Wordfence: verifica, manutenzione e prevenzione

Nell’ambito della sicurezza dei siti WordPress, Wordfence può essere considerato tanto un’alternativa quanto una soluzione complementare ad altri plugin come iThemes Security. Le sue funzioni, infatti, pur essendo in parte simili in alcuni ambiti (come il monitoraggio e l’eventuale blocco del traffico ‘sospetto’) sono in altri casi molto particolari ed è difficile ritrovarli in altri plugin.

In particolare si distingue per l’opzione relativa alla scansione e il confronto dei file di WordPress e dei suoi componenti (temi e plugin) mirata al rilevamento di codice sospetto, con relativo ripristino del file corretto in caso di esito positivo, per il monitoraggio degli accessi al sito in tempo reale con possibilità di identificare e bloccare anche manualmente attività anomale e potenzialmente pericolose, e per la funzione di caching che riesce a velocizzare le prestazioni del sito in modo notevole, permettendoci di evitare l’installazione di plugin dedicati a questa funzione comunque importante soprattutto quando il sito è ospitato su un hosting di tipo condiviso e di conseguenza con prestazioni non particolarmente eccezionali.

 

Il miglior manuale per proteggere
il tuo sito Web creato con WordPress.

ACQUISTALO ORA!

Disinfestazione, protezione e… velocità

Wordfence è uno dei due plugin più potenti per la protezione dei siti WordPress dagli attacchi informatici, ma le sue funzionalità non si limitano, come vedremo fra poco, soltanto a creare un sistema di monitoraggio e di blocco degli attacchi dei pirati informatici, bensì consentono di ripristinare eventuali file del sito WordPress che siano stati infettati da codice malevolo e, come bonus aggiuntivo, offrono un sistema di ottimizzazione che permette di velocizzare il sito. Come per molti altri plugin di qualità, anche Wordfence è presente in una versione gratuita di base, pubblicata sull’area di WordPress.org ufficiale dedicata ai plugin (Figura 2.2), e in una versione commerciale (‘premium’) a pagamento pubblicata sul sito ufficiale dello sviluppatore. Descriveremo principalmente la prima versione, gratuita, dedicando poi qualche riga anche alla versione premium per illustrare le funzionalità extra introdotte rispetto a quella gratuita.

Figura 2.1 - La mappa degli attacchi informatici ai siti WordPress di tutto il mondo visualizzati in tempo reale sulla home page del sito ufficiale di Wordfence

Figura 2.1 – La mappa degli attacchi informatici ai siti WordPress di tutto il mondo visualizzati in tempo reale sulla home page del sito ufficiale di Wordfence

Installare Wordfence in versione gratuita

Come tutti i plugin gratuiti presenti sull’area ufficiale di WordPress.org, anche Wordfence può essere installato semplicemente utilizzando la funzione di ricerca presente nella schermata Installa Plugin (richiamabile da Plugin->Aggiungi Nuovo) con la parola chiave wordfence security assicurandosi di selezionare proprio il plugin vero e proprio e non uno di quelli derivati e sviluppati da terze parti (dovrebbe comparire in genere al primo posto e avere un voto col massimo delle stellette).

Cliccando su Installa adesso sotto il nome del plugin e confermando la richiesta col pulsante OK nella finestra che compare, il file compresso del plugin sarà come sempre scaricato da WordPress.com e verrà visualizzato il messaggio della corretta installazione con il link per l’attivazione (Attiva Plugin), cliccando sul quale l’operazione di installazione sarà completata.

Figura 2.2 - La pagina della versione gratuita di Wordfence sull’area ufficiale dei plugin di WordPress.org, da cui è possibile desumere il numero della versione più recente e molte altre informazioni

Figura 2.2 – La pagina della versione gratuita di Wordfence sull’area ufficiale dei plugin di WordPress.org, da cui è possibile desumere il numero della versione più recente e molte altre informazioni

Registrazione e tour guidato

Appena attivato, Wordfence visualizza una finestra in cui richiede di inserire l’indirizzo email dell’amministratore del sito (Figura 2.3) per avere la possibilità di inviare messaggi di avviso al sorgere di qualche problema o semplicemente quando vi sia la necessità di un aggiornamento oppure di verificare qualcosa di potenzialmente pericoloso. È importante, quindi, inserire nel campo col messaggio Enter your email il nostro indirizzo di posta elettronica principale, cliccando poi sul pulsante Get Alerted per confermarlo e attivare così gli avvisi per il futuro. Il quadratino sotto il pulsante, che troviamo già spuntato, ci permette di ricevere in email anche aggiornamenti con gli avvisi e le notizie di sicurezza pubblicati periodicamente dagli sviluppatori di Wordfence, ed è consigliabile lasciarlo attivo quando si conferma l’indirizzo di email: sarà necessario cliccare sul link di conferma presente nel primo messaggio, ricevuto dopo quest’operazione, a meno che non siamo già iscritti alla newsletter di Wordfence (in tal caso sarà visualizzato un messaggio che ce lo comunica).

Nella parte inferiore della finestra troviamo infine due pulsanti: il primo, Start Tour, avvia un tour guidato che illustra (in inglese) le diverse aree di configurazione del plugin, mentre il secondo (Close) chiude semplicemente la finestra e ci permette di accedere manualmente a tale configurazione.

Figura 2.3 - La finestra che compare subito dopo l’installazione e attivazione di Wordfence, con il campo per inserire il proprio indirizzo email e ricevere così gli avvisi di sicurezza dal plugin

Figura 2.3 – La finestra che compare subito dopo l’installazione e attivazione di Wordfence, con il campo per inserire il proprio indirizzo email e ricevere così gli avvisi di sicurezza dal plugin

Opzioni e configurazione di Wordfence

Noteremo subito la nuova voce Wordfence (Figura 2.4) che il plugin aggiunge alla barra dei menu di amministrazione di WordPress, da cui possiamo selezionare subito Options per accedere alla schermata di configurazione principale, Wordfence Options, dove potremo attivare alcune opzioni molto importanti.

La prima, nella sezione Basic Options, è Automatically updates Wordfence to the newest version within 24 hours of a new release, che aggiorna appunto il plugin entro 24 ore dalla pubblicazione di una nuova versione.

La seconda, nella sezione Alerts, è Email me when Wordfence is automatically updated e ci avvisa appunto ogni qualvolta Wordfence viene aggiornato; nella stessa sezione possiamo anche attivare l’opzione Alert me when a non-admin user signs in, che ci avvisa ogni qualvolta un utente con ruoli diversi da amministratore accede al sito loggandosi.

Figura 2.4 - La nuova voce Wordfence introdotta dopo l’installazione e attivazione del plugin e le diverse opzioni disponibili

Figura 2.4 – La nuova voce Wordfence introdotta dopo l’installazione e attivazione del plugin e le diverse opzioni disponibili

Infine, nella sezione Scans to include, possiamo attivare Scan theme files against repository versions for changes e Scan plugin files against repository versions for changes, che verificano rispettivamente le eventuali modifiche ai file di temi e plugin (solo quelli gratuiti e ufficiali) e ci avvisano se quelli, integri e verificati, presenti sul nostro sito sono diversi da quelli conservati da Wordfence sul suo server.
Per il momento possiamo confermare il tutto cliccando sul pulsante Save Changes presente nella parte bassa della schermata, più avanti daremo uno sguardo alle altre opzioni per capire quali potrebbero essere di ulteriore utilità ai fini della sicurezza del nostro sito.

Scansione del sito a caccia di codice malevolo

Possiamo a questo punto utilizzare la prima, importantissima opzione di Wordfence, ovvero Scan, per effettuare un controllo su tutti i file del nostro sito WordPress e verificare se al loro interno fosse presente del codice malevolo introdotto da un attacco informatico. Nella schermata Wordfence Scan, che raggiungiamo usando l’opzione Scan del plugin, troveremo un pulsante che avvia appunto il controllo e due finestre in cui saranno visualizzati in tempo reale i risultati della scansione (Figura 2.5). Nella parte bassa della schermata troviamo, invece, due schede che conterranno rispettivamente i nuovi elementi di sicurezza da gestire (New Issues) e quelli che avremo scelto di ignorare perché riconosciuti come innocui (Ignored Issues).

Wordfence effettua una serie di controlli, confrontando per esempio i file principali di WordPress con quelli ‘integri’ originali per verificare eventuali modifiche, verificando la presenza di file aggiuntivi che sono stati già identificati come pericolosi, confrontando le URL presenti nei contenuti e nei commenti con quelli ‘bannati’ da Google, e così via. Ogni volta che uno di questi controlli dà esito negativo viene visualizzato il messaggio verde Success o Secure, mentre per tutti gli eventuali problemi (potenziali o reali) individuati sarà visualizzato il messaggio rosso Problems Found.

Figura 2.5 - La schermata Wordfence Scan raggiungibile dalla prima opzione (Scan) del plugin, si noti il pulsante che avvia la scansione di controllo dei file del sito e le due finestre che ne visualizzano i dettagli in tempo reale, con i diversi esiti del controllo

Figura 2.5 – La schermata Wordfence Scan raggiungibile dalla prima opzione (Scan) del plugin, si noti il pulsante che avvia la scansione di controllo dei file del sito e le due finestre che ne visualizzano i dettagli in tempo reale, con i diversi esiti del controllo

Proteggi il tuo sito!

Una guida pratica ai due popolari plugin gratuiti per prevenire gli attacchi informatici a WordPress.