Sai che è un mondo cattivo là fuori con attori malintenzionati che non vedono l’ora di mettere le loro mani sporche sul tuo sito WordPress. Sapete anche che probabilmente dovreste fare “qualcosa” per mantenere il vostro sito WordPress al sicuro da tutti quei cattivi.
Quello che potreste non sapere è cosa sia quel “qualcosa”.
Non preoccupatevi – proteggere il vostro sito WordPress non richiede di essere un guru della programmazione come si vede nei programmi TV. Ma avrete bisogno di alcuni plugin e strumenti per la sicurezza di WordPress per fare il lavoro.
Questo è ciò che ho intenzione di condividere con voi in questo post.
Coprirò otto dei migliori plugin e strumenti per la sicurezza di WordPress, insieme con i pro e i contro di ogni strumento. Poi, alla fine, cercherò di aiutarvi a scegliere il giusto set di strumenti in base alla vostra situazione unica.
Ma prima, lasciatemi iniziare con un rapido avvertimento…
- La sicurezza di WordPress non riguarda solo plugin e strumenti
- Alcuni termini chiave della sicurezza spiegati prima di scavare
- MalCare
- Wordfence
- iThemes Security
- Sucuri
- Sucuri plugin
- Sucuri Firewall
- WebARX
- VaultPress (parte di Jetpack)
- Cloudflare
- Login No re
- Quali di questi plugin e strumenti di sicurezza per WordPress sono giusti per le vostre esigenze?
La sicurezza di WordPress non riguarda solo plugin e strumenti
Tutti i plugin e gli strumenti di sicurezza in questa lista vi aiuteranno a rendere WordPress più sicuro. Ma non eliminano la necessità di un’azione da parte vostra.
Pensate a loro come se indossaste un casco da moto. Certo – i caschi da motociclista vi aiuteranno a proteggervi in caso di incidente, ma non sono una licenza per uscire e guidare in modo sconsiderato.
Questi strumenti sono così. Ti danno un po’ di protezione necessaria, ma hai ancora bisogno di guidare in modo sicuro se vuoi stare al sicuro e protetto.
Quindi cos’è “guidare in modo sicuro” nel mondo di WordPress? Sto parlando di cose molto semplici come:
- Aggiornare tempestivamente il software, i plugin e i temi di WordPress
- Utilizzare una password sicura per il vostro account di amministratore WordPress e l’account di web hosting
- Utilizzare solo temi e plugin di sviluppatori/fonti affidabili
- Eseguire regolarmente il backup del vostro sito
Questi suggerimenti potrebbero sembrare troppo semplicistici, ma fare queste quattro cose da sole vi aiuterà a proteggervi dalla maggior parte dei problemi di sicurezza di WordPress.
Poi, per proteggere il vostro sito da tutto il resto, potete usare questi plugin e strumenti per la sicurezza di WordPress.
Alcuni termini chiave della sicurezza spiegati prima di scavare
Mentre questi plugin e strumenti rendono le cose abbastanza semplici, la sicurezza di WordPress include ancora molti termini con cui potreste non essere familiari.
Per aiutarvi a capire cosa questi strumenti stanno effettivamente facendo, voglio spiegare alcuni dei termini più comuni che vedrete nel resto del post.
Prima di tutto, vedrete la parola firewall venire fuori spesso (indicato anche come WAF: web application firewall). Per il vostro sito WordPress, un firewall si trova fondamentalmente tra il server del vostro sito e tutto il traffico in entrata. Poiché occupa questa posizione, è in grado di ispezionare e filtrare gli attori maligni prima ancora che raggiungano il tuo server.
Tutti i firewall non sono creati uguali, però. E l’efficacia del firewall scelto dipende dalle regole e dalle configurazioni che il fornitore del firewall mette in atto.
Un altro termine è la scansione del malware, che probabilmente ti sarà più familiare. Proprio come fareste la scansione del vostro computer alla ricerca di virus e malware, molti di questi strumenti possono scansionare il server del vostro sito WordPress alla ricerca di malware.
Infine, butterò il termine security hardening molto spesso. Si tratta fondamentalmente di piccole modifiche che, se messe insieme, aiutano a rendere il tuo sito più sicuro.
Con questa conoscenza in mano, scaviamo nei plugin.
MalCare
MalCare è un plugin di sicurezza per WordPress che, come si può probabilmente intuire dal nome, si concentra sul rilevamento e la rimozione di malware.
Una delle cose che mi piace di MalCare rispetto a qualcosa come Wordfence è che MalCare fa la sua scansione sui propri server. La scansione del malware è un processo piuttosto intenso, quindi se un plugin sta facendo le scansioni sul tuo server live, può rallentare il tuo sito mentre la scansione è in esecuzione.
MalCare risolve questo problema utilizzando i propri server per fare la scansione.
E’ anche generalmente costruito per catturare malware che altri plugin non prendono. E se cattura qualcosa, offre la rimozione del malware con un solo clic per sbarazzarsi del file incriminato.
MalCare include anche un firewall, ma non credo che sia di alta qualità come quello che si ottiene con Sucuri, quindi raccomando ancora di usare il firewall di Sucuri se si può oscillare il prezzo.
Oltre a questo, offre anche un po’ di sicurezza di base come:
- per la tua pagina di login
- Limita i tentativi di login
- Disabilita la modifica dei file
- Disabilita l’esecuzione dei file nella cartella uploads
In generale, però, penso che la proposta di vendita unica di MalCare sia la scansione dei malware off-server. Ti permette anche di gestire più siti da un unico cruscotto, che è un altro bel bonus.
Prezzo: Parte da $99/anno
Wordfence
Wordfence è il più grande nome nella sicurezza di WordPress, soprattutto quando si tratta di soluzioni all-in-one. È attivo su oltre due milioni di siti e mantiene un’impressionante valutazione di 4,8 stelle su oltre 3.000 recensioni.
Basta dire che piace a molte persone.
Perché è così popolare?
In primo luogo, è disponibile in una generosa versione gratuita (così come una versione premium).
In secondo luogo, offre un approccio all-in-one alla sicurezza WordPress.
A livello generale, include un web application firewall per filtrare e bloccare il traffico dannoso, così come uno scanner di malware integrato per controllare i file per malware, backdoor e altre iniezioni dannose.
Sia la versione gratuita che quella Pro includono queste due caratteristiche fondamentali, ma la versione Pro offre più di un approccio in tempo reale ad entrambe. Per esempio, il firewall della versione Pro ottiene aggiornamenti in tempo reale delle regole del firewall, mentre la versione gratuita si aggiorna solo ogni 30 giorni.
Similmente, la scansione del malware della versione Pro aggiorna le sue firme in tempo reale, mentre la versione gratuita è ritardata di 30 giorni.
Quindi, se si desidera la protezione contro gli exploit più all’avanguardia, si sta meglio con la versione Pro.
Oltre a queste ampie protezioni, fa anche un sacco di piccole modifiche che possono ulteriormente irrigidire il tuo sito. Sto parlando di cose come:
- Autenticazione a due fattori per rendere sicuro il tuo login
- Notifiche di aggiornamento
- Avvisi via email per azioni importanti, come un account di amministratore che accede
- Tentativi di login limitati (blocca automaticamente gli utenti che inseriscono password/nomi utente errati troppe volte)
- Forza password forti
Prezzo: Gratuito su WordPress.org. La versione Pro parte da 99 dollari all’anno, anche se si ottengono sconti per l’acquisto di più anni alla volta.
iThemes Security
iThemes Security è un’altra popolare soluzione di sicurezza all-in-one che è disponibile sia in una versione gratuita che premium.
iThemes Security non include un firewall come Wordfence, ma offre la scansione dei malware.
Oltre alla scansione dei malware, viene anche fornito con un mucchio di piccole regolazioni di sicurezza per irrigidire il tuo sito WordPress.
In primo luogo, fa una serie di cose per proteggere la tua pagina di login come:
- Nascondere la pagina di login.
- Bloccare host/utenti con troppi tentativi di login falliti per proteggere dagli attacchi brute force.
- Forzare le password forti per tutti gli account utente.
- Rinominare l’account “admin” se si usa ancora admin come nome utente.
- Rimuovere i messaggi di errore di login.
- Offrire l’autenticazione a due fattori (Pro).
Poi, ci sono un sacco di altre piccole modifiche, molte delle quali vedrete nelle guide sulla sicurezza di WordPress:
- Disabilitare la modifica dei file in-dashboard.
- Rimuovere le notifiche di aggiornamento per gli utenti non autorizzati.
- Modificare il prefisso del database di WordPress.
- Modificare il percorso di wp-content.
- Log azioni utente.
Se vuoi usare iThemes Security, gli sviluppatori raccomandano di abbinarlo al firewall WordPress di Sucuri, di cui parleremo dopo.
Prezzo: Gratuito su WordPress.org. La versione Pro parte da 80 dollari all’anno.
Sucuri
Sucuri è una popolare soluzione di sicurezza per siti web che ha due diversi prodotti che aiutano con la sicurezza di WordPress:
- Un plugin gratuito
- Un servizio firewall a pagamento
È possibile abbinare entrambi questi prodotti insieme, o si può scegliere di utilizzare solo uno di loro (o abbinare il firewall con un plugin diverso, come iThemes security).
Sucuri plugin
Il plugin di sicurezza di Sucuri è disponibile gratuitamente su WordPress.org. Non include la funzionalità del firewall, ma fa molto per mantenere il tuo sito sicuro (e può aiutarti a integrare il firewall, se scegli di pagarlo).
In primo luogo, include il controllo delle attività e il monitoraggio dell’integrità dei file. Fondamentalmente, queste due caratteristiche ti aiutano a monitorare ciò che sta accadendo sul tuo sito. Per esempio, l’activity auditing può mostrarvi i tentativi di login falliti e il monitoraggio dell’integrità dei file può dirvi se uno qualsiasi dei vostri file principali di WordPress è stato modificato.
Oltre a questo, il plugin include la scansione di base del malware. Questa funzionalità è essenzialmente un’implementazione in-dashboard dello scanner gratuito SiteCheck di Sucuri. Come tale, è più limitato rispetto a molte altre soluzioni e non sarà in grado di catturare tutti i malware.
Infine, il plugin di Sucuri include anche alcuni tweak di base per la sicurezza di WordPress, come il blocco dei file PHP nella directory degli upload e la disabilitazione della modifica dei file in-dashboard.
Prezzo: Gratuito su WordPress.org
Sucuri Firewall
Dove il plugin di Sucuri riguarda il monitoraggio e l’indurimento di base, il servizio Firewall di Sucuri blocca proattivamente le minacce prima che accadano e vi protegge anche dagli attacchi DDoS.
Oltre a bloccare i bot dannosi e gli exploit conosciuti, Sucuri utilizza anche la sua grande rete e l’apprendimento automatico per migliorare costantemente le sue regole del firewall e proteggere il vostro sito da nuovi exploit scoperti.
Inoltre, Sucuri vi permette di creare le vostre regole del firewall. Per esempio, è possibile avere Sucuri che limita l’accesso al vostro cruscotto WordPress a un insieme specifico di indirizzi IP inseriti in una lista bianca.
Come un piccolo bonus, Sucuri Firewall include anche un CDN per accelerare il vostro sito, anche se questo non ha davvero nulla a che fare con la sicurezza di WordPress!
Prezzo: $199,99/anno per Basic, piano Pro $299,99/anno.
WebARX
WebARX è un servizio relativamente nuovo che aggiunge un firewall sicuro ai vostri siti web, così come alcune altre caratteristiche.
Non è specifico per WordPress, ma include un plugin per WordPress per rendere la configurazione facile.
Una delle cose belle di WebARX è che rende facile monitorare tutti i vostri siti web da un unico cruscotto. Quindi, se avete un sacco di siti più piccoli sparsi, questo è un modo conveniente per tenerli d’occhio tutti da un unico punto.
Oltre al firewall per proteggere il vostro sito da attacchi e bot dannosi, WebARX include anche il monitoraggio di uptime e defacement. Se il tuo sito va giù o viene defacciato, puoi ricevere una notifica via email o Slack. Ancora una volta, questo è utile se si dispone di un gruppo di piccoli siti che non si controllano così spesso.
Prezzo: Parte da $14.99/mese, risparmia il 15% con un abbonamento annuale.
VaultPress (parte di Jetpack)
VaultPress è un servizio di backup e sicurezza di Automattic, la stessa azienda dietro WordPress.com. Fa parte dei piani a pagamento di Jetpack, quindi avrai anche accesso a tutte le altre caratteristiche premium di Jetpack se scegli VaultPress.
Come MalCare, una delle cose belle di VaultPress è che fa la sua scansione di sicurezza sui propri server, il che assicura che non ci sia mai alcun impatto sulle prestazioni del tuo sito web.
Ecco come funziona:
Ogni giorno, VaultPress fa automaticamente il backup del tuo sito sui suoi server sicuri. Poi, scansiona i file di cui ha appena fatto il backup per malware o altre infiltrazioni.
Sul piano di livello più alto, VaultPress può anche risolvere automaticamente qualsiasi problema di sicurezza che scopre (il livello più economico supporta solo la “risoluzione manuale”, però).
In generale, VaultPress è una buona opzione se si desidera qualcosa che combina la scansione di sicurezza con i backup. Si potrebbe ancora desiderare una soluzione firewall separata, però.
Prezzo: Il piano Security Daily costa 11,40 £/mese o 9,55 £/mese (fatturato annualmente).
Cloudflare
Cloudflare è comunemente pensato come uno strumento per aumentare le prestazioni grazie alla sua funzionalità CDN. E non fraintendetemi – è una buona opzione per accelerare il vostro sito WordPress.
Ma poiché Cloudflare agisce come un reverse proxy, è anche un ottimo strumento per proteggere il vostro sito WordPress. Essenzialmente, un reverse proxy si trova tra i browser dei tuoi visitatori e il server del tuo sito web e dirige il traffico, il che consente di filtrare gli attori malintenzionati.
Il piano gratuito di Cloudflare offre una sicurezza di base sotto forma di protezione DDoS e protezione dalle minacce basata sulla reputazione (blocca le minacce dannose note dall’accesso al tuo sito).
Se sei disposto a pagare, attraverso, i piani a pagamento di Cloudflare includono un firewall per le applicazioni web così come le regole di whitelisting IP.
Se stai già usando Cloudflare per le sue caratteristiche di aumento delle prestazioni, potresti voler considerare l’aggiornamento ai piani a pagamento per sfruttare il firewall delle applicazioni web.
Prezzo: Gratuito con sicurezza di base. I piani a pagamento con il firewall partono da $20 al mese
Login No re
Login No re è una soluzione molto più piccola di tutti gli altri plugin. Mentre gli altri strumenti sono tutti concentrati su firewall, scansione di malware e altre grandi modifiche, Login No re fa davvero solo una cosa:
Aggiungi la protezione di Google re alla tua pagina di login.
Questo è un modo semplice per proteggere la tua pagina di login da attacchi brute force e tenere fuori gli utenti non autorizzati.
Alcuni plugin di sicurezza all-in-one aggiungono già questa funzionalità (per esempio iThemes Security). Ma se scegliete di non usare una di queste soluzioni all-in-one, dovreste comunque considerare Login No re per bloccare la vostra pagina di login.
Prezzo: 100% gratuito
Quali di questi plugin e strumenti di sicurezza per WordPress sono giusti per le vostre esigenze?
Non volete certo usare tutti questi plugin e strumenti di sicurezza sul vostro sito. Quindi quali dovresti scegliere? Come costruisci il tuo stack di sicurezza?
Bene, prima di fare la vostra scelta, vi consiglio di controllare cosa sta già facendo il vostro host WordPress. Alcuni host – specialmente gli host WordPress gestiti – potrebbero già implementare i firewall e la scansione dei malware per voi a livello di server. Quindi, se questo è il caso, non c’è bisogno di duplicare i loro sforzi.
Una volta che sapete cosa sta già facendo il vostro host, ecco alcuni suggerimenti per scegliere le vostre soluzioni.
Se volete un firewall per siti web, Sucuri Firewall è l’opzione migliore per i siti mission-critical, mentre MalCare offre una versione più conveniente con una dashboard che rende facile gestire più siti.
Se volete la scansione dei malware, MalCare e VaultPress sono ottime opzioni perché non eseguono scansioni sul vostro server.
È anche possibile combinare un firewall e un plugin di scansione dei malware. Ad esempio, è possibile utilizzare WebARX per i firewall e MalCare per la scansione dei malware. Mentre Malcare offre tecnicamente un firewall, non è il punto forte del servizio. Ecco perché è meglio disabilitare il firewall basato su plugin di Malcare e accoppiarlo con qualcosa come WebARX o Sucuri.
Se il vostro host ha già implementato i firewall e la scansione dei malware per voi, potete saltare quei plugin, ma vi consiglio comunque di aggiungere qualcosa come Login No re per bloccare la vostra pagina di login. Tuttavia, Wordfence e WebARX hanno questa funzione incorporata in modo da non richiedere un plugin extra.
Infine, hai i plugin di sicurezza all-in-one come Wordfence e iThemes Security. Questi plugin rendono la sicurezza davvero semplice, il che è un bene. Ma poiché sono sempre attivi e in esecuzione sul tuo server, possono anche rallentare il tuo sito, il che è un male.
Per questa ragione, personalmente non li uso e preferisco scegliere le caratteristiche di sicurezza specifiche che voglio.
Detto questo, riconosco il loro beneficio dal punto di vista della semplicità.
Nota: Wordfence e iThemes Security non dovrebbero essere usati insieme. Se scegli di seguire la strada del “plugin di sicurezza all-in-one” – usane solo uno.
Quindi se ti senti sopraffatto da tutte queste opzioni e vuoi solo qualcosa che sia facile da usare, questi due sono certamente opzioni solide. Ma presta molta attenzione ai tempi di caricamento del tuo sito prima e dopo per assicurarti che non ci sia un rallentamento evidente.
Disclosure: Questo post contiene link di affiliazione. Questo significa che potremmo fare una piccola commissione se si effettua un acquisto.