iThemes Security: metti in sicurezza wordPress

Tempo di lettura: 7 minuti

La sicurezza prima di tutto… Sopratutto nel web!

Oggi sono molti i casi di piattaforme web che vengono prese di mira da hacker con gli obiettivi più disparati, ottenere i dati degli utenti che hanno visitato il tuo sito, ottenere dati dei metodi di pagamento dei tuoi clienti, impossessarsi del tuo sito chiudendoti fuori o prendere il controllo del tuo server per utilizzarlo in una botnet.

Per questo è di vitale importanza mettere al sicuro il proprio portale, sia che si tratti di un piccolo sito statico, sia che si tratti di un ecommerce.

Per chi è indicato?

Sei un esperto di sicurezza in campo cyber, o uno sviluppatore php / WordPress senior?

Allora molto probabilmente sarai in grado (spero) di applicare tu stesso le necessarie misure atte a preventire attacchi e a proteggere eventuali vulnerabilità, ma se non hai molta dimestichezza con tutto questo ,o non conosci il significato di parole come: patch di sicurezza, .htaccess, php o vulnerabilità allora iThemes Security fa al caso tuo.

Si tratta infatti di un plugin che gstisce autonomamente la sicurezza del tuo sito senza che tu debba possedere chissà quale conoscenza, il tutto in pochi minuti, bello no?

Per cominciare…

Scarica e installa il plugin iThemes Security dalla repository ufficiale di WordPress oppure cercalo direttamente dal tuo editor cliccando su Plugin > Aggiungi nuovo.

Security Check

Fatto questo al primo avvio si aprirà una finestra che ti chiederà di fare una scansione del sito web in modo che il plugin possa analizzare il sistema e trovare errate impostazioni o configurazioni di core o altri plugin, senza farti troppe domande clicca su Secure Site per avviare la scansione oppure su Close se preferisci non effettuarla (anche se te lo sconsiglio).

Effettuata la scansione ricevenrai un report che ti mostrarà eventuali problemi trovati e ti fornirà indicazioni per risolverli.

Settings

Un’altra voce interessante è quella relativa alle impostazioni, da qui infatti è possibile cambiare la “sensibilità” del plugin attivando o meno determinati controlli.

La lista delle possibili opzioni è molto lunga ma non disperare, vedremo insieme cosa fare.

Security Check

Ti permette di rifare la scansione del capitolo precendete ogni volta che vorrai.

Global Settings

In questa sezione puoi decidere principalmente i tempi di lock-out degli utenti bloccati, ovvero tutti quegli utenti che hanno sbagliato ripetutamente la password o che hanno tentato di accedere a zone sensibili del sito senza permessi.

Puoi inoltre personalizzare i messaggi di blocco e lock-out nonche è aggiungere utenti alla white-list (lista degli utenti che non subiranno i blocchi da parte del plugin).

Notification Center

Qui puoi impostare utenti e indirizzi email a cui far arrivare le notifiche egli avvisi di sicurezza del plugin.

iThemes Security infatti, invia notifiche via email a seguito di varie situazioni come ad esempio

  • Database Backup
  • Avviso di cambiamento file
  • Report di sicurezza
  • Avviso di Lock-Out

E’ possibile inoltre abilitare o disabilitare alcuni tipi di notifiche, per non ricevere troppi messaggi via email.

404 Detection

In questa sezione puoi attivare/disabilitare e configurare la funzionalità che blocca gli utenti che incappano un gran numero di volte sulla nostra pagina 404, poichè questo potrebbe indicare una scansione del sito (magari in cerca di vulnerabilità da attaccare), è possible configurare il numero di richieste 404 dopo il quale procedere con il blocco, i file da escludere e molto altro.

Away Mode

Qui è possibile bloccare tutti gli accessi al pannello amministrativo di WordPress (quindi anche il nostro) in determinati orari, sarà quindi possibile accedere all’editor del sito solo in determinate fasce orarie.

Banned Users

Da qui possiamo bloccare preventivamente specifici host o user-agent, dai quali abbiamo magari in passato già ricevuto un attacco.

Database Backups

Questa meravigliosa funzione ci permette di programmare (scegliendo comodamente l’intervallo di tempo a noi più congeniale) il back-up del database, che potremmo decidere se vogliamo ricevere via mail, salvarlo sul server o entrambe le cose.

File Change Detection

Questa funzionalità ci permette di ricevere una notifica nel caso in cui determinati file del sito vengano modificati, ovviamente è possibile configurare a quali file applicare questo “monitoraggio” e quali file o estensioni escludere.

File Permissions

Permette di vedere quali permessi abbiamo impostato nel nostro .htaccess e fornisce un consiglio su come dovrebbero invece essere impostati.

Local Brute Force Protection

Permette di impostare i parametri relativi il numero di tentativi di login dopo il quale bloccare un utente e sopratutto per quanto tempo tenerlo bloccato.

Network Brute Force Protection

Simile al punto precendente, ma blocca anche gli utenti che hanno tentato invano di fare numerosi accessi in altri siti, così facendo aumentano di molto le possibilità di proteggeresi da bot e attacchi vari.

Password Requirements

Se abilitato obbliga l’utente del ruolo selezionato ad utilizzare una password forte in fase di creazione ell’account.

SSL

Permette di abilitare i protocollo di navigazione HTTPS creando così una connessione in modo crittografato.

System Tweaks & WordPress Tweaks

Impostazioni varia avanzate, queste opzioni migliorano ulteriormente la sicurezza ma potrebbero compromettere il funzionamento di alcuni temi o plugin, quindi se non sai cosa fare ti consiglio di lasciare tutto così com’è…

WordPress Salts

Da qui è possibile generare delle nuove salt key per la piattaforma, costringendo di fatto tutti gli utenti a dover rifare di nuovo l’accesso, perfetto se si è appena rimosso un utente e non siamo sicuri che abbia fatto il logout.

La configurazione consigliata?

La risposta a questa domanda dovrebbe essere dipende dalle tue esigenze e dal tuo sito, ma noi di theFantasticWp vogliamo aiuterti a non perdere la ragione:-) ecco perche qui sotto ti riporto alcune impostazioni generali che vanno bene in linea di massima per tutti i siti web.

Ecco di seguito tutte le impostazioni di iThemes Security con i parametri corretti da impostare nella sezione Settings del tuo plugin:

Si = inserire il segno di spunta nella voce corrispondente

  • Global Settings > Abilitato
    • Write to Files > Si
    • Blacklist Repeat Offender > Si
    • Blacklist Threshold > 3 lockouts
    • Blacklist Lookback Period > 7 giorni
    • Lockout Period > 15 minuti
    • Log Type > Database Only
    • Days to Keep Database Logs > 60 giorni
    • Proxy Detection > Automatic
    • Show Error Codes > no (default)
  • Notification Center > Abilitato
    • File Change > Enabled
    • Security Digest > Enabled
    • Site Lockouts > Enabled
  • 404 Detection > Abilitato
    • Minutes to Remember 404 Error > 5 Minuti
    • Error Threshold > 20 Errori
  • Away Mode > Disabilitato
  • Banned Users > Abilitato
    • Ban Lists > Si
  • Database Backups > Abilitato
    • Backup Full Database > Si
    • Backup Method > Email Only
    • Backups to Retain > 0 Backups
    • Compress Backup Files > Si
    • Schedule Database Backups > Si
    • Backup Interval > 10 Giorni
  • File Change Detection > Abilitato
  • Local Brute Force Protection > Abilitato
    • Max Login Attempts Per Host > 5 Tentativi
    • Max Login Attempts Per User> 10 Tentativi
    • Minutes to Remember Bad Login > 5 Minuti
    • Automatically ban “admin” user > No
  • Network Brute Force Protection > Abilitato
  • Password Requirements > Abilitato
    • Enabled > Si
    • Minimum Role > Administrator
  • SSL > Abilitato
    • Redirect All HTTP Page Requests to HTTPS   > Enabled
  • System Tweaks > Abilitato
    • System Files > Si
    • Directory Browsing > Si
    • Request Methods > Si
    • Suspicious Query Strings > Si
    • Non-English Characters > Si
    • Long URL Strings > Si
    • File Writing Permissions > Si
    • PHP in Uploads > Si
    • PHP in Plugins > Si
    • PHP in Themes > Si

Perfetto ma quanto costa?

La sorprendente risposta è niente, sono infatti disponibili due versioni per questo plugin una completamente free che offre tutte le funzionalità che ti ho illustrato sopra, e una pro composta da tre piani che partono da 80$ all’anno e arrivano fino a 199$ all’anno.

Oltre a tutto quello che abbiamo visto sopra la versione pro dispone di alcune utili funzionalità aggiuntive come la scansione anti-malware, l’implementazione del re-CAPCHA, l’autenticazione a due fattori e altre funzionalità, tuttavia se non si hanno particolari esigenze la versione free è più che suffiente per inziare a proteggere un sito web base.

Vuoi Saperne di più sulla sicurezza in WordPress, leggi tutt i nostri articoli nella sezione dedicata a come mettere in sicurezza wordpress.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *