Come proteggere WordPress con Wordfence Security

Gestire un sito WordPress significa vivere diverse emozioni. A volte c'è gioia, come quando vedi che i tuoi contenuti si classificano lentamente su Google.

A volte c'è rabbia, quando il tuo sito va in crash dopo un aggiornamento. E a volte, provi persino paura . Questo è quando il tuo sito è stato violato, un inconveniente che non accade solo ad altre persone.

Per evitare sudori freddi in futuro e per proteggere il tuo sito, utilizza un plug-in di sicurezza.

Il più famoso nella directory ufficiale si chiama Wordfence Security . Dal momento che è difficile da ignorare, l'abbiamo testato per scoprire cosa ha nella manica.

Alla fine di questo articolo, saprai come configurarlo e usarlo.

I tuoi migliori progetti WordPress hanno bisogno del miglior host!

WPMarmite consiglia Bluehost: grandi prestazioni, grande supporto. Tutto ciò di cui hai bisogno per iniziare alla grande.

Prova Bluehost

Che cos'è Wordfence Security?

Wordfence Security è un plugin per rafforzare la sicurezza del tuo sito WordPress. Offre diverse funzionalità per proteggere la tua installazione, tra cui un firewall per le applicazioni, uno scanner di malware, l'autenticazione a due fattori e la protezione dagli attacchi di forza bruta.

Con oltre 4 milioni di installazioni attive, è il plug-in di sicurezza più popolare nella directory ufficiale dei plug-in, davanti a iThemes Security (oltre 1 milione di installazioni attive), All in One Security (oltre 1 milione di installazioni attive) e Sucuri oltre 800.000 installazioni attive).

Il plug-in Wordfence Security, chiamato anche "Wordfence Free", è gratuito. Tuttavia, Wordfence offre anche diverse opzioni a pagamento:

• Wordfence Premium : una versione ancora più completa del plugin gratuito, con supporto incluso.
• Wordfence Care : il team dello strumento di sicurezza installa Wordfence, lo configura, lo ottimizza e monitora il tuo sito per te. In caso di problemi legati alla sicurezza interviene un team dedicato.
• Wordfence Response , un servizio dedicato ai siti WordPress in cui i tempi di inattività hanno un impatto finanziario. Questo servizio è destinato principalmente ai grandi siti con molto traffico e ai negozi di e-commerce.
• Wordfence Intelligence : dedicato principalmente agli host web che vogliono raccogliere dati sulla sicurezza in generale.

Nota che il team di WordFence offre anche altri due plugin gratuiti nella directory ufficiale. Wordfence Assistant è un plugin che sarà utile se Wordfence è attivo sul tuo sito ma non puoi più accedere alla tua dashboard. Wordfence Login Security contiene alcune funzionalità già incluse nel plug-in gratuito: autenticazione a due fattori, protezione XML-RPC e CAPTCHA nella pagina di accesso. Non è necessario attivarlo se stai già utilizzando Wordfence Security.

Quali sono le caratteristiche principali di Wordfence Security?

Wordfence Security è una soluzione di sicurezza completa che funziona su più livelli. Per trarne vantaggio, l'utente beneficia di diverse opzioni chiave:

• Un web application firewall (WAF) che identifica e blocca il traffico dannoso dal tuo server web (e non nel cloud, come offerto dal suo concorrente Sucuri, per esempio)
• Uno scanner di malware che blocca le richieste che includono codice o contenuto dannoso
• Protezione contro gli attacchi di forza bruta limitando il numero di tentativi di connessione alla pagina di accesso dell'amministrazione
• Autenticazione a due fattori , per aggiungere un ulteriore livello di sicurezza per l'accesso al tuo sito WordPress
• reCAPTCHA sulle tue pagine di accesso per impedire ai bot di accedere e limitare lo spam
• Avvisi e-mail quando viene rilevato un problema di sicurezza
• Una piattaforma chiamata Wordfence Central per gestire la sicurezza di più siti in un unico posto. Funziona secondo lo stesso principio di ManageWP, che ti consente di mantenere i tuoi siti WordPress.

Perché dovresti usare un plugin di sicurezza come WordFence?

Come forse già saprai, WordPress è il CMS (Content Management System) più utilizzato al mondo, con il 63,7% di quota di mercato.

Oltre a ciò, alimenta quasi un sito su due in tutto il mondo (tra i milioni di siti che ricevono la maggior parte del traffico).

Questa posizione dominante stuzzica l'appetito degli hacker umani, e in particolare dei bot dannosi che funzionano automaticamente, come:

• Bot spam
• Robot che raschiano (estraggono) i tuoi contenuti
• Bot che lanciano attacchi Denial of Service (DoS) o Distributed Denial of Service (DDoS).

In totale, il 90% degli attacchi perpetrati contro un CMS colpisce WordPress. E 2.800 attacchi al secondo prendono di mira specificamente le installazioni di WordPress, in tutto il mondo!

State tranquilli: per fortuna WordPress non è un colabrodo. Secondo un rapporto pubblicato nel 2021 dall'esperto di sicurezza Patchstack, solo lo 0,58% delle falle di sicurezza proviene dal core di WordPress .

Il principale colpevole sono i tuoi plugin, che da soli rappresentano il 92,81% delle vulnerabilità (rispetto al 6,61% dei temi).

Alcuni dei risultati dello studio di Patchstack la dicono lunga e invitano a prendere molto sul serio il problema della sicurezza:

• In media, il 42% dei siti WordPress ha almeno un componente vulnerabile (plugin o tema) installato
• Le vulnerabilità sono aumentate del 150% tra il 2020 e il 2021
• Il 29% dei plugin di WordPress contenenti vulnerabilità critiche non è stato corretto

Quindi, capisci cosa intendo: è imperativo che il tuo sito WordPress sia protetto per rafforzarne la sicurezza.

Per questo, un plugin come Wordfence può fare il lavoro. Ti mostrerò come installarlo di seguito.

Come installare Wordfence in tre passaggi

Passaggio 1: attiva il plug-in sulla dashboard di WordPress

Il primo passo è installare il plugin dall'interfaccia di amministrazione di WordPress.

Vai al menu Plugin > Aggiungi nuovo e digita "Wordfence" nella barra di ricerca:

Fai clic sul pulsante "Installa ora" accanto a "Wordfence Security – Scansione firewall e malware", quindi attiva il plug-in.

Passaggio 2: ottieni una chiave di licenza Wordfence

Una volta attivato il plug-in, verrà visualizzata una finestra che ti chiederà di ottenere una licenza Wordfence. Questo è un prerequisito necessario per sfruttare tutte le opzioni del plugin gratuito .

Fai clic sul pulsante "Ottieni la tua licenza Wordfence":

Verrai reindirizzato alla pagina dei prezzi di Wordfence sul sito ufficiale. Fare clic sul pulsante "Ottieni una licenza gratuita" per ottenere una chiave per la versione gratuita del plug-in:

Si apre una nuova finestra sullo schermo. Wordfence ti chiede se sei sicuro di voler utilizzare la sua versione gratuita e spiega il vantaggio principale della sua versione premium: non appena il team del plugin implementa una misura di protezione sul suo firewall o scanner di malware, viene aggiornato in tempo reale sul versione premium (rispetto a 30 giorni dopo nella versione gratuita).

Poiché desidero solo utilizzare il plug-in gratuito, ho fatto clic su "Sto bene aspettando 30 giorni per la protezione dalle nuove minacce":

Nella finestra successiva, inserisci il tuo indirizzo email, spunta le caselle e clicca su “Registrati”:

Passaggio 3: installa la tua licenza su WordPress

Ora vai alla tua casella di posta elettronica. Dovresti aver ricevuto un'e-mail da Wordfence.

All'interno troverai la tua chiave di licenza in modo da poterla attivare manualmente. Per muoverti ancora più velocemente, Wordfence offre anche di attivarlo automaticamente per te . Per fare ciò, fai clic sul pulsante "Installa la mia licenza automaticamente":

Verrai reindirizzato alla dashboard di WordPress, con i campi "E-mail" e "Chiave di licenza" già compilati. Termina facendo clic su "Installa licenza":

Ben fatto: il plugin è ora attivo e funzionante. Nella barra laterale sinistra, sulla tua interfaccia di amministrazione, ora hai un nuovo menu chiamato "Wordfence", contenente tutte le impostazioni offerte dal plugin:

Diamo un'occhiata a loro in questo momento, solo per vedere cosa c'è sotto il cofano del plugin.

Come configurare il plug-in Wordfence Security

Come funziona la dashboard di Wordfence Security?

Il cuore del plugin è la sua dashboard.

Offre scorciatoie rapide per accedere alle diverse opzioni offerte dal plug-in , che puoi trovare anche nel menu situato nella barra laterale sinistra.

Con un clic puoi usufruire di:

• Il firewall dell'applicazione
• Lo scanner di malware
• Wordfence Centrale. Per usufruire di questo servizio, che permette di aggiornare la sicurezza dei propri siti dalla stessa dashboard, è necessario creare un account gratuito. Questo può essere utile se devi gestire la sicurezza di più siti contemporaneamente. Per uso individuale, saltalo.
• Opzioni generali per configurare gli avvisi e-mail, il firewall e le impostazioni dello scanner
• Accesso alla documentazione del plugin
• Un registro delle notifiche
• Un riepilogo degli attacchi bloccati sul tuo sito WordPress
• Un grafico che mostra il numero totale di attacchi bloccati sull'intera rete Wordfence

La dashboard è chiara e comprensibile; è facile orientarsi tra le diverse opzioni.

Come utilizzare il firewall dell'applicazione

Protezione contro attacchi multipli

Una delle caratteristiche principali di Wordfence è il suo firewall applicativo.

Può identificare il traffico dannoso e bloccare gli hacker e altri bot dannosi prima che possano accedere al tuo sito.

Il firewall è accessibile tramite Wordfence > Firewall . Protegge il tuo sito dai seguenti attacchi:

• Iniezioni SQL , ovvero attacchi al tuo database
• Cross-site scripting (XSS): codice dannoso viene iniettato nel contenuto delle tue pagine
• Download di file dannosi
• Attacchi di attraversamento di directory
• Vulnerabilità di inclusione di file locali (LFI), in cui i file remoti vengono aggiunti al tuo server web

Per impostazione predefinita, il firewall è in modalità di apprendimento per una settimana, a partire dal momento in cui installi il plug-in.

"Ciò consente a Wordfence di conoscere il tuo sito per capire come proteggerlo e come consentire ai normali visitatori di attraversare il firewall", afferma Wordfence. " Ti consigliamo di lasciare Wordfence in modalità di apprendimento per una settimana prima di attivare il firewall."

Se desideri sovrascrivere questi consigli, fai clic su "Abilitato e protezione" nel menu a discesa sottostante:

Come accennato in precedenza, solo la versione premium del plug-in riceve un aggiornamento del firewall in tempo reale ogni volta che viene rilevata una nuova minaccia dal team di Wordfence (a livello globale, non necessariamente un attacco destinato a prendere di mira il tuo sito). La versione gratuita del firewall viene aggiornata 30 giorni dopo il rilevamento della minaccia.

Unisciti agli abbonati WPMarmite

Ottieni gli ultimi post di WPMarmite (e anche risorse esclusive).

ISCRIVITI ORA

Come funziona il firewall di Wordfence Security

Per impostazione predefinita, il plug-in ha configurato le impostazioni di base per rafforzare la sicurezza del tuo sito. Ma puoi comunque personalizzare le impostazioni leggermente più tecniche sfruttando le opzioni aggiuntive:

Tra questi ci sono:

• Whitelisting di determinati indirizzi IP
• Immissione di indirizzi IP da ignorare dal firewall
• Configurazione della protezione dagli attacchi di forza bruta . Ad esempio, puoi specificare quanti tentativi di accesso falliti sono necessari per impedire l'accesso alla tua pagina di accesso (e per quanto tempo).
  Ciò consente di risparmiare l'uso di un plug-in aggiuntivo come Limit Login Attempts Reloaded.
  

Quando il firewall funziona correttamente, i cerchi mostrano il tuo livello di protezione (in percentuale). Quando il cerchio è grigio, il firewall è in modalità apprendimento.

L'obiettivo è raggiungere un punteggio del 100% (colore verde). Puoi ottenere ciò seguendo i consigli forniti, passando il mouse su ogni cerchio:

Tuttavia, un punteggio del 100% non sarà sempre ottenibile con la versione gratuita del plug-in.

Per raggiungere questo obiettivo, dovrai utilizzare opzioni premium, come il blocco in tempo reale degli indirizzi IP.

La scheda Blocco del firewall dell'applicazione

Oltre alle regole del firewall che proteggono da vari attacchi, Wordfence dispone anche di funzionalità personalizzate per ulteriori blocchi. È possibile accedervi tramite la scheda "Blocco":

Puoi creare regole di blocco basate su:

• indirizzo IP
• Un'area geografica
• Un insieme di criteri (Custom Pattern) come una rete di indirizzi IP o browser web

Per maggiori informazioni su questo, guarda questo video:

Come utilizzare lo scanner di malware

Passiamo allo scanner offerto dal plugin, accessibile tramite Wordfence > Scansione .

Lo strumento di scansione esegue la scansione del tuo sito (file principali, temi e plug-in) alla ricerca di quanto segue: malware, URL errati, backdoor, accesso remoto al tuo sito, spam SEO, reindirizzamenti dannosi e altre iniezioni di codice.

Durante la sua scansione, il plug-in "confronta i tuoi file, temi e plug-in principali con ciò che si trova nella directory di WordPress.org", spiega Wordfence Security. "Controlla la loro integrità e ti avvisa di eventuali modifiche."

Inizialmente, la scansione si concentra sui controlli per lo spam e gli indirizzi IP nella lista nera (solo per la versione premium). Passa quindi alla scansione dei file del tuo sito e alla fornitura di risultati.

Nel mio caso, il plug-in mi avverte che sto utilizzando un accesso amministratore troppo insicuro ("admin"). Posso quindi risolvere questo problema facendo clic su "Modifica" o semplicemente ignorandolo:

Per quanto riguarda il firewall, i cerchi mi indicano gli elementi da ottimizzare per raggiungere un punteggio del 100%.

Facendo clic su "Opzioni di scansione e pianificazione", è anche possibile modificare impostazioni più specifiche.

Per ottimizzare le prestazioni, puoi ad esempio:

• Scegli di eseguire lo scanner su base limitata, per risparmiare larghezza di banda (ricorda che Wordfence gira sul tuo server web, quindi utilizza risorse)
• Limita manualmente il numero di elementi da scansionare

Come abilitare l'autenticazione a due fattori

Dopo il firewall e lo scanner del sito, WordFence Security suggerisce ai suoi utenti di abilitare l'autenticazione a due fattori (Wordfence 2FA).

L'autenticazione a due fattori aggiunge un'ulteriore misura di sicurezza per l'accesso al tuo sito WordPress .

Dopo aver inserito nome utente e password, ti verrà chiesto di utilizzare un dispositivo, spesso il tuo smartphone o tablet, per convalidare il processo di accesso.

Questo è un metodo già utilizzato dagli istituti bancari quando si effettuano pagamenti online. È molto efficace nel proteggerti dagli attacchi di forza bruta.

Per usarlo, vai al menu Wordfence > Sicurezza accesso . In sintesi, è necessario:

• Installa un'applicazione sullo smartphone per autenticarti , come Google Authenticator, Sophos Mobile Security o FreeOTP Authenticator.
• Eseguire la scansione del codice QR offerto da Wordfence nell'applicazione di autenticazione scelta (1).
• Inserisci il codice a 6 cifre visualizzato dopo la scansione del codice QR per autorizzare la connessione tra il tuo sito WordPress e l'applicazione (2).

Se vuoi vedere visivamente questo processo di attivazione, dai un'occhiata a questa risorsa:

L'autenticazione a due fattori può essere configurata per tutti i ruoli utente, dall'amministratore all'abbonato, tramite la scheda Impostazioni:

Sempre nella scheda "Impostazioni" del menu "Sicurezza accesso", puoi anche abilitare Google reCAPTCHA versione 3, per proteggere dallo spam nella pagina di accesso dell'amministratore. Per funzionare, questo servizio richiede una chiave di licenza gratuita di Google.

Altri strumenti offerti da Wordfence Security

Il tour del proprietario di WordFence Security è a buon punto. Per finire, tuffiamoci negli ultimi due menu offerti dal plugin di sicurezza di WordPress.

Il menu Strumenti

Il menu Strumenti è composto da quattro schede:

• "Traffico in tempo reale" ti mostra cosa sta succedendo sul tuo sito in tempo reale, inclusi gli accessi degli utenti, i tentativi di hacking e le richieste che sono state bloccate dal firewall di Wordfence. Un codice colore (verde, grigio, giallo e rosso) ti dice chi sta tentando di accedere al tuo sito (umani o bot) e lo stato (avviso o blocco):

• "Whois Lookup" per sapere chi possiede un indirizzo IP o un nome di dominio che visita il tuo sito o si impegna in attività dannose sulle tue pagine
• "Opzioni di importazione/esportazione" per esportare o importare le opzioni di Wordfence in un altro sito WordPress
• "Diagnostica" fornisce informazioni che possono essere utilizzate per risolvere conflitti, problemi di configurazione o compatibilità con altri plug-in, temi o l'ambiente del server.

Il menu Tutte le opzioni

Il menu "Tutte le opzioni" contiene tutte le opzioni sparse in altri menu (come firewall, scanner o opzioni di connessione) sulla stessa pagina.

Il vantaggio è che puoi trovare tutto nello stesso posto . Non entrerò in tutte le opzioni, poiché hai già visto quelle principali.

Tuttavia, è interessante notare che è qui che puoi impostare le tue preferenze di avviso e-mail. Hai una dozzina di caselle di controllo che ti consentono, ad esempio, di essere avvisato (o meno):

• Quando un indirizzo IP è bloccato
• Quando una persona viene bannata dalla tua pagina di accesso
• Quando viene rilevato un numero significativo di attacchi sul tuo sito WordPress

Questo è tutto per questo tour completo delle funzionalità di Wordfence Security. Ora diamo un'occhiata più da vicino al prezzo di questo strumento.

Quanto costa Wordfence?

Wordfence Security è inizialmente disponibile gratuitamente sulla directory ufficiale di WordPress. Ovviamente, come ogni versione gratuita, non include tutte le opzioni offerte nella versione a pagamento del plugin.

Wordfence Premium ha un prezzo di $ 119 all'anno. A parte il supporto prioritario, la principale differenza con l'offerta gratuita è la frequenza degli aggiornamenti degli strumenti offerti da Wordfence .

Con premium, non appena i server di Wordfence rilevano le minacce in tempo reale, aggiorneranno le regole del firewall, il rilevamento del malware e l'elenco di blocco IP in un lampo.

Con il plug-in gratuito, devi attendere 30 giorni dopo essere andato in diretta per beneficiare degli aggiornamenti.

Oltre a ciò, Wordfence offre anche due licenze in cui un team dedicato installerà, configurerà e gestirà Wordfence per te:

• Wordfence Care : $ 490/anno
• Risposta Wordfence: $ 950/anno. Questa licenza ti dà accesso alle stesse opzioni di Wordfence Care, ma hai anche un tempo di risposta garantito di massimo un'ora e le risposte sono disponibili sette giorni su sette.

Queste ultime due offerte sono principalmente per siti di grandi dimensioni e persone che non hanno il tempo di prendersi cura della sicurezza del proprio sito (e che hanno il budget per delegare questo compito).

Per il tuo sito Web o blog personale, sarà sufficiente il plug-in Wordfence gratuito o premium.

La nostra opinione finale sul plugin Wordfence

Per concludere, ricapitoliamo quanto visto dall'inizio di questo articolo, con un riassunto dei pregi e dei difetti di questo plugin di sicurezza.

Vantaggi del plugin Wordfence Security

• L'interfaccia piacevole e chiara, che lo rende facile da imparare
• Applica automaticamente le impostazioni di sicurezza di base per te
• Le numerose funzionalità offerte nella versione gratuita, incluso un firewall per le applicazioni
• Autenticazione a due fattori
• Lo scanner di sicurezza
• Avvisi e-mail per farti sapere quando c'è un problema

Svantaggi del plug-in

• Alcune impostazioni sono troppo complesse per un principiante, ma questo vale anche per altri plugin di sicurezza
• Il fatto che gli ultimi aggiornamenti delle minacce rilevate vengano applicati solo 30 giorni dopo il loro rilascio
• L'uso di Wordfence può causare rallentamenti sulle tue pagine perché consuma molte risorse del server. Se il tuo host web non raggiunge le prestazioni del tuo sito potrebbe risentirne.

Dovresti usarlo?

Nel complesso, Wordfence è un ottimo plug-in di sicurezza . Poiché la maggior parte delle sue opzioni funziona automaticamente, è adatto ai principianti.

Gli utenti più avanzati apprezzeranno la possibilità di modificare impostazioni più tecniche e avanzate.

Grazie al plug-in gratuito, avrai uno scudo prezioso per bloccare la maggior parte degli attacchi dannosi, soprattutto attraverso il suo firewall applicativo. Quest'ultimo sarà già efficace nel fornire un primo livello di sicurezza per il tuo sito.

Questo è degno di nota perché altri plugin concorrenti (ad esempio Sucuri) non offrono un firewall nella loro versione gratuita. È comunque una protezione di base da avere per qualsiasi sito.

E se vuoi proteggerti anche dalle ultime minacce rilevate dal team di Wordfence (è sempre meglio), passa al pacchetto premium se il tuo budget lo consente.

Infine, non dimenticare che l'utilizzo di un plug-in di sicurezza non è tutto. Innanzitutto perché nessun sito è infallibile. In secondo luogo, perché è necessario applicare quotidianamente le buone pratiche. Ad esempio, ricorda di aggiornare e fare il backup del tuo sito regolarmente.

Quindi, cosa ne pensi di Wordfence? Dammi la tua opinione nei commenti.