Sicurezza WordPress: Plugin e Configurazioni per rendere sicuro un Blog WordPress

Con il passare degli anni il mondo dell’informatica ha conosciuto molti cambiamenti, i quali sono diventati ancor più evidenti in seguito all’avvento di internet. Tantissime sono le novità che sono state introdotte nel mondo del web ed anche il modo di creare siti internet, raggiungibili da un pubblico sempre maggiore, è cambiato totalmente dal lontano 1990.
In quest’anno infatti nacquero il protocollo HTTP e l’HTML, linguaggio di markup alla base della creazione dei siti web.  Ci si è spostati da un modello ad un altro fino a quello ad oggetti con i web components.

Ma per chi è un pò meno pratico in queste cose, sono nate numerose piattaforme CMS (content management system), in grado di supportare gli utenti meno esperti nella creazione di siti web, grazie soprattutto all’inovativa interfaccia grafica che permette di posizionare elementi nella pagina internet senza conoscere, in modo dettagliato, i linguaggi come JavaScript, CSS, PHP o altri utili alla progettazione di un sito web.
Uno dei migliori CMS in circolazione, sia per la facilità di utilizzo che per la praticità, è sicuramente WordPress. 

Questo offre, oltre che alla possibilità di customizzare il codice per i più esperti, temi già preimpostati per chi ha delle conoscenze di base o pressoché nulle nello sviluppo dei siti web. Inoltre vi sono numerosi plugin che possono essere scaricati direttamente dal menù laterale a sinistra, i quali daranno la possibilità di aggiungere feature al vostro sito come:
slider di immagini, page builder per facilitare la creazione dell’architettura del vostro sito, animazioni aggiuntive, funzioni utili per migliorare il SEO del vostro sito e plugin per la sicurezza. Ovviamente esistono anche tantissime altre tipologie di plugin che possono rendere più rapida la creazione dei vostri siti web, ma una cosa che non può essere sottovalutata nel mondo di internet, è sicuramente quello della sicurezza. Per questo vale la pena soffermarsi sull’ultima categoria di plugin, dal momento che si stima che sono in netto aumento i tentativi di attacchi verso siti web professionali e non. 

I blog o le pagine web create con WordPress, nonostante il livello di protezione di quest’ultimo sia molto alto, non sono esenti da questo pericolo e perciò potrebbe esserti utile una guida su quali siano i plugin migliori che il noto CSM mette a disposizione per te. 

PLUGIN, QUALI SCEGLIERE E QUALI SONO LE LORO FUNZIONI 

Come già detto, cliccando sulla voce “plugin”, dal menù laterale sinistro di WordPress, puoi iniziare a scaricare queste funzionalità extra per la sicurezza, ma ancor prima di scaricarne qualcun o che controlli effettivamente le falle della tua pagina o il traffico ed i tentativi di hackeraggio del tuo sito, è assai importante ridurre al minimo anche la possibilità di attacchi del tipo “Brute Force”, che possono essere effettuati dalla pagina di login di WordPress. Infatti la prima cosa da fare è cambiare la classica pagina di login del pannello di controllo WordPress, che di default è “http://www.nomesito.com/wp-admin.php” oppure “http://www.nomesito.com/wp-login.php” e sostituirla con un’altra a piacimento.  In questo ci viene in contro il plugin WPS Hide Login. 

WPS HIDE LOGIN

Come già ti ho detto, WPS Hide Login è il migliore in circolazione per il cambio della pagina di login e per la prevenzione agli attacchi Brute Force. 
Il plugin è gratuito ma nonostante ciò ha il 95% di recensioni a 5 stelle.
Una volta scaricato il plugin troverete, in “impostazioni” ,la voce “WPS Hide Login” e cliccando sopra troverai una sezione dedicata al cambio della pagina di login. 

Ricorda innanzitutto di scegliere un indirizzo per te facilmente memorizzabile e che, prima della parte d’indirizzo modificata, va sempre il punto interrogativo (www.nomesito.com/?partePersonalizzata) Dopo che hai realizzato questo primo “ostacolo” per i malintenzionati del web, possiamo procedere con blocchi molto più sofisticati in grado di controllare il traffico del tuo blog o del tuo sito internet. Un plugin, che svolge compiti molto più complessi, è sicuramente WordFence. 

WORDFENCE

Wordfence è attualmente uno dei plugin per la sicurezza WordPress più utilizzati al mondo che vanta circa 3 milioni di installazioni ancora attive e un gran numero di recensioni positive.  Il motivo di tutto ciò è abbastanza semplice, infatti Wordfence ti offre numerose funzionalità quali:
Scansione dei malware e della black list Copertura e difesa da attacchi di tipo Brute Force, autenticazione a due fattori, blocco del sito nei paesi che sono maggiormente coinvolti in attività dannose a livello informatico e riparazione di file compromessi da hack

Inoltre, questo plugin ti terrà costantemente aggiornato sui punti deboli della difesa del tuo sito/blog, su chi vi sta accedendo in modo illecito, e su chi sta cercando di effettuare un hack sui file. Tutto questo grazie all’endpoint firewall.  Wordfence è disponibile sia in versione a pagamento, dove potrete estendere la protezione a più domini ed avere un maggiore controllo in tempo reale degli attacchi al vostro sito, sia free, per chi vuole accendere su un solo sito alle funzioni di base del plugin. 

Se Wordfence è troppo complesso per te non preoccuparti, ho un’altra soluzione ugualmente efficace. Infatti, esiste un altro plugin molto utilizzato dagli utenti, soprattutto per quelli che hanno conoscenze informatiche di base, che rende ugualmente il vostro sito/blog sicuro dai pirati informatici. Questo è All in One WP Security & Firewall. 

ALL IN ONE WP SECURITY & FIREWALL

All in one WP Security & Firewall è uno dei plugin di sicurezza più user-friendly presenti su WordPress, infatti grazie all’interfaccia grafica semplice e pratica, è ottima per chi è alle prime armi nel mondo WordPress. Progettato da sviluppatori esperti, questo plugin offre numerose funzionalità per la protezione del tuo sito/blog come:

User Account Security: Il plugin controlla se gli utenti assegnano al loro nome da visualizzare nel blog il loro username (questa è una pratica sbagliata da molti utenti che rischiano così di aumentare del 50% la facilità di un attacco Brute Force, dal momento che, conosciuto l’username, i pirati del web dovranno indovinare solo la password dell’utente) 
User Login Security: Se un utente tenta di effettuare più volte un accesso illecito questo verrà bloccato per un tempo limitato, oppure se recidivo, la pagina di login potrà essere oscurata finché non verrà rimosso manualmente dalla blacklist, visualizzabile direttamente dal menù del plugin. 

File System Security: Oltre alla sicurezza degli utenti, questo plugin ti darà anche la possibilità, come Wordfence, di proteggere i file sensibili e di configurazione, impedendo così modifiche non autorizzate. 
Prevenzione Spam: I commenti indesiderati di bot (account automatizzati) non saranno più un problema dato che All in One WP Security & Firewall effettua un controllo continuo su tutti i messaggi di commento lasciati sul tuo blog.

Inoltre, sempre per quanto concerne la sicurezza di accesso degli utenti, All in one WP Security & Firewall ti darà la possibilità di forzare il logout di tutti gli utenti dopo un certo periodo di tempo che tu stesso potrai configurare. In aggiunta verranno automaticamente apportate anche correzioni al file .htaccess, fondamentale per il raggiungimento del sito, solo se questo sarà compromesso o presenterà qualche errore

Esistono anche altre funzioni di All in One WP Security & Firewall che potrete approfondire andando nella pagina dedicata di WordPress. Da questa pagina inoltre sarà possibile visionare un video nel quale ti verrà spiegato l’utilizzo di questo potentissimo plugin. 

CONSIGLI UTILI 

Va’ precisato che, nonostante una copertura quasi totale da attacchi malevoli, questi plugin, come tutti gli altri sistemi di sicurezza adoperati nel campo informatico, non vi danno una copertura del 100%. Per questo motivo, dal momento che nascono nuove tecniche di hackeraggio ogni giorno, si consiglia di aggiornare di continuo questi plugin. 

Questo vi consentirà di mantenere un livello di sicurezza molto alto, evitando sorprese indesiderate. Altro consiglio, è quello di usare il protocollo HTTPS per il tuo sito/blog, che consente, a differenza dell’ormai obsoleto HTTP, di criptare le informazioni scambiate tra client e server. La possibilità di utilizzare il protocollo HTTPS viene data gratuitamente da quasi tutti i fornitori di servizi di web hosting.

Leave a Reply

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.