iThemes Security – Guida 2018 per proteggere il tuo sito WordPress

Se hai un sito internet devi assolutamente proteggerlo da attacchi hacker o da virus. Per questo motivo, ho creato questo articolo su come proteggere il proprio sito WordPress con il plugin iThemes Security.

Se hai un negozio online con Woocommerce, dove vendi prodotti o servizi, allora devi assolutamente proteggerti per non rischiare di perdere tutto il lavoro fatto in precedenza.

E ti spiego anche il perchè?

Facciamo finta che sono anni che lavori su un sito internet, sulla quale hai speso parecchi soldi sulla realizzazione e sul mantenimento, e dopo tanti sforzi finalmente hai un guadagno costante. Dopo tutti questi sforzi, un bel giorno ricevi un qualsiasi attacco hacker che ti mette offline il sito internet o ti inserisce un virus.

Se succede una cosa del genere perderai la fiducia dei tuoi visitatori e di Google, portandoti a non guadagnare più 1 Euro.

Come puoi capire la sicurezza è fondamentale se no rischi di buttare ore o addirittura anni di lavoro per una cavolata.

Come migliorare la sicurezza del proprio sito internet?

Facile, basta che:

• Usi un buon hosting per WordPress.
• Aggiorni i plugin e i temi;
• Non installare plugin poco usati o che non sono aggiornati da anni.
• Usa password difficili.
• Installa un plugin per la sicurezza.

Con questi 5 suggerimenti migliorerai di tantissimo la sicurezza del tuo sito internet.

Per quanto riguarda il plugin  consiglio iThemes Security Plugin, adesso andiamo a vedere nel dettaglio come configurarlo.

Installare e configurare il plugin iThemes Security

Per iniziare a usare questo plugin bisogna installarlo, per farlo:

1. Accedere al pannello admin  (www.miosito.com/wp-admin/
2. Appena entrato andare in Plugin – Aggiungi nuovo, che si trova nella barra di sinistra.
3. Nella pagina che avrai davanti cercare iThemes Security e installalo.
4. Dopo averlo installato bisogna attivarlo.

In pochi minuti hai installato il plugin per proteggere il tuo sito WordPress.

Dopo aver installato iThemes Security ti comparirà, nella barra di sinistra, la sua sezione dedicata.

Settings

Cliccando nella voce “Settings” verrai indirizzato in una pagina simile a quella che vedi nell’immagine sotto.

Praticamente ti viene chiesto di cliccare sul bottone “Secure Site” per poter realizzare alcuni cambi per aumentare la sicurezza del tuo sito WordPress.

Personalmente preferisco configurare personalmente tutte le opzioni, per questo motivo ti consiglio di chiudere la finestra cliccando sul bottone “Close”.

Logs

Andando nella sezione Logs troverai tutte attività sospette che sono state bloccate da iThemes Security.

In caso di errori o attacchi avrai una lista con una descrizione del problema.

Quindi consulta questa pagina ogni tanto cosi da essere sicuro di non avere problemi di nessun genere.

Go Pro

Cliccando su “Go Pro” verrai indirizzato sul sito ufficiale di iThemes Security nella quale potrai scegliere se passare alla versione a pagamento e usufruire delle funzioni premium.

Personalmente non lo consiglio se hai un sito piccolo o medio, perchè sarebbe un costo troppo elevato. Se invece hai un sito molto grosso allora sei costretto a prendere la versione premium per essere tranquillo al 99%.

Settings

Questa è la sezione più importante di questo plugin, è dove andiamo a configurare il plugin andando ad attivare le vari funzione per aumentare la sicurezza del proprio sito.

Prima di entrare nella configurazione di ogni elemento di sicurezza , voglio farti notare i 3 dati indicati nell’immagine sotto [All (32), Recommended (26) e Advanced (6)]

• All (32). Indica il numero totale delle funzioni disponibile per aumentare la sicurezza del sito.
• Recommended (26). Sono le funzioni che iThemes Security ti consiglio di abilitare.
• Advanced. (6) Sono quelle funzioni non strettamente necessarie ma che abilitandole aumenteranno ulteriormente la sicurezza del sito.

Nel resto dell’articolo ti indicherò le funzioni da abilitare e quali no.

Le configurazioni raccomandate di iThemes Security

Global Settings

Andare nella scheda Setting e nella schermata che ti troverai davanti andare nel box Global Setting e fare click su Configure Setting.

Nella scheda che si aprirà dovrai configurare le varie funzioni nel seguente modo:

• Write to Files. È da attivare. Serve per abilitare il plugin a modificare il file .htaccess di WordPress.
• Email notification. Inserire l’email dove ricevere gli eventuali errore o messaggi importanti riguardante la sicurezza del sito.
• Host Lockout Messag. Inserire il messaggio di quando un computer (host) viene bloccato.
• User Lockout Message. Il messaggio da far vedere all’utente che è stato bloccato.
• Community Lockout Message. Messaggio da mostrare quando l’IP di un utente è stato contrassegnato come non valido.
• Blacklist Repeat Offender. Funzione da attivare. Praticamente verranno inseriti nella lista nera tutti quei IP sospetti.
• Blacklist Threshold. Lasciamo il valore 3.
• Blacklist Lookback Period. Lasciare il valore 7. Si intende per quanto tempo quel determinato IP deve rimanere nella lista nera.
• Lockout Period. Lasciamo 15 minuti. Si intende il periodo di tempo in cui un host o un utente verranno bannati dal sito dopo aver raggiunto il limite di accessi non validi.
• Lockout White List. Inserire tutti quei IP che non devono essere bannati.
• Log Type. Lasciamo Database Only.
• Days to Keep Database Logs. Lasciare il valore 60 days.
• Tutte le restanti funzioni non sono da abilitare.

Alla fine devi salvare tutte le modifiche fatte.

404 Detection

Ti consiglio di abilitare questa funzione e di non modificare le impostazioni in questa sezione.

Away mode

Questa funzione ti permette di dare la possibilità di accedere al pannello admin di WordPress solo in determinati orari. Personalmente non ho mai abilitato questa funzione perchè voglio avere sempre la possibilità di accede al pannello del mio sito.

Banned Users

In questa sezione puoi bannare IP specifici. Questo è molto utile se sei sicuro che quel determinato IP è dannoso.

Database Backups

Questa funzione può essere molto utile perchè ti crea il backup del database in modo manuale o automatico.

Se desideri ricevere via email i backup ogni settimana basta cliccare in Configure Setting (del box Database Backups) e nella schermata che ti troverai davanti devi:

• Impostare Email come Backup Method.
• Abilitare la funzione Schedule Database Backups e impostare ogni quanti giorni ricevere il backup del database.

File change detection

Ti consiglio di non abilitare questa funzione perchè si rischia di ricevere tantissime email di falsi allarmi.

File permissions

In questa sezione potrai vedere i permessi delle cartelle e dei file più importanti di WordPress.

Cliccando su Show Details vedrai la lista con i rispettivi permessi e con quelli consigliati.

Cliccando su Reload File Permissione Details ti modificherà in modo automatico tutti i permessi dei file più importanti.

Se vuoi essere sicuro al 100% ti consiglio di mettere i permessi consigliati, ovviamente avrai qualche rottura di scatole per eventuali installazioni o aggiornamenti di plugin o di WordPress.

Local Brute Force Protection

Questa funzione è assolutamente da abilitare, lasciando tutte le impostazioni di default.

In pratica, serve per proteggere il sito da quelle persone che vogliono accedere al pannello di amministrazione provando a indovinare i dati di accesso.

Network Brute Force Protection

Anche questa funzione è da abilitare.

Per poter abilitare questa protezione devi cliccare su Configure Setting e inserire la tua email.

Grazie a questa opzione, sfrutterai la protezione della rete globale di sicurezza di iThemes Security nella quale vengono segnalati tutti i bug o tentativi di attacco hacker.

Se in un sito, che fa parte del network, riceve un nuovo attacco hacker questo verrà segnalato e proteggerà tutti i siti del network.

Quindi Attivala!!!!!

SSL

Personalmente ti consiglio di non abilitare questa funzione perchè, per questo tipo di cose, si tende a non usare plugin ma di farlo manualmente.

Questa funzione serve per abilitare il protocollo SSL che aumenta la sicurezza della comunicazione tra visitatore e browers.

Tutti i nuovi siti devono usare il protocollo SSL. Per sapere se un sito sta usando questo tipo di protocollo ti basta guardare l’indirizzo del sito, se inizia con https allora la funzione è abilitata, se invece inizia con http allora no.

Strong Password Enforcement

Abilitando questa funzione vuoi che tutti gli utenti abbiano una password sicura.

Se per esempio, crei un utente con i permessi da amministratore e inserisci una password molto facile (esempio 123456), iThemes Security ti darà un errore dicendoti di impostare una password più difficile.

Quindi abilita questa funzione.

System Tweaks

In questa sezione possiamo abilitare alcune funzioni per proteggere il nostro sito WordPress.

Il mio consiglio è quello di abilitarlo.

Appena avrai abilitato questa funzione, ti comparirà una schermata con le seguenti opzioni:

• System Files – Funzione da abilitare.
• Directory Browsing – Funzione da abilitare.
• Request Methods – Funzione da abilitare.
• Suspicious Query Strings – Non abilitare questa funzione.
• Non-English Characters – Non abilitare questa funzione.
• Long URL Strings – Funzione da abilitare.
• File Writing Permissions – Non abilitare questa funzione. Potrebbe darti dei problemi durante l’installazione o l’aggiornamento dei plugin.
• PHP in Uploads – Funzione da abilitare.
• PHP in Plugins – Funzione da abilitare.
• PHP in Themes – Funzione da abilitare.

WordPress Salt

Se vuoi una protezione assoluta allora devi abilitare questa funzione.

Cliccando su Configure Setting, ti si aprirà una scheda nella quale dovrai mettere la spunta per abilitare questa protezione avanzata.

Twist WordPress

In questa ultima sezione ci sono altre funzioni da abilitare per migliorare ulteriormente la sicurezza del nostro sito.

Clicca su Configure Setting e nella scheda che ti verrà fuori ti consiglio di configurarlo nel seguente modo:

• Windows Live Writer Header – Funzione da abilitare.
• EditURI Header – Funzione da abilitare.
• Comment Spam – Funzione da abilitare.
• File Editor – Questa funzione dev’essere disabilitata.
• XML-RPC – Funzione da abilitare.
• Multiple Authentication Attempts per XML-RPC Request – Lascia il valore di default ( block).
• REST API – Lascia il valore di default (Restricted Access).
• Login Error Messages – Funzione da abilitare.
• Force Unique Nickname – Funzione da abilitare.
• Disable Extra User Archives – Funzione da abilitare.
• Protect Against Tabnapping – Funzione da abilitare.

Questi erano le impostazioni raccomandate per migliorare la sicurezza del tuo sito con il plugin WordPress iThemes Security.

Le configurazioni avanzate di iThemes Security

Dopo aver migliorato la sicurezza del nostro sito WordPress, con le impostazioni raccomandate, adesso andiamo a rendere il nostro sito ancora più sicuro abilitando delle funzioni avanzate.

Per prima cosa andare nella scheda Setting.

Poi andare nella pagina delle funzioni avanzate, ti basterà cliccare sulla voce Advanced.

Come puoi vedere dall’immagine sopra le funzioni avanzate sono 6. Andiamo a vederli nel dettaglio.

Cambiare nome utente Admin (Admin User)

Tutti i siti WordPress devono avere un utente amministratore, che è l’utente che crea WordPress durante l’installazione.

Se il tuo utente è admin , con questa funzione puoi modificare il nome e anche il suo ID.

Se durante l’installazione di WordPress hai modificato il nome di amministratore (raccomandato) comunque il tuo ID rimarrà lo stesso (valore 1).

Con questa funzione di iThemes Security aumenterai moltissimo la sicurezza del tuo sito.

Quindi cambia il nome utente e il tuo ID.

Se hai già un sito avviato fai prima un backup.

Dopo aver salvato ti dovrai collegare nuovamente con i nuovi dati.

Cambiare cartella Wp-Content

Tutti i plugin, i temi e le immagini sono all’interno della cartella wp-content.

Questa cartella è molto vulnerabile, infatti tanti hacker sfruttano i plugin o i temi non aggiornati per accedere al tuo sito.

Per risolvere questo problema possiamo cambiare il nome della cartella wp-content.

Per farlo basta cliccare su Configure Setting nel box Change Content Directory.

Nella scheda che si aprirà inserire il nuovo nome della cartella.

Cambiare prefisso database di WordPress

Con la funzione “Change Database Table Prefix” puoi cambiare il prefisso del database di WordPress.

Se durante l’installazione di WordPress non hai modificato niente, allora le tabelle del tuo database iniziano con il prefisso wp_ .

Questa informazione è molto utile agli hacker.

Quindi abilita la funzione e metti il prefisso che preferisci.

Modificare pagina login WordPress

Con la funzione “Hide Backend” puoi cambiare  l’URL di Login wp-login e wp-admin.

Abilitando questa funzione aumenterai notevolmente la sicurezza del tuo sito, questo perchè i malintenzionati non sapranno la pagina per poter inserire i dati per accedere al pannello di controllo.

Il problema di modificare la pagina di login di WordPress è che se ti scordi il nuovo indirizzo avrai grossi problemi ad accedere se non sei un utente esperto.

Il mio consiglio però è quello di non sfruttare questa funzione visto che abbiamo abilitato in precedenza il brute force protection.

wp-config.php Rules

In questa sezione ti verranno indicate le modifiche che dovrai fare nel file wp-config.php per poter abilitare alcune funzioni che hai scelto in precedenza.

Conclusioni

Ti ho fatto vedere nel dettaglio la configurazione del plugin iThemes Security. Grazie a questo articolo avrai un sito sicuro e senza problemi di sicurezza.

Però attenzione, questo plugin ti aiuta ad aumentare la sicurezza ma poi dipende anche da cosa fai te.

Nel senso che se installi dei plugin sconosciuti o dai i dati di accesso a persone sconosciute allora nessun plugin ti potrà proteggere.

Quindi fai sempre attenzione.