Wordfence: Migliorare la Sicurezza su WordPress

Wordfence: migliorare la sicurezza su WordPress.

Wordfence: migliorare la sicurezza su WordPress.

[Aggiornamento del 13/12/2017/]
Nell’articolo sono state aggiunte tante nuove informazioni sull’ultima versione di Wordfence, ovvero la 6.3.22.

Molto spesso i nostri siti web vengono attaccati da automi che hanno, in gran parte, un solo obiettivo: installare del malware per prenderne il controllo ed usarli per attività illecite.
Il tutto, ovviamente, a nostra insaputa. Non è, come qualcuno potrebbe pensare, il solito modo di dire che in passato è stato utilizzato da alcuni politici per scagionarsi da varie accuse più o meno fondate.
Mi spiace ma, in questo caso, non c’è granché da ridere.
WordPress purtroppo non fa eccezione ma anzi, data la sua enorme diffusione ( ormai è riconosciuto come uno tra i migliori CMS al mondo), il problema è, nostro malgrado, ancor più vasto.

Scopri subito le funzionalità avanzate

Ma allora come facciamo a proteggere i nostri siti WordPress da questi attacchi?
Fortunatamente, nonostante le minacce che (in qualsiasi momento) possono mettere a rischio la sicurezza di un sito WordPress, c’è un plugin che ci può aiutare: il mitico Wordfence Security.
Wordfence è un plugin WordPress disponibile nella versione free (gratuita) e Premium (a pagamento) che presenta una serie di funzionalità molto interessanti per proteggere il tuo sito WordPress, tra cui:

  • sistema anti malware con scansione del sito web;
  • report real time degli accessi;
  • gestione della cache;
  • firewall con funzionalità di ban automatico e/o manuale degli indirizzi IP;
  • password audit (solo versione Premium);
  • blocco degli accessi per intere nazioni (solo versione Premium);
  • scansione anti malware automatica e pianificata (solo versione Premium);
  • doppia modalità di autenticazione a due fattori (solo versione Premium);

Come vi abbiamo anticipato, Wordfence ha sia una versione gratuita che una a pagamento, il cui costo è bassissimo per le funzioni che include.
Abbiamo testato Wordfence Premium per voi: le funzionalità incluse in questa versione sono davvero ottime per la sicurezza dei vostri siti WordPress.

Protezione dalle minacce in tempo reale

Wordfence Real Time

Quando questa opzione premium è abilitata, Wordfence condivide anonimamente i dati del tuo sito WordPress in un database dedicato.
In cambio, il tuo sito WordPress riceve informazioni sugli indirizzi IP malevoli e le varie tipologie di attacco; così il tuo sito risulta sempre aggiornato sulle nuove intrusioni.
Quando il database viene aggiornato, ecco come Wordfence reagisce e mette in sicurezza il tuo sito web:

  • aggiorna le regole del Firewall;
  • aggiorna il database dei malware;
  • aggiorna la lista degli IP “pericolosi”.

Protezione geografica (Wordfence Country Blocking)

Wordfence Country Blocking

La protezione geografica di Wordfence, è stata progettata per bloccare un attacco proveniente da un’area geografica specifica, il tutto in meno di un secondo (per l’esattezza meno di 0,3 secondi).
Questa caratteristica premium quindi va a bloccare il traffico malevolo direttamente alla sorgente.

Come riesce Wordfence a bloccare un indirizzo IP geolocalizzandolo?
Tramite questa sorta di algoritmo:

  • blocca l’accesso al tuo modulo di login WordPress;
  • blocca l’accesso al resto del tuo sito WordPress;
  • controlla un database di mappe e IP, aggiornato costantemente.

Protezione anti-spam del tuo dominio (Spamvertised)

Wordfence Spavertized

Quando la URL del tuo sito WordPress viene utilizzata per pubblicare messaggi non richiesti, può influenzare pesantemente le posizioni in ottica SEO e la stessa redditività delle email.
Wordfence controlla quindi se l’indirizzo del tuo sito WordPress è stato contrassegnato come “spammer” e il tutto avviene così:

  • Wordfence protegge il tuo sito dagli attacchi che cercano di utilizzare il tuo URL per inviare email spam;
  • verifica se il tuo nome a dominio è stato contrassegnato come una fonte di spam.

Controllo del tuo indirizzo IP

Wordfence Check IP

Le email del tuo sito web possono essere “catturate” dai filtri anti-spam se un altro sito, che risiede sullo stesso indirizzo IP del tuo hosting condiviso, sta generando spam.
Questa funzione ti consente, in pratica, di verificare che il tuo indirizzo IP condiviso sia pulito e non inserito in qualche blacklist.
Anche in questo caso Wordfence ci spiega come fa il controllo:

  • Wordfence controlla la reputazione dell’indirizzo IP su liste antispam globali (Spamhaus);
  • protegge il tuo sito WordPress affinchè possa essere utilizzato per inviare messaggi di posta elettronica senza problemi;
  • ti avvisa quando alcuni file della tua installazione WordPress non corrispondono al repository originale ufficiale, consentendoti di verificare l’eventuale presenza di script che contengono malware e/o che potrebbero inviare spam.

Autenticazione in due passaggi (Cell Phone Sign In)

Wordfence Cellphone Sign-in Feature

Questa feature è veramente molto comoda ed è il modo più efficace per bloccare gli attacchi bruteforce.
Il sistema è molto simile a quello utilizzato dalle banche e agenzie governative, risultando una delle forme più sicure di autenticazione ad un sistema remoto disponibile.

Ecco come funziona l’autenticazione a due passaggi su Wordfence:

  • Cell Phone Sign In di Worfence è basato sulla tua password e il tuo cellulare: due fattori che soltanto chi è amministratore del sito può avere;
  • previene gli attacchi che provano ad indovinare la password grazie all’uso di due modalità di autenticazione;
  • un utente malintenzionato deve conoscere prima la password quindi non sarai inondato di SMS durante un attacco brute-force.

Se vuoi vedere subito come funziona il Cell Phone Sign Inclicca qui e vai alla sezione dedicata.

Controllo password esistenti (Password Audit)

Wordfence Password Audit

Quando parliamo di password, queste sono fondamentali per la sicurezza di ogni sito web ( come se non lo fossero per altre cose 😛 ).
Wordfence, in questo caso, controlla attraverso un database di password comuni, che le password del tuo sito web siano sicure e adeguatamente complesse.
Ma non solo: il plugin, in modalità premium, simula anche un tentativo di intrusione utilizzando un cluster dedicato al controllo password.

Ecco, nello specifico, come funziona il Password Audit di Wordfence Security:

  • verifica quali account utente utilizzano delle password conosciute attraverso altri siti web e community;
  • riconosce quale account utilizza una password facilmente craccabile;
  • controlla se gli altri utenti di WordPress (Autori, Editori e altre tipologie di account) utilizzano password troppo deboli;
  • se gli utenti WordPress usano una password troppo debole, il plugin invia direttamente una email agli amministratori, autori, editori, ecc, chiedendo di cambiare la password.

Filtro avanzato anti-spam per i commenti (Advanced Comment Spam Filter)

Wordfence Spamfilter

Grazie a questa funzione premium possiamo definitivamente dire addio ai commenti spam di WordPress. Il filtro anti-spam per i commenti viene abilitato automaticamente se acquisti la licenza.
Il filtro avanzato, rispetto a quello gratuito, aumenta il controllo verificando l’indirizzo IP del mittente e tutte le URL all’interno del commento stesso.

Di seguito una panoramica sul funzionamento del filtro Antispam di Wordfence:

  • verifica della URL, IP e contenuto del messaggio;
  • utilizzo di dati aggregati per identificare gli spammer dei commenti;
  • possibilità di personalizzare il filtro anti-spam.

Come installare ed attivare Wordfence

Come installare, configurare ed utilizzare Wordfence sia in versione gratuita che a pagamento; il tutto andando a vedere, in dettaglio, tutte le varie sezioni.
Cominciamo, dunque, dal principio: installazione e attivazione.
Andiamo nella sezione Plugins di WordPress e clicchiamo su “Aggiungi nuovo”:

Installazione Wordfence

Cerchiamo “wordfence” nell’apposito input box che troviamo in alto a destra:

Attivazione Wordfence

Installiamo Wordfence cliccando sull’apposito pulsante “Installa ora”:Attivazione Wordfence 2

Attiviamo Wordfence che abbiamo appena installato:
Attivazione Wordfence 3

Nel menu verticale di sinistra comparirà la voce “Wordfence”:

Il menù di WordPress con Wordfence

Prima configurazione di Wordfence: la dashboard

Cliccando su “Wordfence” si apre, sempre nella colonna di sinistra, il menu del plugin con le sezioni relative alle macro funzionalità.

La prima schermata a video è quella relativa alla Dashboard, che contiene il riepilogo delle funzioni attive del plugin, alcuni grafici che mostrano i vari indirizzi IP bloccati e gli utenti che hanno tentato di connettersi al nostro sito WordPress come amministratore.

Dashboard di Wordfence

Wordfence Scan

La seconda funzionalità o possibilità che Wordfence ci mette a disposizione è la scheda Scan che, come il nome suggerisce, è la sezione relativa alla scansione del nostro sito web WordPress.
Una volta arrivati qui, premendo il pulsante start a wordfence scan, il plugin inizia a scansionare tutto il sito web.

A seguire vi mostriamo la schermata con evidenziato il pulsante per avviare la scansione o Wordfence Scan:

Start a Wordfence scan

A questo punto, una volta cliccato il pulsante di avvio scansione, il plugin comincia a mostrarci un report “live” e, più in basso, ci fa vedere il report con file malevoli, i file modificati di recente e i file sospetti.
Suggeriamo di tenere frequentemente d’occhio questa sezione per monitorare costantemente la nostra installazione WordPress.

Circa a metà schermata, nei riquadri Scan Summary e Scan Detailed Activity ci vengono mostrati, rispettivamente, l’avanzamento del task ed i risultati dettagliati della scansione.
Nel nostro caso, Wordfence Scan non ha evidenziato alcun problema.

Wordfence Scan Scheduling (scansione automatica e pianificata)

Scansione automatica e pianificata di Wordfence

La scheda Scan Schedule ci consente invece di pianificare le scansioni e di farle partire automaticamente, senza il nostro intervento manuale.
Qui sopra è possibile visualizzare entrambe le funzionalità in un’unica immagine. Al suo interno, infatti, viene mostrato cosa fa Wordfence quando viene attivata la scansione manuale, oppure quando decidiamo di pianificare l’esecuzione automatica di Wordfence Scan.
Naturalmente è possibile scegliere soltanto una delle due possibilità: scansione manuale (cioè collegandovi ed avviando il processo a mano) oppure automatizzando il tutto, evitando ogni volta di dover accedere al vostro sito WordPress.

Opzioni della sezione scan di Wordfence

Arriviamo così alla conclusione della sezione Scan, con l’ultima scheda Options, che consente di aumentare la sensibilità della scansione effettuata da Wordfence.
Attenzione però, in questa maniera è possibile che siano evidenziati dei “falsi positivi”. Il mio suggerimento, in questi casi, è di lasciare le impostazioni di default a meno che non abbiate esigenze particolari e (ovviamente) vi sia ben chiaro quali possono essere gli eventuali benefici del caso.

Wordfence Firewall

Vediamo la scheda dedicata al firewall di Wordfence, più nel dettaglio il Web Application Firewall (WAF):

Il Firewall di Wordfence

Qui si può andare a definire la policy di protezione del firewall e/o il suo comportamento, scegliendo una delle tre modalità diponibili:

  • Learning Mode;
  • Enable and Protecting;
  • Disable.

La prima voce (Learning Mode) è definita la modalità intelligente di Wordfence, consentendo al plugin di “imparare” il traffico Internet da/verso il nostro sito WordPress.
La seconda (Enable and Protecting), attiva istantaneamente la protezione “nuda e cruda” del nostro sito web.
La terza possibilità (Disable) ovviamente parla da sé: nessuna protezione firewall attiva.

Come suggerito da Wordfence stesso, l’ideale è utilizzare il firewall in modalità apprendimento (Learning Mode) per una settimana, dopodiché si può passare all’attivazione completa (Enable and Protecting) del firewall.
Questa funzionalità è disponibile sia con il plugin in versione gratuita, sia con quella a pagamento e consente anche di impostare una data di attivazione della modalità di protezione automatica, naturalmente dopo il periodo di apprendimento.

In basso, invece, si possono inserire delle URL in whitelist e configurare le impostazioni avanzate del WAF di Wordfence.

WAF di Wordfence

La parte di configurazione avanzata del Web Application Firewall consente di bloccare preventivamente gli indirizzi IP inseriti nella blacklist di Wordfence (questa è una caratteristica Premium, cioè a pagamento) oppure si può decidere di attivare la funzione, che controlla preventivamente l’IP, prima del caricamento delle pagine del nostro sito WordPress.

Passiamo ora alla scheda Brute Force Protection:

Scheda Brute Force Protection di Wordfence

Questa scheda è molto importante perché consente di:

  • creare delle regole per i tentativi di accesso nell’area wp-admin di WordPress;
  • invitare gli amministratori e utenti di WordPress ad utilizzare password efficaci.

Tra le varie features di questa sezione, c’è la possibilità di decidere la quantità massima di tentativi di accesso falliti che possono effettuare gli utenti i quali, inserendo nome utente e/o password errati per l’accesso all’area wp-admin, verranno automaticamente bloccati per un tot di tempo, configurabile in questa stessa sezione.
Possiamo, inoltre, decidere se bloccare l’utente al primo tentativo di accesso fallito.

Successivamente abbiamo tre features, già attivate di default da Wordfence:

  • non far restituire a WordPress, in caso di login fallito con un utente esistente, che quell’utente esiste all’interno di WordPress;
  • bloccare la creazione di un utente “admin” da parte degli altri amministratori;
  • nascondere i nomi utente da attacchi hacker attraverso le query string URL come “/?author=N” , API e WordPress Rest API.

L’ultimo campo, almeno per le impostazioni Brute Force Protection, è quello che consente di bloccare gli indirizzi IP degli utenti che cercano di accedere con i nomi utenti inseriti in questa lista.

Passiamo ora all’ultima scheda delle impostazioni Firewall: Rate Limiting.

Sulle regole del firewall vorrei soffermarmi un momento perché, oltre ad essere il motivo principale di questo articolo, ritengo che siano estremamente importanti per proteggere adeguatamente il nostro sito web.

Molti crawlers, per non essere bloccati dai firewall ed agire indisturbati, si presentano con l’user agent fake di Googlebot sperando di entrare in una sorta di whitelist, che quindi li renda esenti da controlli.
In moltissimi casi, questi robots vengono impiegati per attacchi bruteforce.

Attivando la protezione evidenziata nello screenshot di seguito, possiamo proteggere il nostro sito web da questi accessi indesiderati.

Rate Limiting di Wordfence

Possiamo, infatti, decidere il numero massimo di richieste in un lasso di tempo (es: 60 richieste al minuto).
Se questo limite viene superato, Wordfence blocca automaticamente quel visitatore per 5, 30, 60 minuti o più.

Il firewall di Wordfence, inoltre, ci offre un livello di granularità molto dettagliato.
Monitorando gli accessi in background, analizza il traffico e lo confronta con le regole che noi abbiamo stabilito.
Se c’è qualcosa che viola le nostre regole, allora il firewall intraprende una “action” sempre sulla base della policy che abbiamo definito.

Le funzionalità del firewall possono essere applicate a 3 diversi livelli:

  • tutti;
  • solo ai crawlers;
  • solo agli accessi umani.

mentre il tempo di ban invece è univoco per tutti.

Il ban automatico è fondamentale per proteggersi da quei fastidiosissimi attacchi bruteforce che, ad esempio, provano migliaia di accessi su /wp-admin con l’obiettivo di indovinare la combinazione login/password.

La sezione blocking di Wordfence

In questa pagina possiamo consultare l’elenco degli IP bloccati manualmente, quelli bloccati per problemi di login (es: troppi tentativi di accesso falliti per login/password errati) e gli indirizzi IP bloccati automaticamente perché fonte di attacchi bruteforce.
Possiamo ovviamente cancellare le liste degli indirizzi IP bloccati in qualsiasi momento, cliccando su Clear all blocked IP addresses e Clear all locked out IP addresses.

Sezione Blocking di Wordfence

Nella scheda Country Blocking possiamo decidere se mostrare una pagina dedicata all’utente bloccato o impedire l’accesso al nostro sito web da paesi specifici, evitando il blocco dei singoli IP che, in alcuni casi, potrebbe non essere sufficiente:

Sezione Country Blocking di Wordfence

Infine anche se non per ordine di importanza, la sezione “Advanced Blocking” è molto utile perché ci consente di bloccare:

  • un range (una rete) di indirizzi IP (es: 200.10.50.x – 200.10.50.y)
  • un determinato User-Agent
  • un referrer spam (consulta la nostra guida sullo spam)

e di salvare una nota relativa al blocco che abbiamo inserito:

Sezione Advanced Blocking di Wordfence

Wordfence Live Traffic

Ora entriamo un po’ più nel vivo di questo plugin, accedendo alla sezione Live Traffic:

Sezione Live Traffic di Wordfence

Con questa funzionalità possiamo visualizzare gli accessi real time che si determinano sul sito web, possiamo eventualmente bloccare il singolo IP del client oppure l’intera rete, oppure visualizzare un minimo di storico di quello stesso IP.

Wordfence Tools

La sezione Tools di Wordfence consente di fare cose molto interessanti.
Tra queste sicuramente vi è il Password Audit, che ci consente di testare la sicurezza delle password dei nostri account all’interno di WordPress:

Il Password Audit di Wordfence

cliccando su Start Password Audit (inserendo l’indirizzo e-mail nell’input box “Notify when ready”) il sistema procede con l’analisi degli account e l’invio del report via e-mail.
Possiamo scegliere di testare tutti gli utenti, oppure solo gli utenti WordPress di livello user oppure solo gli amministratori.

Nella scheda affianco troviamo la feature Whois Lookup:

Sezione Whois Lookup di Wordfence

Con il Whois Lookup possiamo visualizzare i dettagli del whois per gli indirizzi IP e i domini Internet, nel caso in cui dovessimo effettuare ulteriori analisi e decidere se bloccare o meno determinate sorgenti di traffico.

Arriviamo ora al Cellphone Sign-In:

Strumento Cellphone Sign in di Wordfence

Con il Cellphone Sign-in, ora disponibile in due modalità, è possibile attivare l’autenticazione a due fattori per accedere all’interfaccia di gestione di WordPress.
Il meccanismo di autenticazione è relativamente semplice e si compone di due parti: una con l’autenticazione classica tramite codice inviato via SMS al nostro cellulare mentre, la seconda, utilizza direttamente l’applicazione Autenticator di Google.

A seguire vi mostriamo entrambi i metodi di configurazione:

Cellphone Sign-In – Modalità Authenticator App con Google Authenticator

Strumento Cell Phone Sign In di Wordfence 2

Una volta selezionata la modalità corrispondente, ci comparirà la seguente finestra sotto forma di nuova scheda nel browser:
Strumento Cell Phone Sign In di Wordfence, authentication codeOra dobbiamo aprire la nostra applicazione, che possiamo trovare gratuitamente sul Play Store Android o Apple Store, e aggiungere il codice. A questo punto l’app aprirà la fotocamera con cui dovremo scansionare il QR code.
Fatto ciò, l’app creerà un codice univoco che verrà cambiato ogni minuto.
Una volta dato “in pasto” questo codice a Wordfence, il servizio sarà attivo e ci ritroveremo con Google Authenticator impostato così:

Google Authenticator App per funzionalità Wordfence Cell Phone Sign In

Cellphone Sign-In – Modalità con Codice e cellulare (Send code to a phone number)

Dopo aver impostato il numero di cellulare e il nome dell’amministratore, negli appositi campi, dobbiamo attendere che Wordfence ci invii un SMS al nostro numero di cellulare impostato in questa schermata:

Funzionalità send code di Wordfence per Cell Phone Sign In

Successivamente ci basta inserire il codice, arrivato via SMS, all’interno del plugin:

Screen dello smartphone per mostrare funzione Cell Phone Sign In di Wordfence

 

Funzione Cellphone Sign In di Wordfence che mostra l'utente inserito

A questo punto avremo attivato il servizio e saremo ora in grado di effettuare l’accesso in due passaggi.

Infine, segnaliamo l’ultima sezione Tools rimasta denominata “Diagnostics”, ossia un riepilogo delle informazioni del nostro web server con un piccolo benchmark che permette di provare la memoria del nostro servizio di hosting.

Wordfence Options

Infine c’è la sezione Options che, data la complessità e la quantità di informazioni presenti, provo a illustrare dividendola in blocchi:

Le opzioni di Wordfence

Qui possiamo verificare il tipo di licenza e l’API Key. Inoltre possiamo attivare e disattivare le funzioni che abbiamo visto fin’ora e che Wordfence mette a disposizione.
In rosso potete notare le caratteristiche premium come: attivare un filtro antispam per i commenti, controllare se il sito è inserito in qualche blacklist, controllare se il sito è stato attaccato o hackerato in passato e il controllo dell’IP, dove è ospitato il nostro sito web, se sta generando spam.
Come ultima funzionalità, in questa schermata, c’è la possibilità di disattivare la scansione automatica del nostro sito web e l’aggiornamento automatico del plugin Wordfence.

Nel seguente screenshot, che rappresenta il sistema di notifiche di Wordfence, è possibile indicare l’indirizzo e-mail al quale Wordfence deve inviare gli alert, quali alert notificare (es: IP bloccato, etc…) e la modalità con cui Wordfence estrapola gli indirizzi IP dei visitatori.

Nel tempo si può sempre effettuare un tuning mirato delle impostazioni, per rendere ancora più efficace Wordfence.
Opzioni avanzate di Wordfence

Scorrendo verso il basso troviamo le opzioni relative alla reportistica (settimanale, bi-settimanale o mensile), l’ignore list del traffico in real time ed alcune opzioni avanzate della scansione.

Le opzioni avanzate di Wordfence 2

Le opzioni avanzate di Wordfence 3

Arrivati fino a qui, notiamo come Wordfence abbia voluto includere la sezione Rate Limiting Rules, di cui abbiamo già parlato poche righe sopra e, più in basso, troviamo anche la sezione dedicata al Login Security.
In sostanza, nelle Options, Wordfence mostra tutte le opzioni disponibili che si trovano anche in altre sezioni del plugin.

Le opzioni avanzate di Wordfence 4

Le opzioni avanzate di Wordfence 5

Le opzioni avanzate di Wordfence 6

Conclusioni

Come abbiamo potuto vedere insieme, le funzionalità di Wordfence Security (versione free) offrono già un discreto punto di partenza per proteggere i vostri siti web realizzati con WordPress.

Voglio comunque lasciare un ultimo consiglio, soprattutto a coloro che, per lavoro, realizzano siti web con WordPress.
Acquistate la versione Premium di Wordfence perché vi offre, ad un costo davvero contenuto, altre funzionalità fondamentali in ambito professionale tra cui:

  • autenticazione a due fattori
  • scansioni anti malware automatiche/pianificate con reportistica via e-mail

Ne trarrete un doppio beneficio: sia voi con molti meno mal di testa, sia i vostri clienti i quali disporranno di siti web più sicuri perchè costantemente monitorati.

Pricing e relative funzionalità sono disponibili sull’apposita pagina di Wordfence Security Premium. Fidatevi, saranno soldi ben spesi. 🙂

Disclaimer: non ci riteniamo responsabili di eventuali danni e/o malfunzionamenti arrecati al vostro sito web derivanti dall’utilizzo del plugin Wordfence.
Questa guida (la cui natura intrinseca la rende perfettibile in qualsiasi momento) descrive le impostazioni generiche del plugin oggetto dell’articolo e senza, per ovvi motivi, entrare nel merito di uno specifico progetto online.

8 Commenti

  1. Mj Web Studio 08/09/2015
  2. Francesco 07/05/2016
  3. Matteo 09/06/2016
    • Fabrizio Leo 21/06/2016
  4. Andrea 27/09/2016
    • Fabrizio Leo 19/10/2016
  5. Andrea 27/09/2016

Rispondi all'articolo

L'indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

Time limit is exhausted. Please reload the CAPTCHA.