Configurazione Plugin WordPress All In One Wp Security & Firewall

all-in-one-wp-security-and-firewall

13 aprile 2016. L’articolo di Pamela Guccione su come realizzare siti web sicuri con WordPress, pubblicato su questo blog il 20 Gennaio scorso, ha suscitato in me la curiosità di andare a provare il plugin All in One Wp Security & Firewall. Così mi sono messo all’opera e, armato di santa pazienza, l’ho installato e messo in funzione. Il risultato secondo me è davvero valido, sia in termini di sicurezza che in termini di facilità di configurazione. Il pannello di configurazione del Plugin WordPress “All in One WP Security & Firewall” si presenta molto user-friendly ma questo non deve far pensare ad un plugin con cui giocare con leggerezza. Un’impostazione sbagliata può negarci l’accesso al pannello di amministrazione di WordPress e poi sono grattacapi per far tornare il tutto alla normalità. La parola d’ordine è quindi “attenzione”. Andiamo a vedere come funziona e come configurare All in One Wp Security plugin per WordPress.

INSTALLAZIONE ALL IN ONE WP SECURITY & FIREWALL

Ho eseguito le prove con due hosting diversi: Ergonet ed Aruba. Con Ergonet mi sono veramente dato alla pazza gioia configurando il plugin in maniera da garantire la sicurezza più totale. Con Aruba invece ho avuto seri problemi. A parità di voci configurate il sito mi restituiva un errore 500. Per risolvere il problema del sito appoggiato sui server di Aruba, le varie FAQ presenti in rete suggeriscono di disabilitare il plugin tramite ftp (rinominandolo all-in-one-wp-security-and-firewall-old) e di ripristinare i vecchi file .htaccess e wp-config, ma fatto ciò, continuavo a non avere l’accesso al sito. Ci è voluto un intervento dell’assistenza tecnica di Aruba per rimettere tutto a posto (forse hanno cambiato qualche parametro di configurazione del server). Dopodiché, reistallando il plugin e riconfigurandolo alla stessa maniera, è filato tutto liscio.

L’installazione del plugin All in One Wp Security avviene come per tutti gli altri. Basta richiamarlo nella search del pannello dei plugin, installarlo ed attivarlo. Il plugin è scaricabile da questa pagina ed è completamente gratuito.

CONFIGURAZIONE DEL PLUGIN WORDPRESS ALL IN ONE WP SECURITY & FIREWALL

DASHBOARD

Dopo aver effettuato l’installazione del plugin All in One WP Security & Firewall, ci appare una gradevole dashboard  in cui un indicatore in stile “cronometro”, visualizza immediatamente il livello di sicurezza attuale del sito.

dashboard all in one wp security

La dashboard iniziale del Plugin per WordPress All in One WP Security (cliccaci sopra per ingrandire)

Degli switch “On-Off”, evidenziano subito le maggiori criticità da mettere in sicurezza come l’eliminazione dell’utente admin, l’attivazione del blocco della login in caso di attacchi bruteforce, i permessi di lettura-scrittura-esecuzione sui files più importanti e l’attivazione del firewall.

Sempre nella Dashboard iniziale del plugin troviamo diversi tab che ci danno altre preziose informazioni.

Il Tab System Info ci indica la versione di MySql utilizzata, la versione Php, i plugin presenti, ecc…

Tab System Info del Plugin All in One Wp Security & Firewall

Tab System Info del Plugin All in One Wp Security & Firewall

I successivi tab “Locked Ip Address” e  “Permanent Block List” visualizzano rispettivamente gli indirizzi IP bloccati temporaneamente a seguito di tentativi di accesso non autorizzati e gli indirizzi bannati permanentemente per lo stesso motivo. L’ultimo Tab di questa sezione è AIOWPS Log e permette di visualizzare i log di sistema del sito.

SETTINGS

In quest’area troviamo importanti sezioni per la gestione e la configurazione di base del plugin.

Partiamo dal primo Tab presente: General Settings. In questa sottosezione possiamo decidere di disabilitare le funzionalità del plugin, nel caso in cui sospettassimo che lo stesso possa essere causa di conflitto con altri plugin o, più in generale, provocasse il malfunzionamento del sito. Queste azioni vanno compiute una alla volta, verificando se attraverso la disabilitazione delle funzioni del plugin, il problema si risolva.

Come prima voce troviamo un invito ad eseguire i backup dell’.htaccess, del wp-config e dei database. Questo è importante per permetterci di ripristinare il corretto funzionamento del sito nel caso in cui le azioni elencate successivamente provocassero dei problemi. Personalmente direi anche di salvare .htaccess e wp-config in locale ed esportare (sempre in locale) a mano i database dal phpmyadmin.

I campi successivi sono denominati:

  • Disable Security Features, che serve a disabilitare tutte le funzioni di sicurezza impostate con All in One WP Security & Firewall
  • Disable all Firewall Rules, che serve a disabilitare tutte le regole firewall impostate (le cancella anche dall’htaccess)
  • Debug Settings, che se spuntata, provvede a creare un file di debug per controllare dove si verificano eventuali errori del software.

Il secondo Tab è .htaccess File. Da qui si può eseguire un backup in locale del file .htaccess con un semplice click o ricaricarne uno funzionante precedentemente salvato. A me personalmente questo processo non funziona e non è detto che non capiti a qualcun’altro di voi . Meglio allora scaricarne uno in locale attraverso il client FTP e, in caso di bisogno, restorizzarlo (sempre in questa sottosezione) attraverso il pulsante “ripristino file .htaccess” (questo si che funziona sicuro).

Per i meno ferrati, i plugin di sicurezza vanno a scrivere sul file .htaccess le regole di accesso al sito. Per questo a volte può capitare che un eccesso di zelo nelle configurazioni abbia come conseguenza la mancata possibilità di accedere al pannello di amministrazione di wordpress e/o al sito stesso. Il ripristino di un .htaccess precedentemente salvato, risolve il problema nel 90% dei casi.

Il terzo Tab della sezione Impostazioni è quello relativo al file wp-config-php. Questa sottosezione funziona esattamente come la precedente, solo che il file di cui si può fare il backup (qui mi funziona) ed il ripristino, è il wp-config.

Terzo Tab: Wp Meta Info. Qui è possibile, spuntando una semplice casellina, evitare che il meta con la versione di WordPress utilizzata venga visualizzata nella head del sito.

settings wp meta info

Per ogni impostazione di sicurezza impostata, il plugin da dei punteggi la cui somma determina il punteggio di sicurezza finale che vediamo nel “cronometro” della dashboard principale

Tab Import/Export: Da qui, in maniera semplice e con la stessa procedura vista prima, si può effettuare il backup in locale della configurazione del plugin o il ripristino da un file precedentemente esportato.

USER ACCOUNT

Qui il plugin All in One WP Security and Firewall ci permette di correggere alcuni errori molto comuni a livello di configurazione di utenti amministratori.

Il primo Tab che andiamo a settare è WP Username. Regola base per la sicurezza del proprio sito è eliminare l’utente admin e crearne uno con un altro nome. Possiamo cambiare il nome utente dell’amministratore da qui ma io consiglio di portarsi sul pannello Utenti e creare il nostro nuovo amministratore con un nome che non sia admin, administrator, amministratore, pippo e simili. A questo punto usciamo da WordPress e rientriamo con le nostre nuove credenziali. Se tutto funziona andiamo ad eliminare l’utente admin. Il risultato sulla dashboard di All in One WP Security and Firewall sarà il seguente:

wp username

Qui non esiste l’utente admin e il plugin ci da il punteggio massimo.

Il secondo Tab è Display Name da cui si può cambiare il nome utente visualizzato e sceglierne uno diverso da quello con cui ci si logga da amministratore. A che serve? A non far individuare il nome dell’amministratore del sito a malintenzionati e bot. Lasciando il nome visualizzato sugli articoli identico a quello con cui ci si logga da amministratore, equivale a lasciare come nome utente admin.

Il terzo Tab, Password, è davvero uno sfizio divertente. Serve a testare la robustezza della propria password. Si inserisce la password nell’apposito campo indicato e il plugin ci restituisce il livello di robustezza e il tempo stimato che impiegherebbero l’hacker ad individuarla.

password security

quanto tempo serve a craccare questa password?

USER LOGIN

Questa sezione permette di settare dei parametri per la messa in sicurezza della login, andando a mettere delle regole riguardo il numero di tentativi di accesso e permettendo la consultazione dei tentativi di accesso non autorizzati.

Il tab più importante è il primo: Login Lockdown.

login lockdown options

Spuntando la casella Enable Login Lockdown Feature, abilitiamo il sistema per monitorare i tentativi di accesso e impostare le misure difensive. La seconda voce. Allow Unlock Requests, serve a permettere agli utenti di ricevere una email per la richiesta di sblocco dell’account nel caso in cui un collaboratore del nostro blog, avendo dimenticato le credenziali, abbia effettuato un numero di tentativi di accesso sufficienti a far scattare il blocco.

Max Login Attempts invece serve a definire il numero massimo dei tentativi di accesso prima di venire bannati. Login Retry Time Period imposta il tempo, in minuti, in cui se avvengono dei tentativi di accesso non autorizzati, l’IP di provenienza viene bloccato e non può più accedere al pannello della login.

Time Lenght of Lockout imposta il tempo che deve trascorrere, in minuti, prima che l’utente bloccato abbia di nuovo accesso al pannello della login. Display Generic Error Message, se selezionato, restituisce all’utente bloccato un messaggio di errore “generico”. In pratica non gli fa sapere che è stato bannato temporaneamente per eccesso di tentativi falliti.

Instantly Lockout Invalid Usernames, se selezionato, blocca e banna temporaneamente sin dal primo tentativo tutti coloro che tentano di accedere al pannello di amministrazione del sito utilizzando un nome utente che non è mai stato registrato.

Notify by Email invece permette di inserire la propria email per ricevere una notifica quando qualcuno viene bloccato.

Passiamo ora alla seconda Tab, Failed Login Records che consiste semplicemente in una schermata che visualizza i tentativi di accesso falliti, l’indirizzo IP di provenienza ed il nome utente utilizzato. Tanto per ricordare quanto sia necessario non utilizzare ed eliminare l’utente admin, diamo uno sguardo ad uno di questi report.

failed login records

Come potete vedere il nome utente admin è stato utilizzato più volte. L’altro nome utente più utilizzato è stefano. Questo perché il proprietario del sito (stefano appunto) in precedenza aveva subito un attacco sferrato con successo, utilizzando il nome utente visibile sugli articoli e corrispondente al nome utente che aveva scelto per amministrare il sito.

Passiamo al Tab successivo, Force Logout. In questa sottosezione possiamo impostare un tempo massimo in cui l’amministratore può essere loggato. Al termine di questo periodo, il plugin All in One WP Security and Firewall forza la disconnessione e sarà necessario reinserire le credenziali per rientrare nella dashboard di WordPress. Per attivare questa funzionalità, bastera spuntare la casella “Enable Force WP User Logout” ed inserire un numero di minuti nel campo “Logout the WP User After XX Minutes“.

Il Tab Account Activity Logs è una vista che restituisce un elenco contenente informazioni circa gli accessi al sito, comprendendo: data, ora, nome utente, indirizzo Ip ed ID.

Logged in Users invece ci fa sapere chi sta loggato nel preciso istante in cui visualizziamo il contenuto di questa Tab.

USER REGISTRATION

Questa è una sezione che potremmo settare in altre pagine del nostro pannello di amministrazione senza ricorrere a questo plugin ma che, visto che c’è la possibilità, possiamo fare da qui. Contiene il Tab Manual Approval in cui possiamo spuntare l’opzione “Enable manual approval of new registrations” e decidere che i nuovi utenti registrati siano approvati manualmente dall’amministratore del sito ed il Tab Registration Captcha che se attivato inserisce un captcha sotto al modulo di registrazione di WordPress.

DATABASE SECURITY

In questa sezione possiamo andare, nella tab DB Prefix, a cambiare il prefisso delle tabelle di WordPress che di default è WP. Sappiamo bene quanto siano preziosi i nostri database. Non concediamo questo vantaggio a chi tenta di hackerare il nostro sito. Prima di procedere facciamo un bel backup del nostro database e poi procediamo al cambio del prefisso della tabella (se non lo abbiamo fatto in fase di creazione del nostro sito dal file config.php).

Il plugin permette di scegliere due modalità per il cambio prefisso: automatica o manuale. Con l’automatica, spuntando la voce “Check this if you want the plugin to generate a random 6 character string for the table prefix“, sarà il plugin stesso che genererà il prefisso. Inserendo il prefisso manualmente nel campo “Choose your own DB prefix by specifying a string which contains letters and/or numbers and/or underscores. Example: xyz_“, possiamo decidere noi quale prefisso utilizzare. Compiuta l’operazione, il plugin andrà a sostituire il vecchio prefisso dei database WP_ con il nuovo prefisso.

Nella Tab DB Backup invece possiamo schedulare i backup del database, facendoceli arrivare via email.

db backup

La schermata in cui impostare la schedulazione del backup

Si può decidere di fare un backup a mano tramite l’apposito pulsante azzurro “Create DB Backup Now”, oppure automatizzare il tutto selezionando la voce Enable Automated Scheduled Backups. Se si opta per questa seconda soluzione dovremo settare l’intervallo di tempo tra un backup e l’altro su Backup Times Interval, il numero di backups da conservare ( 2 andrà benissimo) e l’indirizzo email a cui inviare il backup che è stato fatto.

FILESYSTEM SECURITY

Questa sezione permette di mettere in sicurezza i file più importanti per il funzionamento di wordpress. Il primo Tab, File Permissions, ci restituisce una vista con lo stato dei permessi dei files in lettura-scrittura-esecuzione.  Se c’è qualche file che secondo All in One WP Security and Firewall ha permessi tali che non garantiscono la sicurezza necessaria contro le manomissioni, ce lo evidenzia e ci guida attraverso il settaggio dei giusti valori.

file permissions

Il plugin ci indica in verde i permessi dei files che sono a posto

Il secondo Tab, PHP File Editing, ci permette di disabilitare la visualizzazione dei file con estensione php dalla dashboard di WordPress. Questo serve ad impedire ad un eventuale hacker che è riuscito a violare le nostre credenziali e ad entrare nel pannello di amministrazione, di modificare i files che si visualizzano quando si clicca sulla voce “Editor” sotto il menù “Aspetto”.

Dal Tab WP File Access, possiamo impedire l’accesso ai file readme.html, wp-config-sample.php e license.txt che contengono informazioni sulla versione di WordPress utilizzata. Basterà selezinare la casella Prevent Access to WP Default Install Files.

L’ultima Tab di questa sezione è Hosting System Logs. Qui possiamo impostare una cartella personalizzata dove far confluire i file di log generati da WordPress. Il file di log possiamo scaricarlo con un client FTP ma volendo, possiamo visualizzarlo direttamente cliccando sul pulsante View Latest System Logs. Alcuni hosting hanno una cartella di destinazione dei log propria e non sono compatibili con questa funzionalità del plugin.

WHOIS LOOKUP

Questa funzionalità, è esattamente uguale a quella di tanti tools online per verificare chi sia il proprietario di un sito, chi è l’hosting ospitante, ecc…

BLACKLIST MANAGER

In questa sezione possiamo inserire manualmente gli IP e gli spambot che vogliamo bannare permanentemente. Questa modifica agisce direttamente sul file htaccess.

Ban Users

Popolando i campi con gli IP e gli SpamBot indesiderati, negheremo loro l’accesso al sito.

 

FIREWALL

Qui iniziamo a fare sul serio, andando ad implementare un sistema di firewall che supplisce alle carenze di molti hosting economici che non forniscono questa funzzionalità.

Il primo Tab è Basic Firewall Rules, ovvero le regole base del Firewall.

Inserendo la spunta su Enable Basic Firewall Protection potremo:

  • proteggere il file .htaccess negando l’accesso ad esso
  • Disattivare la firma del server
  • Limitare la dimensione dei file in upload ad un max di 10 MB
  • proteggere il file wp-config.php negando l’accesso ad esso

In WordPress Pingback Vulnerability Protection, potremo spuntare la voce Enable Pingback Protection, il che consentirà di difendersi da attacchi che sfruttano delle vulnerabilità del protocollo XML-RPC. Attenzione…se si utilizzano Plugin che sfruttano l’XML-RPC, questa opzione andrebbe deselezionata perché potrebbe causare il malfunzionamento di alcuni di loro.

L’ultima voce, Block Access to Debug.log File, se spuntata nega l’accesso al file di log del debug che abbiamo impostato precedentemente nel “Debug Settings”.

Passiamo ora alla Tab Additional Firewall Rules dove troveremo alcune voci da impostare.

firewall settings

La maschera della sezione Additional Firewall Settings

La prima voce, Listing of Directory Contents, andrebbe abilitata selezionando la casella “Disable Index Views“. In questa maniera neghiamo l’accesso alla lista dei file e delle cartelle contenute nel nostro sito.

Trace and Track, andrebbe ugualmente implementata spuntando la casella Disable Trace and Track. Serve per prevenire attacchi di tipo XST (Cross Site Tracking).

La voce che segue è Proxy Comment Posting e anche questa va implementata ponendo la spunta sulla voce Check this if you want to forbid proxy comment posting (proibisci). In questa maniera si inibisce l’utilizzo dei commenti agli utenti che si servono di server proxy e che nel 99,9% dei casi sono spam.

Bad Query String è la voce successiva da implementare. Una volta abilitata, pone una difesa contro gli attacchi XSS (Cross Site Scripting).

Di seguito troviamo la possibilità di abilitare un filtro per le query formate da stringhe di caratteri, utilizzate di solito per portare attacchi XSS. La sezione in cui abilitare i filtri è Advanced Character String Filter.

La voce 6G Blacklist Firewall Rules permette di applicare dei filtri che impediscono di utilizzare caratteri speciali all’interno della url per portare attacchi Exploit (un codice che sfrutta bug o vulnerabilità per acquisire privilegi all’interno del sito) o per inserire nella url delle stringhe che possono rivelarsi dannose. Il 6G è una semplice lista nera che controlla tutte le richieste URI e le confronta con le direttive inserite dal plugin nell’htaccess. Se c’è un match tra la stringa e il contenuto dell’htaccess, il plugin blocca l’attacco. La voce Enable legacy 5G Firewall Protection contiene le implementazioni precedenti. Io ho abilitato solo la prima.

Nella Tab Internet Bots troviamo una casellina da spuntare per bloccare l’accesso al sito dei Falsi Googlebots.

Successivamente troviamo la Tab Prevent Image Hotlink. Di cosa si tratta? A volte per alleggerire il proprio sito, qualcuno decide di inserire delle immagini sfruttando la url di quella presente sul sito di un altro. Basta cliccare con il tasto destro sulle immagini, copiare il link e incollarlo sul proprio sito. Questo genere un appesantimento della banda del sito da cui è stato prelevato il link dell’immagine. Con All in One WP Security and Firewall, da questa sezione, spuntando la casellina Prevent Image Hotlinking questa cosa si può impedire.

Il Tab successivo di questa sezione è 404 Detection. Serve a bannare quegli Ip dai quali provengono una certa quantità di accesso a pagine che non esistono (e che quindi restituiscono l’errore 404). Di solito i malintenzionati, praticano un attacco andando alla ricerca di una determinata URL, provocando richieste al server di un numero elevato di pagine in un brevissimo lasso di tempo. Questo tipo di attacchi il plugin lo isola attraverso la configurazione di questa sottosezione. Quindi andremo a spuntare la voce Enable 404 IP Detedtion and Lockout e stabilendo un lasso di tempo in minuti dentro il quale se si verificano molte pagine 404 provocate da un solo IP, questo viene reindirizzato sempre ad una pagina specifica (basta inserire in 404 Lockout Redirect URL un indirizzo a nostra scelta). Nella sezione, scorrendo in basso, possiamo anche visualizzare gli indirizzi utilizzati per l’attacco.

L’Ultima Tab di questa Sezione, Custom Rules, ci da la possibilità di inserire delle regole firewall personalizzate.

BRUTE FORCE

Non poteva mancare di certo una sezione che si occupasse di difenderci dagli attacchi Brute Force. Questa Sezione è composta da 4 tab. Il primo permette di scegliere una url diversa rispetto a www.miosito.com/wp-content per accedere al pannello di amministrazione. Si tratta del Tab Rename Login Page. Si deve spuntare la voce Enable Rename Login Page Feature e poi scegliere una parola da mettere al posto di wp-content.

brute force

Cambio indirizzo di accesso alla login del pannello di amministrazione di WordPress

La seconda Tab si chiama Cookie Based Brute Force Prevention e serve per inserire una parola segreta da digitare quando si accede al pannello di amministrazione del sito. Innanzi tutto bisogna spuntare la voce Enable Brute Force Attack Prevention. Poi inserire la Secret Word e scegliere una pagina dove reindirizzare in caso di attacco. Più in basso due caselle da spuntare se il sito utilizza la funzione di protezione con password wordpress per visualizzare alcune pagine (se volete farlo fate così: nel riquadro dedicato alla pubblicazione selezionate Visibilità e scegliete password e poi immettete la password) o se il vostro sito ha un tema o un plugin che utilizza Ajax. Nei 2 casi, queste ultime due selezioni dovranno essere abilitate perché altrimenti il plugin bloccherebbe queste funzionalità.

Tab Login Captcha, serve ad inserire un Captcha alle pagine di login e di recupero password. Molto intuitivo e semplice da comprendere.

Login Whitelist serve a scegliere gli IP che potranno accedere al pannello di amministrazione, bloccando tutti gli altri. Bisogna innanzi tutto spuntare la casella per abilitare la funzione e trascrivere gli IP consentiti nel riquadro sotto la voce Enter Whitelisted IP Addresses.

Infine c’è il Tab Honeypot che se abilitato, inserisce un campo nascosto agli utenti ma visibile ai bot. Quando il bot scansiona il sito e compila i campi della login o dei commenti, trova anche questo campo nascosto e lo compila. Compilandolo rivela al server si essere uno spam bot e gli viene negato l’accesso.

SPAM PREVENTION

Questa sezione è totlamente dedicata a combattere lo spam. Il primo tab è Comment Spam. Al suo interno abbiamo la possibilità di abilitare il Captcha sui form dei commenti e di attivare una protezione che blocca i commenti della maggior parte degli spambot.

La seconda Tab si chiama Comment Spam IP Monitoring e, attarverso le sue impostazioni, ci permette di:

  • specificare il numero di commenti minimi provenienti dallo stesso IP per essere considerati Spam ed essere bloccati permanentemente
  • applicare un filtro per elencare gli indirizzi IP che sono stati utilizzati per produrre commenti spam

La seconda voce si abilita compilando il campo Minimum number of SPAM comments per IP inserendovi 1 per elencare tutti gli IP che hanno prodotto commenti spam, oppure un valore numerico minimo per visualizzare solo gli IP che hanno prodotto più spam (ad esempio se mettiamo 10, il plugin visualizzerà solo quegli IP che hanno prodotto almeno 10 commenti spam).

Se infine utilizzi Buddy Press, potrai inserire anche un captcha nel suo form di registrazione (questo nell’ultima Tab).

SCANNER

Questa sezione è dedicata al monitoraggio degli eventi sul sito. La prima Tab è File Change Detection. Abilitandola ed inserendo un indirizzo email, sarai avvisato ogni volta che un file del sito viene modificato. L’implementazione è intuitiva e lascio alla figura in basso il compito di illustrarvela. Attenzione… questa funzione può essere settata in modo da rilevare le variazioni ogni tot. di giorni. Se nel frattempo aveste aggiornato qualche plugin o se il core di WordPress si sia aggiornato automaticamente, è normale ricevere una email con la notifica che il contenuto di alcuni files è cambiato.

file change detection

La schermata per impostare i parametri della sezione File Change Detection

Il Tab successivo ospita l’antivirus, ovvero Malware Scanner. E’ collegato ad un servizio esterno e per abilitarlo bisogna iscriversi al servizio (a pagamento). La scansione è comunque disponibile manualmente cliccando sul bottone “Esegui scansione ora” che trovate sulla tab precedente.

Il terzo Tab è DB Scan e serve a monitorare lo stato di salute dei database in relazione a stringhe sospette. Attualmente (Aprile 2016) il servizio non è disponibile a seguito di numerosi falsi positivi che sono stati riscontrati.

MANUTENZIONE

Questa sezione con la sicurezza c’entra poco ma può essere sempre utile. Si tratta semplicemente della possibilità offerta da All in One WP Security and Firewall di mettere il sito in modalità manutenzione, con tanto di messaggio di cortesia.

MISCELLANEOUS

È l’ultima sezione del plugin e contiene tre Tab.

Copy Protection: Disabilita il tasto destro e l’opzione copia dal frontend del sito.

Frames: Impedisce ad altri siti di visualizzare i vostri contenuti in un frame o iframe

Users Enumeration: WordPress enumera gli utenti assegnandogli un id in progressione. Utenti malintenzionati o bot potrebbero sfruttare questa caratteristica per risalire agli utenti semplicemente inserendo dopo la url una stringa del tipo “/?author=1”. Mettendo la spunta su Disable User Enumeration risolveremo anche questo problema, restituendo alla richiesta una pagina “forbidden”.

CONCLUSIONI

Come detto ad inizio articolo, ho subito provato curiosità per questo All in One WP Security and Firewall ed ho voluto provarlo. Il banco di prova più impegnativo per lui è stato il sito del mio amico Stefano (vi ricordate? Quello che aveva messo come username lo stesso nome scelto per l’account di amministratore).

Questo sito era gravemente compromesso e puntualmente, una volta ogni 15 giorni, mi chiedeva di ripristinarlo a seguito di un attacco che lo comprometteva.

Alla fine ho deciso che era il momento di dirgli che doveva rifarlo da capo affidandosi a uno bravo (non mi sono candidato ma il messaggio era implicito… 🙂 ). Poi però ci ho ripensato e dopo avergli cambiato nome utente, ho voluto tentare di utilizzare All in One WP Security and Firewall. Non vorrei dirlo per scaramanzia ma sono ormai 8 mesi che il sito è in piedi senza subire compromissioni.

Giudico questo plugin molto completo ed altamente affidabile. Non dico che è impenetrabile perché la sicurezza al 100% non esiste. Ma se si fanno frequentemente dei backup ai files ed ai database e a questa attività si affianca questo plugin, direi che si può essere molto tranquilli.

Il plugin è disponibile in italiano su installazioni di WordPress in lingua “it”.

Se il vostro sito da problemi di sicurezza il consiglio è di provare questo plugin. La semplicità di configurazione, arma in più rispetto ad altri plugin simili, lo rendono ideale anche per essere utilizzato da principianti. Ma questo non vuol dire che la protezione garantita sia poco efficace… tutt’altro.

Chiudo inserendo sotto il video ufficiale del produttore del plugin All in One WP Security and Firewall, che ne mostra le funzionalità in poco meno di 4 minuti.

AD

About the author

Flavio

Mi trovo nel campo del web dal 2006. Nel tempo mi sono specializzato soprattutto nell’indicizzazione,  nel posizionamento di siti internet e nell’utilizzo dei social media principali a fini di marketing.

Be the first to comment

Leave a comment

Your email address will not be published.


*


*