Tempo fa cercavo una soluzione economica, sicura e relativamente veloce per rendere più sicuri i siti che amministravo con WordPress.
Googolando e provando diverse soluzioni, alla fine mi sono imbattuto in quello che penso sia la soluzione ottimale per avere buoni risultati di sicurezza sul vostro sito WordPress.
Il miglior Plugin per la sicurezza del tuo sito WordPress è “All In One WordPress Security and Firewall Plugin”
Si installa come un normale plugin di WordPress, potete cercarlo all’interno del vostro sito oppure scaricarlo dal sito ufficiale da qui -> All In One WordPress Security and Firewall Plugin
Configuriamo il Plugin per la sicurezza del tuo sito WordPress
Una volta installato ed attivato il plugin troverai nel menù di sinistra una voce “Sicurezza WP”.
Ti troverai davanti ad un indicatore sul livello di sicurezza secondo il plugin. Se non hai mai provveduto a prendere accorgimenti sulla sicurezza del tuo sito wordpress, o se è un’istallazione nuova, potresti avere uno scoraggiante punteggio tipo questo.
Voglio sottolineare che questo è pur sempre un plugin, con i suoi difetti e le sue limitazioni e che tutti gli accorgimenti che venogno presi da questo plugin per la sicurezza possono essere presi anche in altri modi.
Procediamo ora voce per voce e cerchiamo di capire cosa fa questo plugin per la sicurezza e perché.
Account Utente
Nel 90% dei casi l’utente predefinito con i massimi poteri di gestione e amministrazione del sito ha come nome utente “admin”, questo è risaputo anche da chi per qualche ragione vuole entrare nel nostro sito senza alcun permesso.
Meglio usare un nome utente diverso sia da admin che dal nome del sito stesso.
NB: Se siete autenticati con admin dovrete rifare il login prima di continuare
Potete anche verificare quanto difficile sia per un attacco “Brute Force” trovare la vostra password andando nella tab “Password”
Login Utente
All’interno di questa voce, troverete diverse impostazioni per evitare che qualcuno cerchi di fare tanti tentativi al fine di provare le diverse combinazioni tra Nome utente e Password.
Le opzioni che vi consiglio sono quelle di spuntare le prime 2 caselle e l’ultima con un indirizzo email valido che controllate spesso per ricevere notifiche nel caso qualcuno sita tentando di entrare in modo non autorizzato al vostro sito. Nella seconda tab, potrete controllare successivamente tutti i tentativi di login falliti.
Nella terza tab “Forza Logout Utente” potete impostare un limite massimo di tempo entro il quale l’utente rimarrà loggato. Superato questo tempo sarà necessario effettuare nuovamente il login. Il tempo consigliato di 60 minuti è più che ottimale.
Nelle due tab successive potrete controllare rispettivamente, lo storico degli utenti loggati e chi è attualmente loggato sul vostro sito wordpress.
Registrazione Utente
La prima impostazione, se flaggate la casella vi permetterà di rendere attiva e valida la registrazione di un utente solo dopo una vostra approvazione manuale. Nella seconda tab invece vi permette di inserire un semplice Captcha per evitare registrazioni spam al vostro sito WordPress.
Sicurezza Database
Quello che il Plugin per la sicurezza fa, è cambiare il prefisso che le tabelle del vostro sito hanno sul Database dove è installato wordpress. Di default le tabelle hanno come prefisso “wp_” questo le rende vulnerabili a script maligni.
Potete decidere se impostare voi la combinazione di massimo 6 lettere per le vostre tabelle, o generarla casualmente. Io preferisco decidere la sequenza in modo da poter facilmente riconoscere le tabelle di un sito rispetto ad un altro dentro il Database.
Benché tutte le volte che ho cambiato prefisso tramite questo plugin non è successo niente, il mio consiglio è sempre quello di fare un backup del database.
Sicurezza File Sistema
Qui il mio consiglio è di impostare quelli suggeriti dal plugin, è bene ricordare che ogni tanto alcuni provider hanno problemi con le configurazione di questo plugin. Nel caso in cui ci fossero dei problemi, utilizzate dei permessi meno restrittivi.
Firewall
Le impostazioni del firewall vanno a modificare direttamente il file .htaccess del vostro sito web.
Generalmente attivo tutte le funzioni di questa sezione, solo in rari casi ho notato alcune incompatibilità, in particolare con le impostazioni prevenzioni hotlinks, che mi facevano scomparire le immagini dal sito. Basterà non abilitare le opzioni che riguardano hotlinks.
Brute Force
Rinominare la pagina di login è un ottimo espediente per eliminare attacchi di tipo “Brute Force”. Tramite questa opzione la vostra pagina di login non sarà più www.tuosito.it/wp-admin ma www.tuosito.it/nuovo-admin
Se attivate la funzione per rinominare l’accesso al vostro pannello non è necessario utilizzare l’opzione della prevenzione basato sui cookie.
Potete invece attivare i Captcha al login.
Prevenzione SPAM
Se utilizzate i commenti nativi di WordPress, oltre a consigliarvi di attivare il plugin Akismet, vi consiglio di attivare anche tutte le impostazioni di questa sezione.
Conclusioni
Se avrete fatto tutto bene, adesso il vostro sito wordpress sarà molto più sicuro. Ci sono molte altre impostazioni interessanti per monitorare eventuali cambiamenti nei file di wordpress.
Non vi preoccupate se non raggiungete il massimo del punteggio, alcune impostazioni si escludono da sole ed altre non si adattano a qualsiasi sito.
Adesso il mio punteggio è questo