Punti chiave
WordPress è oggi una delle piattaforme di blogging maggiormente diffuse e utilizzate non solo da chi gestiste un semplice blog o un sito web ma anche da grandi aziende e colossi d’informazione che preferiscono servirsi di questo blog engine/CMS per la sua semplicità e per la sua architettura di facile estensione tramite plugin (ad oggi oltre 30.000 disponibili sulla piattaforma open-source).
Si calcola che ben il 26% dei siti mondiali sia realizzato con WordPress, caratteristica che, se da un lato, ne ha determinato una crescita e una popolarità esponenziale dall’altro ha esposto i siti realizzati in WordPress a un crescente interesse da parte di hacker e spammer. Ne consegue che il problema della sicurezza è diventato prioritario e sebbene WordPress sia di per sé abbastanza sicuro, è consigliato ricorrere ai dei plugin specifici e dedicati. Vediamo, quindi, quali sono i migliori plugin di sicurezza per WordPress.
Plugin di sicurezza per WordPress: a cosa servono
Come detto precedentemente, WordPress è realizzato con una struttura sufficientemente sicura e solida, ma questo non rende, ovviamente, i siti che lo utilizzano immuni da rischi o da attacchi che possono verificarsi su diversi fronti.
Furto di dati e informazioni, violazioni di password e login, attacchi da parte di virus o spam sono solo alcuni dei pericoli ai quali un sito WordPress non adeguatamente protetto può essere esposto.
I plugin per WordPress sono dei componenti aggiuntivi non automatici che possono essere installati sulla piattaforma per estenderne o potenziarne le funzionalità di base. E’ evidente, quindi, come i plugin di sicurezza per WordPress siano dei “programmi” appositamente sviluppati per migliorare le funzioni di sicurezza di un sito WordPress, intervenendo su problematiche specifiche come malware, vulnerabilità del sito o violazioni in fase di login.
Chi cerca di proteggere il proprio sito o blog in WordPress lo fa solitamente adottando delle “misure di sicurezza” standard come il rendere le password particolarmente forti o mantenendo costantemente aggiornati i core files di WordPress. Questo è certamente utile ma non garantisce una protezione totale visto che vi sono una vasta serie di vulnerabilità da considerare. Queste riguardano un’ampia gamma di aspetti come la sicurezza del database, la sicurezza del tema o dei plugin installati, le vulnerabilità FTP e molto altro. In tutti questi casi i plugin di sicurezza possono essere di grande aiuto.
I migliori plugin di sicurezza per WordPress. Wordfence per proteggere server e aumentare la velocità
Cerchiamo ora di individuare i quattro migliori plugin di sicurezza per WordPress e di capire a cosa servono, come funzionano e come utilizzarli.
WordFence è uno dei più popolari e diffusi plugin di sicurezza per WordPress con oltre un milione di downloads e un rating di 4.9/5. Si tratta di un plugin di sicurezza abbastanza completo che, in sostanza, analizza in maniera approfondita il sito verificando l’eventuale presenza di malware e notificandola immediatamente all’utente. WordFence è in grado di condurre un’analisi molto accurata che va a interessare non solo i file WordPress ma anche il tema e tutti i plugin installati, oltre a un’approfondita analisi lato server del codice sorgente.
Grazie a questo plugin è inoltre possibile rendere il sito web sul quale è installato ben 50 volte più veloce e sicuro e questo grazie all’uso di Falcon Engine, un sistema di caching sofisticato che consente di migliorare notevolmente la velocità del sito.
Oltre alla funzionalità anti-malware con scansione approfondita del sito e notifica immediata, WordFence consente di bloccare gli accessi da determinati paesi, include firewall con sistemi automatici di ban per determinati indirizzi IP e traffico fake, dispone di autenticazione a due fattori, permette di gestire la cache e di monitorare il traffico sul proprio sito in tempo reale, oltre a poter eseguire scansioni anti-malware in maniera automatica o pianificata.
WordFence è un plugin di sicurezza per WordPress gratuito nella versione base con la possibilità di poter passare a un piano premium con alcune funzionalità a pagamento. Per quanto concerne i prezzi, le tariffe variano a seconda del “tempo” (da 1 a 5 anni) e delle API Keys; per esempio un anno di servizio con una Key costa 99 dollari mentre lo stesso periodo di tempo per 1.000 key ha un prezzo di 13.12 dollari.
I migliori plugin di sicurezza per WordPress: BulletProof Security per proteggere i file
Altro plugin di sicurezza per WordPress ampiamente utilizzato è BulletProof Security e questo in virtù della sua estrema “versatilità” che consente di prendersi cura di differenti aspetti di sicurezza del proprio sito web, dalla sicurezza del database a quella dei login. Si tratta di un plugin di sicurezza di semplice installazione, caratteristica che lo rende facilmente utilizzabile anche dagli amministratori meno esperti.
Ma quali sono le funzioni di BulletProof Security?
Questo plugin di sicurezza è una sorta di firewall che va a intervenire direttamente sui file limitando intrusioni indesiderate e furti o perdite di dati. BulletProof Security, infatti, rende particolarmente solidi e sicuri i file, primo tra tutti il file .htaccess e i file di configurazione, effettuando dei controlli anche su tutti i permessi di file e cartelle, oltre a un’analisi accurata di tema e plugin installati e inviando una notifica immediata all’admin in caso di “infezioni” o intrusioni indesiderate. La capacità del plugin BulletProof Security di blindare il file .htaccess è molto importante in quanto consente di proteggere il sito da minacce molto pericolose e diffuse come SQL Injection, XSS, CRLF, RFI, Base64, CSRF e Code Injection.
Grande cura e attenzione viene poi dedicata al login, strumento importante e allo stesso tempo delicato in quanto comunemente soggetto a diversi tipi di attacco. Il plugin di sicurezza BulletProof Security è in grado di bloccare un account in seguito a n-tentativi falliti di login, limitando così in maniera considerevole eventuali intrusioni di bot. Molto comodo e funzionale è anche il sistema di alerts via email che informa l’amministratore del sito in caso di eccessivi tentativi di accesso o di account bloccati.
Per quanto concerne l’utilizzo, BulletProof Security è di semplice installazione e la capacità del plugin di aggiornarsi automaticamente, senza interventi di tipo manuale, lo rende adatto anche ai principianti. Sono disponibili una versione gratuita, abbastanza completa e funzionale, e una versione pro che offre una serie di funzioni avanzate.
I migliori plugin di sicurezza per WordPress: iThemes Security per proteggersi dai brute force
iThemes Security è uno dei più noti ed utilizzati plugin di sicurezza per WordPress e questo non solo in virtù della sua facile installazione ma anche grazie alla sua interfaccia semplice e intuibile che lo rende particolarmente adeguato anche ai neofiti.
Si tratta di un plugin di sicurezza abbastanza completo che consente di incrementare di ben 30 volte i livelli di protezione di un sito web. Anche per questo plugin le funzioni di sicurezza sono piuttosto ampie e vanno dall’analisi accurata delle vulnerabilità del sito a backup regolari del database, dalla rimozione delle informazioni utilizzate dagli hacker per accedere al sito al rafforzamento delle credenziali di accesso, dalla prevenzione di attacchi brute-force all’attivazione di un vero e proprio antivirus per WordPress.
Una volta installato il plugin sarà possibile selezionare dalla dashboard iniziale tutte le opzioni di interesse, collocate dalla più alla meno importante, e quindi configurare iThemes Security in base alle proprie specifiche esigenze. Oltre ad offrire un’elevata protezione da malware, tentativi di login indesiderati e altre vulnerabilità presenti nel sito, questo plugin di sicurezza è in grado di individuare e di bannare indirizzi IP indesiderati inserendoli in una “lista nera” ad hoc. L’admin ha, inoltre, la possibilità di decidere il numero dei tentativi di accesso in seguito ai quali si vien bloccati (Blacklist Threshold), il tempo di permanenza dell’IP nella lista (Blacklist Lookback Period) così come di individuare gli indirizzi IP non soggetti ad alcuna restrizione (Lockout White List).
Anche iThemes Security invia una email di notifica all’amministratore in caso di tentativi di accesso indesiderati e bloccati mentre selezionando una specifica opzione (File Change Detection) l’admin verrà avvisato ogni volta che si verificano dei cambiamenti nei files di configurazione del sito. Questo plugin offre un supporto importante anche per il rilevamento delle pagine 404, consente di definire una specifica fascia oraria per accedere al pannello di controllo, di modificare il percorso di accesso al pannello di amministrazione e di “obbligare” tutti gli utenti del sito a creare delle password sicure e rispondenti a precisi requisiti fissati da WordPress.
Vi sono, poi, una serie di configurazioni advanced, come la possibilità di eliminare l’utente admin e di sostituirlo con uno di nostra preferenza o, ancora, di spostare la collocazione della cartella wp-content, nella quale vengono collocate tutte le cartelle del sito, dalla root principale.
I migliori plugin di sicurezza per WordPress: All in One WP Security e Firewall per una soluzione unica
All in One WP Security e Firewall è uno dei plugin di sicurezza per WordPress gratuiti maggiormente utilizzato (circa 200.000 installazioni) e considerato tra i più semplici e user-friendly grazie alla possibilità di individuare in maniera immediata quelle “aree” del sito che necessitano di miglioramenti sul versante della sicurezza. Una volta installato, infatti, il plugin mostra una dashboard principale nella quale è presente un indicatore che classifica i livelli di sicurezza, da 0 470, in relazione alle opzioni abilitate.
Prima di procedere ad illustrare le funzionalità principali di questo plugin di sicurezza è bene sottolineare che gli sviluppatori mettono a disposizione tre differenti livelli di “cambiamenti”, basic, intermediate e advanced, tra i quali scegliere al fine di evitare che alcune opzioni del plugin vadano a compromettere determinate funzionalità del sito. Non a caso la configurazione del plugin consente di disabilitarlo nel caso in cui l’admin noti dei malfunzionamenti del sito che potrebbero essere creati dalla conflittualità tra All in One WP Security e Firewall e altri plugin installati.
Passiamo ora alle funzionalità e alle opzioni messe a disposizione da questo plugin.
All in One WP Security e Firewall consente in primo luogo di difendere il nostro sito da attacchi brute-force e pone grande attenzione alla fase di login. Il plugin, infatti, blocca gli utenti dopo un certo numero di tentativi falliti di login (stabiliti dall’amministratore tramite il tab Max Login Attempts) e lo notifica immediatamente all’admin, oltre a “costringere” tutti gli utenti del sito ad impostare delle password forti.
Grazie a questo plugin di sicurezza per WordPress è inoltre possibile monitorare tutte le attività degli utenti sul sito e tenere traccia degli username e degli indirizzi IP, bannare momentaneamente tutti gli utenti che hanno tentato di accedere al sito usando un username mai registrato, visualizzare una schermata con i tentativi di accesso falliti ( con tutti i dati relativi) e verificare in tempo reale chi è loggato al sito.
All in One WP Security e Firewall permette di schedulare automaticamente il database e di ricevere una notifica via email, protegge il codice PHP disabilitando la visualizzazione dei file con questa estensione a eventuali hacker e implementa sul sito un firewall al fine di sopperire a eventuali carenze ( si può scegliere tra Basic Firewall Rules e Additional Firewall Rules). Molto importante è la funzione 6G Blacklist Firewall Rules che in pratica consente di creare dei filtri che impediscono l’utilizzo di caratteri speciali nelle stringhe, prevenendo in questo modo eventuali attacchi molto pericolosi (XSS, CSRF, SQL Injection etc.).
Grazie all’opzione di analisi approfondita, All in One WP Security e Firewall permette di tenere traccia di tutti i files e di verificare eventuali cambiamenti su WordPress, mentre la sezione “Spam Prevention” è completamente dedicata alla prevenzione dello spam (blocco dei commenti da parte di spambot, attivazione captcha per i commenti, visualizzazione degli IP che hanno generato spam etc.). In ultimo bisogna segnalare che All in One WP Security e Firewall permette di disabilitare il tasto destro e la copia del frontend del sito e non consente ad altri portali di visualizzare i contenuti del vostro sito in iFrame.
