Installare Wordfence Security e configurazione

Installare Wordfence Security in WordPress e configurarlo.

Installare Wordfence in WordPress. In questo tutorial vedremo come installare e configurare il plugin di Wordfence Security. Questo pluign ti aiuta a proteggere l’installazione di WordPress da intrusioni e rischi per la sicurezza. Utilizzato da altri 2 milioni di utenti WordPress offre  molte opzioni come firewall, installato internamente al tuo sito, che gli strumenti di scansione per rilevare malware, trojan, backdoor e altre vulnerabilità conosciute.

Installa il plugin come ormai sei solito fare e accedi alla dashboard.

Dashboard Wordfence Security

Come ogni dashboard, in questa pagina troviamo il riassunto delle diverse attività che il plugin svolge. Abbiamo la lista e lo stato di tutti i servizi attivi e quelli che invece sarebbero attivi solo a pagamento.

In Threat Defense Feed trovi il numero di tipologie di attacco da cui il plugin si difende. Il primo numero è quello per tutti gli utenti, il secondo per il servizio a pagamento.

Ci sono poi diversi dati statistici, come il numero di attacchi bloccati per il nostro sito e un report per tutti gli attacchi mondiali difesi da WordFence.

Interessante capire anche le nazioni in cui gli attacchi si verificano, per il nostro sito e per il mondo intero.

Possiamo vedere il numero di IP bloccati e un resoconto dei tentativi di login.

All options Wordfence

In questa pagina possiamo abilitare o disabilitare molte delle funzioni del plugin.

Abbiamo la funzione Enable Live Traffic View. Wordfence infatti permette di vedere in diretta tutto il traffico che arriva sul tuo sito.

Di base, siccome è una features che appesantisce le performance, lasciala disabilitata. Se avrai la necessità di utilizzarla potrai attivarla comunque in seguito.

Importante controllare di avere attivo Enable automatic scheduled scans. In questo modo verrà effettuata la scansione dei virus in  modalità automatica.

Se inoltre vuoi che Wordfence installi gli aggiornamenti automaticamente, spunta l’opzione “Update Wordfence automatically…“. Altrimenti ricordati che, se c’è un plugin da aggiornare con costanza, è proprio quello inerente alla sicurezza, quindi verifica sempre che non ci siano aggiornamenti pendenti.

Inserisci ora l’email dove vuoi che ti arrivino le segnalazioni alla voce Where to email alerts.

Alla voce Come How does Wordfence get IPs, seleziona la seconda opzione (use “PHP built in…“), che dovrebbe andare bene nella maggior parte dei casi, altrimenti, se ci sono problemi o avvisi, torna alla prima scelta “Let Wordfence use the most…“.

Come vedi le opzioni sono divise in diverse sezioni. Scendi in quelle inerenti agli Alerts.

Installare Wordfence alerts
Installare Wordfence alerts

Stai attento a non abilitare tutto, perché opzioni come Alert me when a non-admin user signs in ti manderebbero un’email ogni volta che un utente del tuo sito effettua l’accesso.

Installare Wordfence: Scan to Include

Installare Wordfence scan to include
Installare Wordfence scan to include

Abilita Scan theme files e Scan plugin files against repository versions for changes.

In questo modo il plugin controllerà che i file dei tuoi temi e dei tuoi plugin siano uguali a quelli che si trovano nella repository di WordPress.

Visto che, modificare i file core di WordPress, plugin e temi, non è una pratica consigliata, i file dovrebbero sempre corrispondere a quelli del server di WordPress.

Logicamente questa opzione non funziona con plugin e temi comprati o non presenti nella repository ufficiale.

Use low resource scanning è un’impostazione da considerare se il tuo server non è molto potente. Attivandola, la scansione verrà prolungata nel tempo, affaticando di meno la macchina su cui si trova il tuo sito.

Le altre opzioni lasciale così. Se sei interessato a qualcuna di loro puoi sempre premere l’icona con la “i” per avere maggiori informazioni riguardo a quella specifica funzione.

Configurazione Wordfence: funzionalità Scan

Procedi nella sezione scan per controllare che non ci siano malware, altre vulnerabilità, file del core modificati o altro.

Premi il pulsante Start a Wordfence Scan per iniziare. Il tempo richiesto dalla procedura dipende dalle dimensione del tuo sito. Una volta terminata ti verranno mostrati i risultati. Se il plugin trova qualcosa che non va, allora ti verranno notificate anche le azioni consigliate da eseguire.

Configurare Wordfence Scan
Configurare Wordfence Scan

Sempre in Scan, trovi in alto la tab Scheduling.

Per la versione free la scansione avviene ogni 24 ore, mentre se si vuole gestire la schedulazione manualmente, bisogna passare a quella a pagamento.

Nella tab options trovi le impostazioni che abbiamo visto prima alla voce di menu options.

Configurare Firewall Wordfence

Dopo aver proceduto ad installare Wordfence, quest’ultimo propone il lavoro del firewall in due modalità differenti.

In quello impostato di base il firewall lavora a livello di plugin. Significa che, quando viene richiesta una pagina, il firewall viene caricato insieme agli altri plugin.

Il secondo metodo è l’extended protection. In questo caso il firewall entra in azione prima che il core di WordPress, i temi e i plugin vengano caricati.

Come puoi immaginare quest’ultimo è il metodo più sicuro, perché interviene prima di ogni altro elemento.

Per attivare questa impostazione premi Optimize the Wordfence Firewall.

Nella schermata seguente puoi vedere che, in automatico, Wordfence recupera le informazioni sul server su cui hai installato il sito. Premi Continue.

Configurare Wordfence Firewall
Configurare Wordfence Firewall

Per potere fare entrare in azione il firewall prima di ogni altra cosa, è necessario permettere a Wordfence di cambiare il file .htaccess della tua installazione di WordPress.

In questo file infatti, sono registrate delle impostazioni che agiscono direttamente sul server.

Per evitare problemi scarica una copia di backup premendo download htaccess.

Nel caso dovessi avere dei problemi quello che dovrai fare è connetterti via FTP, cancellare il file .htaccess presente nella root del tuo sito, caricare il file che hai appena scaricato e rinominarlo sul server esattamente .htaccess, con il punto all’inizio e senza il .txt alla fine.

Ok, ora puoi premere il tasto Continue. Come vedrai Wordfence avrà impostato il Firewall è in Learning Mode.

Wordfence, invece di farti impostare tutte le varie impostazioni, userà il Learning Mode per una settimana,  raccoglierà dati ti utilizzo del tuo sito e cercherà di capire come impostarsi al meglio.

Passata questa settimana cambierà in automatico il suo stato in Enable and Protecting.

Le impostazioni in Brute Force Protection e Rate Limiting lasciale così come di default.

Worfence Live Traffic

Come anticipato Wordfence, nella sezione Live Traffic, ti permette di vedere tutto il traffico che passa per le tue pagine.

Se sei interessato ad analizzare un certo tipo di traffico, puoi utilizzare il filtro selezionando una delle opzioni: traffico umano, utenti registrati, crawlers ecc… e puoi bloccare l’IP del visitatore.

Live Traffic è un tool utile a monitorare in tempo reale l’attività del tuo sito web e ad archiviare i dati delle persone che si sono collegate (ne identifica l’Ip, riconosce gli utenti registrati, individua i migliori visitatori, ecc.) Tuttavia se le tue pagine ricevono numerose visite al dì, esse rischiano di essere rallentate in maniera significativa dall’opzione Live Traffic View, in quanto quest’ultima ha bisogno di molta memoria per lavorare al meglio.

Blocking e Tools

Tutti gli IP bloccati e la loro gestione possiamo ritrovarli nella sezione Blocking.

In Tools l’unica parte che ci interessa è quella della diagnostica, dove troviamo tutta una serie di informazioni utili in caso di malfunzionamenti.

Se vuoi conoscere nel dettaglio ogni tipo di impostazione, Wordfence mette a disposizione una documentazione esaustiva.

Installare Wordfence Security: configurazioni manuali

Per Wordfence è tutto, ma diamo ancora delle ultime indicazioni per dare un giro di vite ulteriore alla tua installazione di WordPress.

Disabilitare l’editor di WordPress

Per disabilitare l’editor devi inserire nel file wp-config.php questo codice:

define( ‘DISALLOW_FILE_EDIT’, true );

In questo modo non sarà più possibile modificare da Aspetto > Editor i file del core, quelli dei temi e dei plugin.

Disabilitare l’esecuzione diretta di script PHP

Per evitare l’esecuzione diretta di file PHP in alcune directory devi, utilizzando un editor di test, creare un nuovo file e incollare questo codice:

<Files *.php>
deny from all
</Files>

Salva il file come .htaccess e lo caricalo via FTP all’interno della cartella di cui vuoi bloccare gli script, come per esempio nella cartella wp-content/uploads.

Evitare di mostrare il contenuto delle directory (Directory Listing)

Avere un server online che mostra il contenuto delle directory non va bene.

Se dopo aver controllato per diverse cartelle vedi la lista dei tuoi file, immagini e cartelle, allora devi scaricare il file .htaccess che si trova nella root del tuo sito e aggiungergli la seguente riga:

Options -Indexes

Disattivare XML-RPC

Il protocollo XML-RPC viene utilizzato da WordPress per eseguire delle procedure da remoto.

Dalla versione 3.4 è stata attivata di default, ma è un fattore che potrebbe causare attacchi Brute Force.

Questo protocollo non serve averlo attivo se:

  • NON fai post sul tuo sito tramite Windows Live Writer.
  • NON usi la WordPress mobile App.
  • NON utilizzi alcun tipo di servizio per connetterti da remoto con il tuo sito.

In questo caso ci viene incontro sempre il file .htaccess, quello nella root del sito, in cui dobbiamo inserire:

<Files xmlrpc.php>
order deny,allow
deny from all
allow from xxx.xxx.xxx.xxx
</Files>

Dove la riga allow from la inseriamo se vogliamo abilitare solo un determinato IP (da sostituire alle varie xxx).

Conclusione

Abbiamo visto come installare Wordfence e tutti i parametri per configurare al meglio il plugin. Non fermarti solo ad installare Wordfence Security sul tuo sito ci sono tanti altri aspetti da considerare!  Segui i consigli per rendere sicuro WordPress al seguente link:

Come rendere sicuro WordPress. 20 regole da seguire nel 2018.

Se sei interessato ad altri post del mio blog clicca qui:

Autore Bartolomeo

Consulente tecnico con la passione per il web e la tecnologia e tutto quello che le ronza intorno.
Nel tempo libero scrivo articoli per il mio blog su argomenti vari, in particolare su configurazione Windows, Linux e WordPress.

Condividi questo articolo!

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Ho letto la policy privacy e accetto il trattamento dei miei dati personali in conformità al D.Lgs. 196/2003