Hai appena creato il tuo sito su CMS WordPress ma temi per le possibili intrusioni di hacker ecc, che potrebbero ditruggere tutto il tuo lavoro? Se é così, é giunta l’ora di installare un Plugin per “difendere” e mettere al sicuro il tuo portale. In questi casi, la soluzione migliore e più immediata é l’installazione di Wordfence. Se non sai come gestire il plugin, non preoccuparti, ti aiuto io! Qui ti farò vedere come regolare le impostazioni di Wordfence.
Faccio una premessa: installare un plugin per la protezione del sito non é l’unica operazione da fare, ma é quella più immediata se non si hanno molte conoscenze e capacità. Prima di tutto devi operare sul file .htaccess (presente nella directory principale del tuo sito web), ed inserire regole come il Firewall 7G, ma se proprio non hai idea di cosa sia questo file e vuoi tamponare le possibili problematiche di sicurezza del tuo primo sito web, Wordfence puó fare tutto in automatico, a patto che vengano regolate le impostazioni nella maniera corretta. Ma vediamo subito come fare.
Come regolare le impostazioni di Wordfence
In questo articolo mi riferisco a chi ha poche conoscenze e capacità, ma una base minima é richiesta anche se Wordfence andrà ad inserire tutte le informazioni in automatico nei vari file! Ma cos’é Wordfence? Wordfence è un plug-in di sicurezza per i siti Web basati su WordPress. Offre funzionalità come scansione malware, protezione firewall, sicurezza dell’accesso e autenticazione a due fattori per aiutare a proteggere i portali online da tentativi di hacking e altre minacce alla sicurezza.
Dopo aver installato il plugin Wordfence, recati nella bacheca del tuo sito WordPress e scorri sulla colonna di sinistra fino a trovare “Wordfence”, passa quindi il puntatore del mouse sopra la dicitura e scegli “Dashboard” dal menú a tendina. Qui, clicca su “Manage Firewall” (in alto a sinistra).
Nella pagina delle impostaizoni del Firewall, in “Web Application Firewall Status” seleziona “Learning Mode” e spunta la casella sottostante in modo che il plugin impari le dinamiche sito per un’intera settimana e poi attivi automaticamente il Firewall. Attiva anche l’Extended Protection accanto: questo inserirà automaticamente nel file .htaccess le istruzioni per processare le richieste PHP (segui le semplici istruzioni).
Scorri la pagina verso il basso e lascia tutto come di default: “Advanced Firewall Options” e “Rules“. In “Brute Force Protection” clicca su “ON“, imposta “Lock out after how many login failures” a 4, “Lock out after how many forgot password attempts” a 3, “Count failures over what time period” a 4 ore e “Amount of time a user is locked out” 1 giorno. Spunta poi “Immediately lock out invalid usernames” e inserisci tutti gli username che, una volta inseriti, bannino automaticamente il presunto “hacker” dal tuo sito web quando prova a eseguire il login.
Proseguendo, “Prevent the use of passwords leaked in data breaches” for all users…, “Enforce strong passwords” for admins and publishers… e lascia il resto di default. In “Rate Limiting“, clicca su “ON“, in “How should we treat Google’s crawlers” seleziona Verified Google crawlers, ed imposta tutti i valori su “Unlimited” e “throttle it“. In “How long is an IP address blocked when it breaks a rule” metti 5 minuti. Le impostazoni di questa sezione sono valide per la maggior parte dei siti web. Se devi, applica le tue restrizioni a piacere.
In “Scan” non devi fare niente. Passiamo a “Tools” e, in “Live traffic“, lascia tutto di default. In alto a destra verifica che ci sia selezionato “Security Only“. Puoi modificare “Amount of Live Traffic data to store” per vedere ancora piú indirizzi nella pagina sottostante. Passiamo a “Login Security“. Qui, attiva l’autenticazione a due fattori installando l’App Google Authenticator sul tuo telefonino, poi aprendo l’applicazione, cliccando in basso sul simbolo a forma di “+” e scansionando il codice QR. Per ulteriori info, leggi: come abilitare l’autenticazione a 2 fattori su WordPress.
Ora clicca sulla Tab “Setting” in alto e in “2FA Roles” imposta “Required” per i ruoli di Amministratore, Editor e Author. Lascia tutto i default e verifica che siano selezionati “Require 2FA for XML-RPC call authentication” su Required e “Disable XML-RPC authentication” (questo se non fai uso di XML-RPC, che ti consiglio di disabilitare). In “reCAPTCHA” abilita la sezione con la spunta e clicca sul pulsante blu “Google reCAPTCHA v3 Service” per creare i codici da inserire nello spazio vuoto. Una volta cliccato sul link, nella nuova pagina del browser, clicca in alto a destra su “v3 Admin Console“, poi in alto a destra sul simbolo “+” e dai un nome in “Etichetta“, seleziona “reCAPTCHA v3“, inserisaci il tuo sito web senza www, accetta i termin ie clicca su “Invia“. Copia i codici e incollali su Wordfence. Queste operazioni sono fondamentali per proteggere il login.
Come ultima cosa, clicca su “All options“: qui lascia tutto come di default, spunta “Update Wordfence automatically when a new version is released?” e togli la spunta a “Hide WordPress version” (opzione che potrebbe causare problemi se attiva). Spunta anche “Bypass the LiteSpeed “noabort” check” solo se usi server LiteSpped. In “Dashboard Notification Options” decidi tu se ricevere gli avvisi o no, in “Email Alert Preferences” spunta “Email me if Wordfence is deactivated“, “Email me if the Wordfence Web Application Firewall is turned off“, “Alert me with scan results of this severity level or greater” (Low), “Alert when the “lost password” form is used for a valid user“, “Only alert me when that administrator signs in from a new device” e “Alert me when there’s a large increase in attacks detected on my site“.
In “Activity Report” lascia com’è, scorri verso il basso da “Firewall Options” (che abbiamo visto in precedenza) a “Scan Scheduling“, abilita e seleziona “Let Wordfence choose when to scan my site“. Scorri ancora verso il basso e in “General Options” attiva tutte le opzioni tranne “Scan images, binary, and other files as if they were executable“. Questo richiederà molta potenza di calcolo ma controllerà tutti i file alla scansione. Per non appesantire il server, in “Performance Options” puoi abilitare “Use low resource scanning” ed impostare quanta memoria utilizzare “How much memory should Wordfence request when scanning“. Ricordati di salvare le modifiche una volta terminata ogni sezione.
Lascia “Advanced Scan Options” invariato, e, in “Tool Options“, seleziona “Security only” (se non lo avvei già fatto prima). Facile no?! Queste sono le impostazioni che, secondo me, dovresti attivare se hai appena creato un sito web. Ovviamente non sono le migliori in assoluto, puoi personalizzarle ed il mio é solo un consiglio!
Bene, ti ho fatto vedere come regolare le impostazioni di Wordfence. Spero di esserti stato di aiuto, ciao e alla prossima! Leggi anche: Lista dei Plugin piu usati su WordPress e come proteggere il Login di WordPress.
