Come+usare+Wordfence+Security+per+proteggere+il+tuo+sito+web
soswpit
/tutorial/mettere-sito-wordpress-in-sicurezza-wordfence-security/amp/
Tutorial

Come usare Wordfence Security per proteggere il tuo sito web

Published by
Andrea Di Rocco

Oggi ti parliamo di uno strumento importante per la sicurezza del tuo sito web: Wordfence Security.

Anche se poche persone lo fanno con regolarità, assicurarsi che il proprio sito sia sicuro è estremamente importante.

WordPress è infatti una piattaforma open source.

Questo significa che i codici sono pubblicamente consultabili da tutti, anche dagli hacker. Allo stesso modo, sono disponibili anche i codici di tutti i plugin.

Con queste informazioni, un hacker esperto potrebbe essere in grado di identificare eventuali falle ed attaccare il tuo spazio web.

Oggi ti presenterò uno strumento molto utile. Si tratta del plugin Wordfence Security.

È un plugin estremamente popolare (più di 4 milioni di download) che, oltre ad avere diverse funzionalità per monitorare lo stato di sicurezza del sito, permette anche di velocizzarlo con l’opzione caching.

Se invece vuoi una soluzione precisa, comprensiva di un’analisi del tuo sito, per determinare eventuali aree a rischio, affidati al nostro servizio messa in sicurezza siti web, cliccando qui.

Come usare Wordfence Security

Installazione e attivazione

Come al solito, la prima cosa da fare è scaricare e attivare il plugin.

Puoi farlo direttamente dalla Bacheca del tuo sito WordPress.

Dopo l’attivazione apparirà un modulo in cui ti viene chiesto di attivare una licenza. Clicca su Get your Wordfence Licence.

Puoi iniziare con una licenza gratuita per poi passare a un piano Premium. Inserisci l’indirizzo email utilizzato dall’admin del sito, quindi scegli se ricevere o meno la newsletter di Wordfence Security e accetta i termini del servizio.

Riceverai via email le istruzioni per l’attivazione della licenza. Puoi semplicemente cliccare sul link presente nella mail e completare l’attivazione automaticamente.

Verrai reindirizzato sulla tua Bacheca, dove dovrai salvare cliccando Install Licence.

Primi passi con Wordfence

Una funzionalità molto utile per i nuovi utenti è il tour del plugin che ti mostra come muovere i primi passi. Leggi gli avvisi e clicca su Next per iniziare a prendere confidenza con tutte le opzioni a tua disposizione.

Si tratta sicuramente di un elemento positivo per far familiarizzare gli utenti con le funzionalità di questo strumento.

Dopo l’attivazione del plugin, verrà aggiunto un menu dedicato alla Bacheca di WordPress.

La Dashboard ti mostra una panoramica delle funzioni attive e delle notifiche su aggiornamenti disponibili per plugin e temi, nonché problemi riscontrati nel corso della scansione più recente.

Scan

La prima cosa che potrai fare quando installi Wordfence Security è fare uno scan del sito.

Vai nel menu della Bacheca alla voce Wordfence > Scan e clicca su Start new scan.

Terminato lo scan, tutti i problemi individuati saranno visualizzati a fondo schermo. Qui puoi selezionare varie opzioni.

Cliccando su ogni voce, vengono mostrati tutti i dettagli del problema. Dopo aver risolto, puoi cliccare sul pulsante Mark as fixed.

Se invece ti rendi conto che non si tratta di un problema grave e consapevolmente ritieni che non sia necessario intervenire, puoi cliccare su Ignore per nascondere l’avviso.

Ad esempio, tempo fa ricevetti un avviso di un file del core di WordPress modificato. Analizzando il problema, ho però scoperto che la variazione era dovuta all’installazione di WordPress in italiano. Tutto a posto, quindi!

In caso di dubbio, puoi comunque contattarci e chiederci il nostro parere, nel caso tu non riesca a comprendere se si tratta di un rischio oppure no.

Firewall

Il Firewall di Wordfence ti aiuta a proteggere il tuo sito dagli attacchi esterni.

Mentre quello degli utenti premium viene aggiornato in tempo reale, quello del plugin gratuito viene aggiornato dopo 30 giorni.

Appena installi il plugin, si attiva la modalità di apprendimento. Serve a Wordfence per imparare come è configurato il tuo sito e quindi decidere come proteggerlo al meglio.

Gli sviluppatori del plugin consigliano di permettere al firewall di raccogliere dati per una settimana prima di attivarlo.

In questa sezione puoi configurare le regole e gli URL “whitelisted”, ovvero considerati sicuri.

All’interno di questo menu trovi anche una scheda chiamata Brute force protection.

Qui puoi impostare delle regole per migliorare la sicurezza del tuo sito, come richiedere agli amministratori e agli editori di utilizzare delle password sicure, decidere dopo quanti tentativi di accesso falliti bloccare gli account e per quanto tempo.

Infine, nella sezione Rate limiting puoi decidere le regole da applicare per i crawler e gli umani, in modo da limitare il numero di richieste inviate al server.

Live traffic

Nella voce di menu Wordfence > Tools puoi monitorare gli utenti ed i robot che visitano il tuo sito.

In questa pagina ci sono varie opzioni che puoi attivare dal menu a tendina: utenti live, utenti registrati, registro dei login/logout effettuati (questo potrebbe esserti utile se temi che qualcuno abbia scoperto le tue credenziali di accesso), eccetera.

In questa sezione inoltre, potrai anche vedere quali URL generano un errore 404.

Nella sezione Live traffic options puoi aggiungere username, indirizzi IP e user-agent da ignorare nel tracciamento.

Live Traffic ti permette di filtrare le visite in base alla tipologia di utenti, distinguendo i visitatori umani dai crawlers (appartenenti a Google oppure no), a chi ha ricevuto errori relativi a pagine non trovate e altro.

Bloccare un IP

Se vuoi bloccare l’accesso e/o la visualizzazione del tuo sito ad un particolare utente, crawler o bot, puoi indicare l’indirizzo IP da bloccare nella sezione Tools > Live traffic.

Puoi anche utilizzare lo strumento WhoIs Lookup integrato direttamente nel plugin per scoprire a chi appartiene un determinato IP.

Se blocchi la visualizzazione del sito ad un particolare IP, quando l’utente prova ad aprire una tua pagina apparirà un messaggio in cui è indicato che è stato inserito un blocco.

Se vuoi, puoi anche bloccare dalla Bacheca WordPress specifici indirizzi IP, senza però limitare ad essi la visualizzazione del sito. Da questa sezione puoi controllare la lista degli IP con l’accesso o il login bloccati.

Autenticazione a due fattori

Una funzionalità molto utile è l’autenticazione a due fattori di Wordfence.

Se non vuoi rischiare che hacker o utenti indesiderati usino le tue credenziali per entrare nella Bacheca WordPress, usare questa funzionalità ti permetterà di aggiungere un’ulteriore protezione al tuo sito.

Puoi configurarla nella sezione Wordfence > Login security. Inquadra il QR code con il tuo cellulare per collegare il tuo account WordPress a un servizio di autenticazione come Google Authenticator.

Da questo momento, per effettuare l’accesso alla Bacheca – oltre a username e password – dovrai inserire il codice che ti arriverà sul tuo cellulare.

Country Blocking

Oltre a limitare l’accesso a specifici indirizzi IP, con Wordfence Security potrai bloccare il sito ad interi paesi.

Nella sezione Country Blocking puoi semplicemente spuntare i paesi da bloccare, ed anche impostare l’URL di una pagina verso la quale ridirigere gli utenti che provano ad accedere al tuo sito da quelle regioni geografiche.

Questa opzione è disponibile solo per gli utenti premium.

Scan Scheduling (funzionalità a pagamento)

Se sottoscrivi un piano premium, puoi programmare scan regolari per monitorare il livello di sicurezza del sito.

Trovi il costo di Wordfence Security nei paragrafi successivi.

All Options

Trattandosi di un plugin con molte opzioni, potresti fare fatica a orientarti nelle varie sezioni e trovare ciò che cerchi. La sezione Wordfence > All options però le include tutte.

Ti consiglio di espandere tutte le voci e scorrerle. Troverai sicuramente qualche funzione interessante, oltre a quelle di cui ti ho già parlato.

La configurazione di tutto il plugin può essere quindi un po’ impegnativa. Se gestisci più siti web, non c’è bisogno di ricominciare ogni volta tutto daccapo: Wordfence Security permette di esportare e importare le tue preferenze.

Vai su Wordfence > Tools > Import/Export Options. Cliccando Export Wordfence Options ti comparirà un codice alfanumerico che dovrai semplicemente incollare sul sito in cui importare le opzioni, all’interno del campo Import della stessa schermata.

Wordfence Security Premium

Come hai letto nella guida, alcune funzionalità sono disponibili sono solo per chi sottoscrive un account Wordfence Premium.

Ecco brevemente le caratteristiche dei vari piani disponibili:

  1. Wordfence Free: Strumenti di base per la sicurezza del sito con un ritardo di 30 giorni sull’aggiornamento del firewall e firme malware;
  2. Wordfence Premium- $119/anno: Aggiornamento del firewall in tempo reale, firme malware, blocco di paesi e oltre 40.000 IP dannosi. Include il supporto premium;
  3. Wordfence Care – $490/anno: Installazione, configurazione e monitoraggio completo da parte di Wordfence, risposta illimitata agli incidenti e supporto diretto;
  4. Wordfence Response – $950/anno: Per siti web dalla cui sicurezza dipendono questioni finanziarie. Risposta agli incidenti 24/7 con un tempo di risposta di un’ora e risoluzione entro 24 ore.

Wordfence Security è davvero un ottimo plugin.

Le numerose funzionalità disponibili ti permettono di tenere sotto controllo il traffico sulle tue pagine, di bloccare eventuali utenti sospetti e anche di migliorare la performance del tuo sito.

Ovviamente, le funzionalità del plugin utilizzano un po’ di risorse del tuo server.

Per questo è bene servirsene con regolarità ma senza abusarne.

Anche le opzioni premium sembrano piuttosto interessanti, specie l’aggiornamento in tempo reale del firewall.

Nel complesso, se vuoi prestare particolare attenzione alla sicurezza del tuo sito WordPress questo è un plugin che ti consiglio senza dubbio di installare.

L’unico problema che ho individuato è che le schermate di configurazione del plugin sono interamente in inglese. Lancio un appello a tutti i traduttori che mi stanno leggendo: traduciamo Wordfence in italiano!

Conclusione

Come sempre, la discussione continua qui sotto.

Hai mai usato Wordfence Security?

È stata un’esperienza positiva?

Adotti qualche soluzione alternativa per migliorare la sicurezza e/o la performance del tuo sito?

Lascia il tuo messaggio o qualunque domanda nella sezione commenti.

Alla prossima guida.

Andrea Di Rocco

Dal 2012 ad oggi, guido il Team di SOS WP. Mi occupo di insegnare come creare qualsiasi sito web in WordPress e insieme al mio team di esperti forniamo assistenza siti web a 360°.

Recent Posts

Pop3 e IMAP: come configurare la posta elettronica col tuo dominio

La posta elettronica è uno strumento ormai imprescindibile in qualunque strategia di marketing ma configurare…

11 ore ago

Perché siti peggiori del mio si posizionano meglio? Ecco la spiegazione

Su internet si trova di tutto e tu stai cercando idee per i tuoi contenuti.…

1 giorno ago

5 tecniche per ottenere backlink gratis e di qualità

Qualunque sito viene pubblicato non vive nel vuoto pneumatico del suo server. La rete è…

5 giorni ago

Servizi per accorciare link: quali utilizzare

I servizi per accorciare link sono molto diffusi. Tanti siti web fanno affidamento su plugin…

1 settimana ago

Migliorare o realizzare un sito web: i consigli e le idee utili per ottenere visibilità e credibilità

Come costruire credibilità, incrementare la visibilità e far crescere i profitti attraverso un sito web.…

1 settimana ago

Come aggiornare la versione di PHP del tuo sito WordPress – Guida

Hai un errore nella tua Bacheca WordPress relativo alla versione PHP? Non ti preoccupare, lo…

2 settimane ago