio il problema e risolverlo, ti consiglio di contattare la nostra assistenza, scrivendo ad assistenza@sos-wp.it.
Rimaniamo a disposizione, un saluto!
buongiorno, ho acquistato wordfence premium, ma non riesco ad installarlo. Ho la licenza, le chiavi, ma non riesco a capire come fare l’upgrade dell’esistente e obsoleto wordfence free. Mi potete spiegare i passaggi? grazie
Ciao Annalisa, hai seguito la guida di Wordfence per attivare la tua licenza Premium?
salve, a differenza di altri ho un problema con questo plugin, in pratica non mi permette di loggarmi all’interno del mio wp admin login, mi fa uscire la password errata e nel recupero password mi risponde una mail di wordefence dicendomi di acquistare la modalità premium
Ciao Francesco, per risolvere questo problema dovremmo entrare sul tuo server. Contatta il nostro reparto tecnico attraverso la nostra Assistenza WordPress. Rimaniamo a disposizione, un saluto!