Quando è stata l’ultima volta che hai aggiornato WordPress i PlugIn e ti sei occupato di monitorarne il livello di sicurezza?
Se la tua risposta è “molto tempo fa”, o addirittura “mai” devi sapere che
WordPress è infatti una piattaforma open source – il codice è pubblicamente consultabile da tutti, anche dagli hacker. Allo stesso modo, sono disponibili anche i codici di tutti i plugin. Con queste informazioni, hacker potrebbero essere in grado di attaccare il tuo spazio web.
Vedi anche: http://rdinfo.info/wordpress-e-gli-attacchi-che-iniettano-false-jquery/
Uno strumento molto utile per proteggere il tuo sito è il plugin Wordfence Security.
Wordfence Security è un ottimo plugin. Le numerose funzionalità disponibili ti permettono di tenere sotto controllo il traffico sulle tue pagine, di bloccare eventuali utenti sospetti e anche di migliorare la performance del tuo sito.
Scan
La prima cosa che potrai fare quando installi Wordfence Secutirity è fare uno scan del sito.
Terminato lo scan, tutti i problemi individuati saranno visualizzati a fondo schermo. Qui puoi selezionare varie opzioni .
Nello screenshot sottostante è stata identificata una variazione tra il file wp-includes/version.php installato sul mio sito di prova e il file contenuto nel pacchetto di installazione WordPress standard.
In questo caso, cliccando “See how the files has changed” ho però scoperto che la variazione è dovuta all’installazione di WordPress in italiano.
Quindi, posso tornare indietro e cliccare “Always ignore this file”, in quanto sono stato in grado di riconoscere che il problema non è dovuto ad un attacco hacker ma ad una personalizzazione della mia installazione.
In caso di dubbio, puoi però visualizzare il file e usare le altre opzioni disponibili.
Live traffic
Nella sezione chiamata “Live Traffic” puoi monitorare gli utenti ed i robot che visitano il tuo sito.
In questa pagina ci sono varie tab: utenti live, utenti registrati, registro dei login/logout effettuati (questo potrebbe esserti utile se temi che qualcuno abbia scoperto le tue credenziali di accesso),
Qui puoi anche vedere quali URL generano un errore 404.
Nota: in testa a questa pagina, vedrai un comando ON/OFF per attivare e disattivare la funzionalità Live Traffic. Questa opzione ti sarà utile se temi che la funzionalità usi troppa memoria.
Performance Setup
Oltre a monitorare il livello di sicurezza dei siti WordPress, questo plugin permette anche di migliorarne la performance attraverso la funzionalità di caching.
Nella sezione “Performance Setup” puoi:
- Attivare due tipi di caching: quella base e quella Falcon (in grado di ottimizzare la performance del tuo sito fino a 40-50 volte)
- Configurare la cache in modo che venga svuotata automaticamente quando pubblichi un nuovo post
- Svuotare la cache manualmente
- Escludere specifici URL dalla cache
Blocked IP
Se vuoi bloccare l’accesso e/o la visualizzazione del tuo sito ad un particolare utente, crawler o bot, puoi indicare l’indirizzo IP da bloccare in questa sezione.
Se blocchi la visualizzazione del sito ad un particolare IP, quando l’utente prova ad aprire una tua pagina apparirà un messaggio in cui è indicato che è stato inserito un blocco.
Se vuoi, puoi anche bloccare dalla Bacheca WordPress specifici indirizzi IP, senza però limitare ad essi la visualizzazione del sito.
Cellphone Sign-in (funzionalità a pagamento)
Se sottoscrivi un account premium, avrai accesso alla funzionalità Cellphone Sign-in.
Se non vuoi rischiare che hacker o utenti indesiderati usino le tue credenziali per entrare nella Bacheca WordPress, usare questa funzionalità ti permetterà di aggiungere un’ulteriore protezione al tuo sito.
Per effettuare l’accesso, avrai infatti bisogno – oltre a username e password – di un codice che sarà inviato al tuo numero di cellulare via SMS.
Country Blocking
Oltre a limitare l’accesso a specifici indirizzi IP, con Wordfence Security potrai bloccare il sito ad interi paesi.
Nella sezione Country Blocking puoi semplicemente spuntare i paesi da bloccare, ed anche impostare l’URL di una pagina verso la quale ridirigere gli utenti che provano ad accedere al tuo sito da quelle regioni geografiche.
Scan Schedule (funzionalità a pagamento)
Se sottocrivi un piano premium, puoi programmare scan regolari per monitorare il livello di sicurezza del sito.
Trovi il costo di Wordfence Security nei paragrafi successivi.
Whois Lookup
Vuoi avere maggiori informazioni su un particolare dominio o indirizzo IP? Semplicemente, incollalo in questa sezione e clicca “Lookup IP or domain”.
Le informazioni pubblicamente disponibili appariranno sulla schermata.
Advanced Blocking
Se desideri bloccare un particolare bot, una serie di indirizzi IP o, addirittura, i visitatori che arrivano da un specifico URL, fallo da questa pagina.
Options
Infine, nella sezione chiamata “Options” trovi alcune funzionalità base del plugin su cui lavorare per ottimizzarne l’utilizzo.
Nella prima sezione (Basic options) attiverai e disattiverai le funzionalità del plugin – alcune sono disponibili solo per chi sottoscrive un piano premium.
Nel campo “Where to email alerts” potrai anche inserire l’indirizzo email dove desideri ricevere le notifiche inviate da Wordfence Security.
Tra le opzioni avanzate disponibili vi sono quelle per:
- Configurare frequenza e contenuto delle notifiche
- Impostare la funzionalità Live Traffic in modo che non consideri le visite degli amministratori
- Configurare gli scan del sito
- Impostare alcune funzionalità per limitare il numero e la frequenza di login alla Bacheca
E altre numerose funzionalità.
Trattandosi di un plugin con molte opzioni, la cui configurazione ti richiederà probabilmente del lavoro , Wordfence Security permette anche di esportare e successivamente importare le tue preferenze, nell’eventualità che vadano perse a causa di qualche errore.
Wordfence Security Premium
Come hai letto nella guida, alcune funzionalità sono disponibili sono per chi sottoscrive un account Wordfence Premium.
Fonte: http://sos-wordpress.it/mettere-sito-wordpress-in-sicurezza-wordfence-security/