Mettere WordPress al sicuro grazie a iThemes Security

Mettere WordPress al sicuro grazie a iThemes Security

Se volete mettere wordpress relativamente al sicuro, potete utilizzare uno dei plugin più interessanti ed utili mai visti: si tratta di Better WP Security, da qualche tempo noto col nuovo nome iThemes Security, che scaricate gratuitamente dal repository ufficiale di WP.

Di che si tratta è presto detto: iThemes Security è un plugin che si occupa di gestire la maggioranza degli aspetti legati alla sicurezza basilare del sito, cercando quantomeno di rendere difficoltose molte operazioni che comunemente i cracker tendono ad effettuare sui siti WP. Quello che fanno, in effetti, consiste nel cercare liste di siti in WP (oppure cercare semplicemente su Google “powered by WordPress” e simili pattern identificativi) e poi tentatare una serie di operazioni tra cui:

  1. navigare nelle directory per scoprire, ad esempio, i plugin attivi sul sito (alla ricerca di qualcuno fallato);
  2. tentare via script un attacco brute-force sul path pubblico wp-login.php oppure wp-admin;
  3. provare ad effettuare XSS oppure SQL poisoning sfruttando semplicemente un browser web;
  4. effettuare altro genere di analisi mediante appositi comandi da terminale oppure nmap.

Questo genere di operazioni possono essere limitate installando iThemes Security che, come accennato, cerca di rattoppare le potenziali falle di WordPress, ed offre un livello di sicurezza potenziato agli utenti. Per agire in questa direzione basta caricare il plugin nel sito (seguite, in caso di necessità, le istruzioni per installare plugin che ho preparato), ed impostare dalla dashboard di sicurezza i seguenti parametri minimi.

Anzitutto, per evitare di auto-bannare il proprio IP, metterlo in whitelist come prima cosa (cliccare su Temporarily Whitelist my IP); vediamo ora sezione per sezione come impostare il plugin.

  1. Cliccando su “Settings”, inserire la propria email sul campo Notification Email;
  2. inserire un messaggio che possiate identificare facilmente in risposta agli attacchi, per i campi Host Lockout Message e User Lockout Message;
  3. spuntare la casella in corrispondenza di Enable Blacklist Repeat Offender;
  4. Blacklist Threshold: inserire un numero pari a 4 o 5 (numero di login errati ammessi prima del blocco automatico);
  5. Blacklist Lookback Period: inserire il numero di giorni pari alla durata del ban (default: 7);
  6. Lockout Period: inserire la durata del ban temporaneo in minuti;
  7. spuntare Enable Email Lockout Notifications;
  8. Log Type: selezionare “database only”, di solito va bene per qualsiasi sito;
  9. Days to Keep Database Logs: inserite 7 giorni, avendo cura di controllare almeno una volta a settimana che il vostro sito sia ok e funzionante;
  10. cliccare su Save all changes per confermare quanto impostato fino ad ora.

Ci sono altri campi importanti da prendere in considerazione, anche per quanto accennato all’inizio:

Away mode: in un periodo di tempo da voi stabilito impedisce a chiunque di fare login nel sito. Funzione molto utile se non avete intenzione di cambiare il sito per molto tempo e tenerlo al sicuro da login impropri mediante brute-force, ma anche interessante se ad esempio non volete che di notte nessuno provi ad accedere al sito.

Ban users: attiva i ban per gli utenti malevoli, quindi selezionate sia Enable HackRepair.com’s blacklist feature che Ban users. Attenzione che chiunque proverà ad accedere al sito sbagliando la password X volte (quante volte avete impostato al punto 4 precedente) sarà bannato per almeno Y minuti (quanti ne avete impostati al punto 6)!

Enable brute force protection. Altra funzione molto utile da attivare, che permette di contrastare gli attacchi brute force.

Database Backups permette di salvare copie del database del vostro sito sull’hosting, funzione utile a patto di ricordarvi di scaricare i backup in locale o altrove.

File Change Detection. Funzione molto avanzata che vi notificherà via email di qualsiasi cambiamento ai file da parte del sistema. Tenete conto che la funzione rileva moltissimi falsi positivi, per cui potrebbe procurare allarmi per funzioni che, in realtà, sono imposte lecitamente da WordPress, da cron-job o da plugin che avete installato.

Hide Login Area. Come suggerito all’inizio impedisce di accedere al login mediante i path standard, permettendovi di imporne uno a vostra scelta (per voi e per i vostri collaboratori).

Enable strong password enforcement. Vaspuntata anche questa perchè obbliga tutti gli utenti di WP ad usare password robuste.

System tweaks. Questa ultima sezione è molto interessante perchè impedisce attacchi molto comuni e che periodicamente si presentano. Spuntate, nell’ordine, quanto riportato, ricordandovi che la sicurezza del vostro sito in WordPress è prima di tutto sotto la vostra responsabilità e che, in generale, nessuna contromisura vi mette mai al sicuro al 100%.

Vieta l’accesso ad alcuni file di sistema o al readme.html che, di solito, potrebbero essere sfruttati per visualizzare informazioni utili per un eventuale attacco, ad esempio se basato sul numero di versione.
Impedisce ad un utente di scansionare il contenuto delle cartelle del vostro sito, e di visualizzarne i file.
 Questa opzione serve ad imporre un filtro automatico su alcuni tipo di query string, al fine di limitare gli attacchi XSS/SQL.

Limita la lunghezza massima di una query string in modo da limitare tentativi di SQL poisoning.

Evita modifiche improprie ai fle wp-config.php e .htaccess file: di default il CHMOD di questi file è 0664, con questa opzione diventerà 0444.
Evita agli utenti registrati di poter caricare file PHP dentro agli articoli, ad eventuale scopo malevolo.

 

 

 

 

Ti piace questo articolo?

0 voti

Su Trovalost.it puntiamo sulla qualità dei contenuti da quando siamo nati: la tua sincera valutazione può aiutarci a migliorare ogni giorno.

Mettere WordPress al sicuro grazie a iThemes Security

Se volete mettere wordpress relativamente al sicuro, potete utilizzare uno …
0 0 utenti hanno votato questa pagina

Ti potrebbero interessare (Sicurezza informatica):

Cerca altro nel sito

Clicca sul box, e scegli la sezione per vederne i contenuti.

Mettere WordPress al sicuro grazie a iThemes Security

Se volete mettere wordpress relativamente al sicuro, potete utilizzare uno …
0 0 utenti hanno votato questa pagina