Plugin sicurezza WordPress All In One WP Security, uno dei migliori che possiamo trovare disponibili gratuitamente per mettere in sicurezza il nostro sito WordPress.
Il plugin per WordPress All In One WP Security è in assoluto tra i più utilizzati e quindi installati su tantissimi siti di tutto il mondo. Secondo solo a Wordfence Security. In questa guida però, non faremo un paragone fra questi due plugin e di certo non ci interessa reputare tra questi due sia il migliore.
Lo scopo di questa guida è di illustrare a tutti quei gestori di siti web realizzati in WordPress le caratteristiche di All In One WP Security. Un’ottima alternativa a Wordfence Security. Per chi ancora non lo conosce, All In One WP Security è tra i migliori plugin che possono mettere in sicurezza il nostro sito.
Un po ‘più leggero di Wordfence Security e sicuramente più facile nelle sue impostazioni. Offre tantissimo per quanto riguarda la messa in sicurezza del nostro sito, e non ha niente da invidiare a tanti altri plugin a pagamento.
Indice
All In One WP Security installazione
In WordPress, basta andare nel pannello di amministrazione, su “Plugin“, “Aggiungi nuovo” in alto a sinistra, e cercare “All In One WP Security”. In realtà, il nome completo di questo plugin è; “All In One WP Security & Firewall“. Come dice il nome stesso, è in grado di funzionare come un vero e proprio Firewall per il nostro sito.
Una volta individuato, installato e attivato, possiamo cliccare sulla destra su “Sicurezza WP“. A questo punto non ci resta che iniziare con le nostre impostazioni. In “Bacheca” possiamo vedere lo stato di protezione che abbiamo. Una volta installato ed attivato il plugin, il punteggio di protezione dovrebbe essere intorno ai novanta ma vediamo come farlo salire oltre i duecento:
Iniziamo quindi con tutte le impostazioni consigliate per mettere in sicurezza il nostro sito WordPress con questo plugin.
Impostazioni
Sulla destra, passiamo da “Bacheca” a impostazioni (Subito sotto). In questa sezione vi consiglierei di lasciare tutto di default. L’unica impostazione che potete abilitare, se volete, è “WP Version Info“. Questa impostazione serve a nascondere l’informazione della versione di CMS in uso del nostro sito nel codice sorgente delle pagine.
Nascondere la versione di WordPress serve per rendere la vita più difficile ad un malintenzionato per scoprire che versione è il nostro CMS. Ora, sempre nel menù a sinistra, passiamo a “Account utente”. Anche qui, vi consiglierei di lasciare tutto come si trova. Se non trovate nulla di interessante da abilitare, passiamo pure alla prossima; “Login Utente”.
Login utente
In queste finestre vi consiglierei di abilitare soltanto “Opzioni blocco login“. Si tratta di impostazioni veramente molto importanti che consentiranno di bloccare un malintenzionato, umano o bot che sia, che cerca di entrare nel nostro pannello di controllo di WordPress. Inoltre, blocca i tantissimi tentativi automatici dei bot malintenzionati che provano nomi utente e password a caso cercando di entrare nel nostro pannello di controllo. Le impostazioni consigliate sono:
- Attiva Funzioni Blocco Login: Spunta questa opzione
- Consenti richieste di sblocco: Non spuntare questa opzione
- Max Tentativi Login: 3
- Tempo Tentativi Riprova Login (min): 5
- Tempo Durata Blocco (min): 60
- Mostra Messaggio Errore Generico: Lascia vuoto
- Blocca immediatamente Nomi Utenti non validi: Spunta questa casella
Tutto il resto lasciate così com’è. Attenzione però all’opzione “Blocca immediatamente Nomi Utenti non validi”. Se al vostro prossimo login nel pannello di controllo di WordPress non inserirete il vostro nome utente giusto, verrete bannati dal sito per un ora.
Registrazione utenti
La prossima scheda è “Registrazione utenti”. Io non la uso mai perché non permetto la registrazione di utenti sui siti che possiedo. Se invece, il vostro sito permette di far registrare gli utenti, abilitate e provate queste impostazioni. Vi consiglio in questo caso di spuntare su “Attiva approvazione manuale di nuove registrazioni” che vi permetterà di poter approvare gli utenti.
Sicurezza database
In queste finestre, abbiamo nel menù in alto due opzioni; “Prefisso DB” e “Backup Database”. Nella prima scheda vi consiglierei di non toccare assolutamente nulla perché serve per cambiare il prefisso delle tabelle del database. Se non sapete cosa state facendo, sappiate che modificando il prefisso delle tabelle è molto probabile che l’intero sito non funzioni più. In “Backup DB” invece, potete creare i vostri backup del database fin da subito o programmarli in automatico.
Sicurezza file di sistema
In questa scheda vi vengono consigliate le impostazioni per i permessi dei file di sistema. Sulla destra, vi basta cliccare sui pulsanti “Imposta permessi consigliati“. Sono impostazioni consigliate ma non di certo obbligatorie. Se in queste schede non sapete cosa state facendo, potete lasciare comunque tutto come si trova.
I permessi consigliati, anche se abilitati, non provocheranno nessun problema al nostro sito web. Nel menù in alto, abbiamo anche le voci:
- Modifica file PHP
- Accesso file di sistema
- Registro sistema Host
Queste schede, vi consiglio di lasciarle vuote, senza abilitare nulla. Passiamo quindi alla prossima; “Gestione Blacklist”.
Gestione Blacklist
Queste opzioni servono per vietare l’ingresso e la visualizzazione del sito determinati indirizzi IP. Si tratta di una funzione che nega completamente l’accesso al sito solo agli utenti con un indirizzo IP che conoscete. Vengono quindi aggiunte delle modifiche con delle regole di blocco al nostro file .htaccess.
Una lista nera di utenti che non avranno più la possibilità di collegarsi al nostro sito. Personalmente, preferisco non bloccare mai gli indirizzi IP, quindi, se non sapete cosa state facendo, vi consiglio di non toccare assolutamente nulla in queste schede.
Firewall
Eccoci giunti alle impostazioni Firewall per aumentare la sicurezza del nostro sito WordPress. Iniziamo con la prima scheda del menù in alto; “Regole Firewall base”. Attiva Protezione Firewall Base, attiva Completely Block Access To XMLRPC ma non spuntare la casella “Disable Pingback Functionality From XMLRPC”. Subito sotto, attiva anche “Blocca gli accessi al file debug.log”.
Clicca in basso su “Salva Impostazioni Base Firewall”. A questo punto, il sistema modificherà il nostro file .htaccess con le nuove informazioni. La seconda scheda in alto; “Regole Firewall Aggiuntive” ha ben cinque opzioni da poter abilitare. Vi consiglio di abilitarle tutte. La prossima scheda del menù è; “6G Blacklist Firewall Ruless”.
Come da screenshot precedente, vi consiglio di abilitare la prima opzione ma non la seconda. Abilitando la seconda, ho riscontrato svariati problemi di compatibilità con alcuni plugin. La prossima scheda del menù è “Internet bots“. Serve per bloccare con delle regole al nostro file htaccess l’accesso e quindi la scansione del nostro sito a bot indesiderati. Vi consiglio di abilitarla.
Prevenzione Hotlinking invece, che si trova nella prossima scheda del menù in alto, evita che si riescano ad implementare su altri siti le vostre immagini senza la vostra autorizzazione e rubandovi anche preziose risorse. Un opzione molto raccomandata da abilitare ma potrebbe non funzionare in base alle impostazioni del vostro server.
Le prossime schede del menù; Rilevamento 404 e Regole personalizzate vi consiglio di lasciarle così come sono.
Brute force
Probabilmente ne avrete sentito parlare; il Brute force è purtroppo una tecnica piuttosto efficace per fare danni al vostro sito da parte di malintenzionati. Con questa funzione, possiamo modificare l’URL della nostra pagina di accesso che è “wp-login.php“. Però, con le impostazioni che vi ho consigliato prima sul “Login utente”, possiamo farne comunque a meno di queste impostazioni, quindi, vi consiglio di lasciare tutto come si trova.
La sciate stare anche tutte le altre voci del menù in alto fino a “Honeypot“. Questa funzione però, vi consiglio di abilitarla. Si tratta di un pulsante nascosto nella pagina di login che un bot è però in grado di vedere. Quando un bot “attacca” una pagina di login di wordpress, tende ad abilitare tutte le “spunte” che trova. Questa falsa spunta evita di far accedere i bot alla nostra pagina di login.
Prevenzioni spam
Nel menù a destra del plugin, siamo arrivati su “Prevenzioni spam”. Si tratta di prevenzioni che evitano che gli spam bot lascino commenti nelle vostre pagine. Abilitate tutto in questa pagina se nel vostro sito web utilizzate i commenti. Queste opzioni funzionano veramente molto bene e noterete nel tempo che i commenti spam saranno ridotti praticamente a zero. Le altre voci nel menù in alto, lasciatele pure tutte disattivate.
Le altre impostazioni e conclusioni
Da “Prevenzione spam” in giù, lasciate pure tutto disabilitato. Una volta che avete seguito questa guida e avete impostato il plugin come suggerito, tornate su “Bacheca”, noterete che il grafico del livello di protezione è arrivato intorno i 200/250. Non dovete obbligatoriamente arrivare a “fondo scala”.
Su “Altre impostazioni”, se volte, vi consiglio di abilitare soltanto “Attiva Protezione iFrame“. Questa opzione farà in modo di evitare che il vostro sito venga visualizzato direttamente su un altro sito in finestra rubandovi preziose risorse. Con questo è tutto. Altri articoli e guide che riguardano il CMS WordPress:
- WordPress plugin GDPR Il migliore per essere in regola
- Velocizzare WordPress con il plugin per la cache WP Rocket
- Link WordPress footer Meglio se in nofollow
- WordPress social network e motori di ricerca
- Come ottimizzare le immagini per WordPress
Oltre al CMS WordPress, potrebbero interessarti delle altre nostre guide e articoli che riguardano il mondo di “Internet”:
