iThemes Security: stato di protezione e impostazioni

iThemes Security offre una panoramica completa di tutti i fattori di sicurezza che è possibile monitorare e gestire, aggiornando ogni aspetto man mano che viene configurato all’interno delle sue diverse aree di configurazione. Ogni elemento legato alla sicurezza viene classificato per il suo grado di priorità ed è gestibile in maniera completa ed efficiente, assicurando così la massima protezione nel suo ambito specifico.

In questo terzo articolo della serie dedicata a iThemes Security daremo uno sguardo alla sua schermata principale, detta Dashboard, e all’area delle impostazioni principali accessibile (Settings).

Monitoraggio dello stato di protezione

Nella parte intermedia della schermata principale di iThemes Security (Dashboard) troviamo un’area che raccoglie tutte le informazioni sullo stato di protezione del nostro sito (Figura 1.7), identificata come Security Status.

Anche quest’area contiene delle schede, stavolta dedicate ai diversi elementi di sicurezza, ovvero le vulnerabilità e le falle ancora presenti nel sito oppure già risolte. Nella prima scheda (All) sono raccolti tutti i fattori di sicurezza gestiti da iThemes Security, mentre nelle tre seguenti essi vengono suddivisi per grado di importanza: alto, medio e basso (High, Medium, Low). L’ultima scheda, Completed, contiene invece tutti quegli aspetti della sicurezza che sono stati già risolti.

Questa prima area elenca quindi tutti i fattori di sicurezza, identificati anche con un colore diverso a seconda del grado di priorità, e se abbiamo già attivato la prima fase di protezione, usando il pulsante One-Click Secure presente nella finestra preliminare di iThemes Security, una parte delle voci previste sarà stata già ‘archiviata’ nella sezione Completed.

In ogni caso sarà bene esaminare uno per uno i diversi fattori di sicurezza gestiti da iThemes Security, partendo da quelli eventualmente già risolti e presenti appunto nella scheda Completed, in modo da avere un quadro completo delle falle e delle minacce che possono danneggiare il nostro sito.

Impostazioni di sicurezza fondamentali

Se abbiamo già attivato con successo le funzioni di protezione principali con il pulsante One-Click Secure presente nella prima finestra visualizzata da iThemes Security troveremo, nella scheda Completed dell’area Security Status, un elenco di voci (Figura 1.8) con il segno di spunta a sinistra e un pulsante Edit a destra: quest’ultimo ci permetterà di accedere eventualmente alle rispettive configurazioni attraverso le altre due schermate di configurazione del plugin (Settings e Advanced).

In queste due schermate sarà possibile, come vedremo più avanti, navigare per mezzo di un menu apposito che aiuta a individuare le diverse aree visto che si tratta di schermate lunghissime e ricche di opzioni. Cliccando sul pulsante Edit presente di fianco a ogni voce dell’area Security Status verremo comunque posizionati direttamente nell’area delle impostazioni relativa allo specifico aspetto di sicurezza scelto e sarà visualizzata temporaneamente una colorazione di sfondo che ci aiuta a individuare le opzioni corrispondenti. Esamineremo ogni singola opzione separatamente, per maggiore chiarezza, in modo da conoscere le specifiche opzioni che la riguardano, ma prima di tutto sarà utile dare uno sguardo alle impostazioni generali (Global Settings) di iThemes Security.

Le impostazioni generali (Global Settings)

Cliccando sulla scheda Settings nella schermata delle impostazioni di iThemes Security accederemo alla lunghissima pagina contenente la maggior parte delle aree di configurazione collegate ai diversi aspetti di sicurezza gestiti dal plugin.

La prima di queste aree (Global Settings) include tutte le impostazioni generali e nella parte iniziale (Figura 1.9) contiene l’opzione che permette a iThemes Security di scrivere nei file wp-config.php e .htaccess, attivata dal pulsante Allow File Update che abbiamo visto nella prima finestra visualizzata dopo l’installazione del plugin.

A seguire troviamo i due campi che contengono rispettivamente l’indirizzo email cui inviare le notifiche di iThemes Security e i file di backup del database. I due campi seguenti, Host Lockout Message e User Lockout Message, ci permettono di personalizzare eventualmente i messaggi visualizzati quando un indirizzo IP o un utente vengono bloccati a seguito di operazioni che il plugin ha valutato come potenzialmente pericolose per la sicurezza.

Blacklist e Whitelist

L’opzione Blacklist Repeat Offender della scheda Global Settings (Figura 1.10) autorizza iThemes Security a inserire nella ‘lista nera’ ogni indirizzo IP che fosse stato bloccato un certo numero di volte: potremo definire il numero di blocchi necessari nel campo successivo, Blacklist Threshold, stabilendo anche il numero di giorni in cui ‘ricordare’ i blocchi e conteggiarli (Blacklist Loopback Period) e la durata del singolo blocco (Lockout Period), ovvero per quanti minuti l’indirizzo IP incriminato non sarà in grado di accedere al sito.

Il campo Lockout White List ci permette, invece, di stabilire uno o più indirizzi IP che non potranno mai essere bloccati (inseriti su righe separate), particolarmente utile se noi stessi oppure altri utenti autorizzati ad accedere al sito utilizziamo indirizzi IP fissi, per esempio in una rete aziendale. Potremo usare anche l’asterisco come ‘carattere jolly’ (wildcard) per definire degli indirizzi di rete più ampi come mostrato negli esempi visualizzati sotto il campo. Il pulsante Add my current IP to Whitelist ci permette di inserire automaticamente il nostro indirizzo IP corrente nell’elenco.

I report di sicurezza (log)

La parte finale delle impostazioni generali (Figura 1.11) comprende, fra le altre, l’opzione per l’invio di notifiche in email da parte del plugin (all’indirizzo definito nelle opzioni precedenti) e le modalità di gestione del log, ovvero il rapporto relativo a tutti gli eventi monitorati e gestiti dal plugin. Riguardo a quest’ultimo aspetto, abbiamo tre diverse opzioni: Log Type ci permette di stabilire se il log sarà salvato in un file (File Only), nel database (Database Only) o in entrambi (Both), Days to Keep Database Logs stabilisce per quanti giorni dovrà essere conservato il log nel database (sarà comunque azzerato quando il file raggiunge i 10 megabyte), mentre Path to Log Files definisce il percorso in cui il file di log sarà memorizzato, anche in questo caso resettabile a quello predefinito usando il pulsante che troviamo sotto il campo.

Le ultime due opzioni di questa sezione riguardano il permesso di raccogliere dati statistici sull’uso dei plugin da parte di iThemes Security (Allow Data Tracking) e la disattivazione delle funzioni di blocco dei file (Disable File Locking) nel caso il server non abbia le funzioni necessarie a permettere questa funzione a iThemes Security.