Sucuri: Un plugin di sicurezza che dovresti installare urgentemente?
Pubblicato: 2022-12-07Una bocca spalancata. Zanne affilate pronte a fratturare un povero animaletto. Un corpo senza fine che deve essere lungo quasi 30 piedi.
Digita "sucuri" su Google e ti ritroverai faccia a faccia con le immagini di alcuni serpenti piuttosto terrificanti . Ma perché, in effetti? Bene, semplicemente perché la parola che hai digitato nel motore di ricerca è la traduzione portoghese di anaconda.
Dovresti capire che all'inizio stavo solo cercando maggiori informazioni su Sucuri, un plugin di sicurezza per WordPress .
Fortunatamente, non c'è niente di veramente brutto in questo. E non ti mangerà dopo averlo attivato. Uff, puoi fare un respiro profondo!
Invece, questo plug-in è progettato per aiutarti a sradicare altri predatori: cattivi hacker e altri file e malware che possono infettare il tuo sito.
Alla fine di questo articolo, saprai come funziona Sucuri (il plugin, non il serpente) e, soprattutto, come configurarlo passo dopo passo. Pronti per una passeggiata sicura? Sssss, segui la guida.
Panoramica
- Cos'è Sucuri?
- Perché è importante proteggere il tuo sito WordPress?
- Come installare Sucuri
- Come configurare e utilizzare Sucuri Security
- Quanto costa Sucuri Security?
- La nostra opinione finale sul plugin di sicurezza Sucuri
Cos'è Sucuri?
Sucuri Security è un plug-in di sicurezza di WordPress che offre una suite di strumenti per aiutarti a proteggere il tuo sito Web: controllo dei file core di WordPress (PHP, CSS, JavaScript), analisi di malware e programmi, applicazione della sicurezza, avvisi e-mail, azioni di sicurezza post-hacking, eccetera.
Fondata nel 2012 da Daniel Cid, Sucuri è stata acquisita nel 2017 dal colosso americano di hosting GoDaddy , che da allora lo mantiene e lo sviluppa.
Dopo aver offerto un plug-in premium fino al 2014, il plug-in è ora completamente gratuito.
Con oltre 800.000 installazioni attive, Sucuri è uno dei plug-in di sicurezza WordPress più popolari nella directory ufficiale, insieme a concorrenti come Wordfence (oltre 4 milioni di installazioni attive), iThemes Security (oltre 1 milione di installazioni attive) e All-in-One Security (oltre 1 milione di installazioni attive) .
Sucuri, un plugin gratuito supportato da servizi premium
Sebbene abbia un plugin di sicurezza dedicato al CMS WordPress, l'azienda Sucuri offre diversi servizi premium basati nel cloud per proteggere il tuo sito web, indipendentemente dal CMS ( Content Management System ) su cui gira: WordPress, Joomla, Magento, Drupal, Shopify, ecc.
Tra questi servizi ci sono:
- Un web application firewall (WAF) che protegge il tuo server web da vari attacchi: attacchi DDOS (denial of service), attacchi di forza bruta, malware, phishing, ransomware, ecc. Questo firewall viene fornito con un CDN (Content Delivery Network), per potenziare la velocità di caricamento della tua pagina.
Il WAF può essere utilizzato da solo o in aggiunta al plug-in Sucuri. - La piattaforma di sicurezza Sucuri (Sucuri Website Security). Oltre al firewall e al CDN, Sucuri offre diversi servizi per monitorare la sicurezza del tuo sito e può fornirti un team dedicato per ripulire il tuo WordPress in caso di hack.
Sebbene questi servizi siano separati e possano essere utilizzati indipendentemente l'uno dall'altro, Sucuri afferma nella directory ufficiale che il suo plug-in “completa i tuoi strumenti di sicurezza esistenti . Non è progettato per sostituire i prodotti Sucuri Website Security o Firewall.
In altre parole, se vuoi proteggere al meglio il tuo sito WordPress, l'utilizzo del solo plugin non è sufficiente.
Perché è importante proteggere il tuo sito WordPress?
Prima di esaminare le funzionalità e le altre impostazioni offerte da Sucuri, fermiamoci un attimo a considerare l'importanza della sicurezza su un'installazione di WordPress.
Usare un plugin dedicato per proteggersi è minimo, sapendo che nessun sito WordPress è infallibile. Essendo il CMS (Content Management System) più utilizzato al mondo, WordPress è naturalmente bersaglio di numerosi attacchi su base giornaliera.
Si dice che 2.800 attacchi al secondo prendano di mira le installazioni di WordPress in tutto il mondo!
Tuttavia, niente panico. WordPress è un CMS sicuro. Nel suo rapporto sulla sicurezza dell'ecosistema WordPress, l'esperto di sicurezza Patchstack spiega che il 96% delle vulnerabilità di sicurezza proviene da codice di terze parti (plugin e temi di terze parti), rispetto al 4% all'interno del core di WordPress.
Ecco perché è fondamentale proteggere il tuo sito. Le conseguenze di un hack possono essere disastrose e comportare:
- Lo smarrimento e il furto di numerosi dati , più o meno sensibili, soprattutto quelli dei tuoi clienti.
- Una perdita di tempo , perché dovrai ripulire il sito hackerato e aggiornare tutto.
- Spese finanziarie non pianificate , soprattutto se si chiama un esperto di sicurezza.
- Un degrado dell'immagine del tuo marchio e una possibile perdita di fiducia da parte dei tuoi utenti attuali e/o futuri clienti.
Capisci il punto: non trascurare l'aspetto della sicurezza del tuo sito. Passiamo a una presentazione dettagliata di Sucuri.
Come installare Sucuri
Passaggio 1: attiva il plug-in Sucuri su WordPress
Per iniziare, installa il plug-in dall'interfaccia di amministrazione tramite il menu Plugin > Aggiungi nuovo . Fare clic su "Installa ora":
Ricordati di attivare il plugin. Troverai quindi un nuovo menu chiamato "Sucuri Security", nella barra laterale sinistra del back-office di WordPress:
Passaggio 2: genera una chiave API
Per attivare alcuni degli strumenti aggiuntivi offerti dal plugin, Sucuri consiglia di generare una chiave API.
API è l'acronimo di Application Programming Interface. Come spiegato molto chiaramente in questo articolo, "le API sono meccanismi che consentono a due componenti software di comunicare tra loro utilizzando una serie di definizioni e protocolli".
Per fare ciò, fai clic sul pulsante "Genera chiave API" nella parte superiore della dashboard:
Nella finestra che appare luminosa sullo schermo, scegli l'indirizzo email associato al tuo account, quindi accetta i termini di servizio (se sei d'accordo). Fai clic su "Invia" quando sei pronto.
E il gioco è fatto! Sucuri è pronto per lavorare. Come ti dice dopo aver generato una chiave API, " questa non è una soluzione rapida per le tue esigenze di sicurezza ; non è un sostituto di Sucuri Website Security o Firewall, ma ti consentirà di essere più attento alla sicurezza e assumere una posizione migliore, con l'obiettivo di ridurre i rischi.
Ora scopriamo come impostare il plugin, con un'immersione menu per menu.
Come configurare e utilizzare Sucuri Security
Panoramica della dashboard Sucuri
Il primo menu principale offerto da Sucuri Security è il Dashboard. Qui è dove troverai i risultati dell'audit condotto dal plugin sul tuo sito.
In termini concreti, Sucuri ispeziona la tua installazione di WordPress per eventuali modifiche ai file WordPress di base (quelli che trovi ogni volta che scarichi il CMS).
Sucuri esegue automaticamente la scansione dei file nelle directory root, wp-admin e wp-includes, quindi li confronta con i file distribuiti con la versione principale di WordPress installata sul tuo sito (6.1.1, nel mio caso).
Non appena Sucuri rileva un file con incoerenze, lo visualizza sulla tua dashboard.
Se c'è un problema compare una “X” rossa, accompagnata da un messaggio poco rassicurante dello stesso colore: “ Core WordPress Files Were Modified ”.
I file potrebbero essere stati violati. Nel mio caso, Sucuri segnala due presunte anomalie in un file .txt e in un file error.log.
Quest'ultimo elenca i log degli errori che si sono verificati sul tuo sito (errori PHP, in particolare). Ho quindi diverse opzioni per affrontare i problemi:
- Contrassegna il file come falso positivo , ad esempio se si tratta di un file che ho aggiunto io stesso. Sucuri lo ignorerà durante le scansioni future.
- Elimina il file , se ritieni che sia dannoso.
- Ripristina la versione originale del file .
Questa scansione è conveniente ma c'è un problema principale: per un principiante, è ancora abbastanza difficile sapere se il presunto file anomalo sta causando o meno un vero problema di sicurezza sul tuo sito.
Di conseguenza, non sappiamo davvero cosa fare . Lasciare il file così com'è? Ripristinare la sua versione originale? Eliminarlo anche se significa correre il rischio di eliminare dati importanti? Non è facile da capire.
Sotto l'inserto dedicato all'analisi del core di WordPress, oltre agli audit log, troverai diverse schede che indicano le modifiche avvenute su:
- Iframe (tag HTML)
- Collegamenti
- Script
Infine, Sucuri fornisce anche diverse raccomandazioni per rafforzare la sicurezza della mia installazione suggerendo, ad esempio, di rimuovere i plug-in inutilizzati o disabilitare l'editor di file nell'amministrazione:
Il firewall dell'applicazione: Firewall (WAF)
Il secondo sottomenu di Sucuri è per il firewall Sucuri. Per trarne vantaggio, devi optare per uno dei piani premium offerti da Sucuri .
Se vuoi fare questo passo, devi solo aggiungere la tua chiave API nella casella fornita.
Con questo firewall attivo, Sucuri garantisce che il tuo sito sarà protetto dagli attacchi e preverrà infezioni e reinfezioni da malware.
Inoltre, il firewall " bloccherà i tentativi di SQL injection, attacchi di forza bruta, XSS (scripting da sito a sito), RFI (incorporamento di un file remoto sul tuo server), backdoor (accesso remoto al tuo sito) e molte altre minacce al tuo sito.”
Tramite le schede delle impostazioni, puoi anche:
- Blocca determinati indirizzi IP inserendoli manualmente, in modo che non possano accedere al tuo sito.
- Abilita la memorizzazione nella cache , che migliorerà le prestazioni del tuo sito WordPress.
Il menu relativo agli accessi : Ultimi accessi
Passiamo al terzo menu del plugin Sucuri: “Ultimi accessi”. Sono disponibili quattro schede:
- " Tutti gli utenti" mostra tutti gli utenti che hanno effettuato correttamente l'accesso al tuo amministratore di WordPress
- “ Admins” mostra tutte le persone che hanno un account “admin” sul tuo sito
- " Utenti che hanno effettuato l'accesso" dettaglia tutti gli utenti che sono attualmente connessi
- "Accessi non riusciti " mostra i tentativi di accesso falliti alla tua pagina di accesso. Questo ti aiuterà a vedere molto rapidamente se sei vittima di attacchi di forza bruta, ad esempio.
Il menu Impostazioni Sucuri
E infine, l'ultimo menù e il più copioso. Qui troverai diverse funzionalità principali di Sucuri, che analizzeremo in dettaglio, scheda per scheda.
scheda Impostazioni generali
La scheda Impostazioni generali ha diversi inserti. Includono alcuni dei seguenti elementi, che è possibile modificare:
- Una directory con tutti i tuoi registri di sicurezza ("Archiviazione dati")
- Un esportatore di log
- Un proxy inverso, che puoi attivare
- Un modulo per importare ed esportare le tue impostazioni Sucuri su un altro sito WordPress
Scheda Scanner
La scheda "Scanner" include uno strumento gratuito offerto da Sucuri chiamato SiteCheck. Questo strumento eseguirà la scansione del tuo sito per quanto segue:
- Malware
- Errori sul tuo sito Web WordPress
- Software obsoleto
- Anomalie di sicurezza
In particolare, Sucuri ti mostra:
- Attività pianificate durante la scansione ("attività pianificate"). Per impostazione predefinita, la scansione viene eseguita una volta al giorno.
- L'utilità "WordPress Integrity Diff" che confronta i file sul tuo server con i file originali del tuo sito (directory root, temi, plugin e file core di WP).
- Falsi positivi rilevati .
- Un'opzione per escludere determinati file e cartelle durante la scansione , soprattutto se sono troppo grandi.
Linguetta di indurimento
La scheda "Hardening" elenca dieci misure di sicurezza che puoi applicare per prevenire possibili attacchi. Rafforzeranno la sicurezza della tua installazione di WordPress.
Ad esempio, con un clic puoi:
- Blocca l'esecuzione di determinati file PHP nelle directory wp-content e wp-includes
- Disabilita l'editor di file nella tua interfaccia di amministrazione, per impedire a un hacker di modificare i tuoi file
- Rimuovi la visualizzazione della tua versione di WordPress
- Controlla se la tua versione di WordPress è aggiornata
Nella parte inferiore della pagina, è anche possibile escludere manualmente alcuni file PHP che sono stati bloccati dall'esecuzione.
Come misura precauzionale, esegui il backup del tuo sito (file + database) per applicare una di queste misure. Puoi utilizzare un plug-in di backup come UpdraftPlus. E se possibile, procedi in un ambiente di test, non in produzione .
Scheda Post-Hack
Come suggerisce il nome, la scheda "Post-Hack" offre diverse misure da applicare immediatamente dopo che il tuo sito è stato violato. Quindi spero che tu non debba mai usarlo! ^^
Ecco cosa puoi fare:
- Genera nuove chiavi di sicurezza . Sono presenti nel file wp-config.php, e permettono una migliore cifratura di alcune informazioni, in particolare i cookies di un utente che si collega all'amministrazione del tuo sito. Se un hacker è in possesso di questi cookie, sarà in grado di connettersi al tuo sito anche se reimposti la password, a meno che tu non modifichi le tue chiavi di sicurezza!
- Aggiorna le password degli utenti
- Reinstalla i plugin del tuo sito
- Aggiorna i tuoi temi e plugin
Scheda Sucuri Alerts
Nella scheda Avvisi, puoi configurare le impostazioni relative agli avvisi di sicurezza che Sucuri ti invierà via e-mail.
Per impostazione predefinita, il plug-in invia notifiche di sicurezza all'amministratore principale del sito (quello creato durante la sua installazione). Tuttavia, puoi specificare altri indirizzi e-mail per ricevere queste notifiche.
Puoi anche gestire i tipi di avvisi che riceverai e autorizzare indirizzi IP attendibili in modo che non generino avvisi.
Ad esempio, puoi specificare:
- Un numero massimo di avvisi da ricevere all'ora (da cinque ore a illimitato)
- Il numero di tentativi di connessione non riusciti all'ora (attacchi di forza bruta) prima che venga inviato un avviso tramite posta elettronica
- Gli eventi che attiveranno un avviso di sicurezza (ad es. modifiche alle impostazioni del plug-in, creazione di un nuovo accesso, disattivazione di un tema o plug-in, ecc.)
Per essere completamente esaustivi, Sucuri offre altre due schede di impostazioni: "API Service Communication" e "Website Info". Queste due schede non regolano impostazioni specifiche: forniscono informazioni sulla tua API e sul tuo sito WordPress.
Dopo questa ampia panoramica, propongo di passare alla parte finale di questo articolo. Per prima cosa parleremo del prezzo di Sucuri e poi ti darò la mia opinione su questo plugin di sicurezza.
Quanto costa Sucuri Security?
Sucuri si presenta come un plugin gratuito, il che è vero... ma con dei limiti.
In effetti, devi pagare se vuoi utilizzare il firewall dell'applicazione offerto da Sucuri. E quando si tratta di sicurezza, l'uso di un firewall è altamente raccomandato.
Questa opzione, che include anche l'accesso a un CDN, è offerta a partire da $ 9,99/mese per un utilizzo su un sito.
D'altra parte, Sucuri offre un pacchetto di sicurezza molto più completo chiamato Website Security Platform. I prezzi partono da $ 199,99/anno per l'utilizzo su un singolo sito.
Questo piano tariffario include ovviamente il firewall di Sucuri, il CDN e anche la pulizia di malware e file piratati da parte di esperti interni :
Scopri come installare e configurare il plug-in di sicurezza #WordPress #Sucuri, nonché le sue funzionalità indispensabili.
La nostra opinione finale sul plugin di sicurezza Sucuri
Per concludere, cosa dovresti pensare di Sucuri? Per rispondere a questa domanda, parlerò di due aspetti cruciali nella scelta di un plugin: la sua facilità d'uso e la sua efficienza.
Prima di tutto, sulla gestione. Non è necessariamente complesso, perché Sucuri ha scelto di offrire opzioni chiare, ben distribuite in diverse schede.
I menu non sono troppo sovraccarichi ed è molto facile eseguire un'azione (un clic è sufficiente la maggior parte delle volte).
D'altra parte, il campo della sicurezza è pieno di termini tecnici - Sucuri non c'entra niente - e l'utente principiante non sarà sempre in grado di capire cosa gli viene consigliato di fare o cosa dovrebbe fare. Questo è un primo limite da segnalare.
Passiamo all'efficienza del plugin. Sucuri è prima di tutto uno strumento di monitoraggio progettato per avvisarti di problemi di sicurezza sul tuo WordPress . Scansiona le tue pagine alla ricerca di anomalie, ti invia avvisi in caso di problemi, ecc.
Ma il plugin non ti permette realmente di risolvere i problemi di sicurezza (ad eccezione di alcuni piccoli aspetti), se non dopo l'hacking (ma a quel punto sarà troppo tardi).
Uno dei principali scudi di sicurezza è l'uso di un firewall. Sucuri ne offre uno, ma solo nella sua offerta a pagamento.
Scarica il plugin Sucuri:
In conclusione, non consiglierei il plugin gratuito se vuoi proteggere il tuo sito WordPress in modo efficiente .
Condividi la mia opinione e usi Sucuri? Dammi la tua opinione pubblicando un commento.