Sicurezza di WordPress - I migliori plugin

L’im­por­tan­za di una password sicura è spesso sot­to­va­lu­ta­ta. Gli utenti do­vreb­be­ro sempre attenersi ai consigli di sicurezza per la password di WordPress ma i plugin offrono comunque ulteriore pro­te­zio­ne. È il caso del plugin Limit Login Attempts uno strumento utile contro gli attacchi da parte di hacker, i co­sid­det­ti attacchi brute force. Gli hacker cercano di decifrare le in­for­ma­zio­ni di login degli utenti com­bi­nan­do password uti­liz­za­te fre­quen­te­men­te con i ri­spet­ti­vi username. Un accesso non au­to­riz­za­to da parte di hacker può com­por­ta­re la perdita di dati o modifiche illecite del codice sorgente. Nel caso di un attacco gli hacker provano talvolta a ef­fet­tua­re l’accesso con migliaia di password al minuto, a meno che l’utente non sia dotato del plugin Limit Login Attempts, che limita il numero di tentativi falliti concessi per il login: si può quindi scegliere l’opzione che blocca l’account per un periodo di tempo più lungo dopo il quarto tentativo fallito. Poiché il plugin registra l’indirizzo IP dell’utente, l’am­mi­ni­stra­to­re non avrà alcun tipo di dif­fi­col­tà ad accedere al suo account. La maggior parte delle soluzioni All-In-One offre comunque un co­sid­det­to firewall brute force come funzione premium per garantire la massima sicurezza di WordPress.

Grazie al plugin WP Secure Login è possibile mettere in sicurezza l’account, oltre alle password già uti­liz­za­te, anche con un’altra richiesta di password. La password ag­giun­ti­va è visibile soltanto sull’App di Google e va cambiata fre­quen­te­men­te. In modo simile funziona anche il plugin Two-Factor Au­then­ti­ca­tion, con cui è possibile ag­giun­ge­re una seconda richiesta di nome utente e password su tutti i livelli utente.

Le co­sid­det­te soluzioni All-In-One combinano diverse funzioni di pro­te­zio­ne in un plugin WordPress per mi­glio­ra­re la sicurezza. L’obiettivo è di evitare vul­ne­ra­bi­li­tà e di eliminare il prima possibile quelle esistenti mettendo cioè in sicurezza WordPress, nel modo più ottimale, su un unico plugin. Il vantaggio di queste soluzioni All-In-One come iThemes Security è che sono adatte anche a utenti poco esperti. Per uti­liz­za­re queste funzioni è suf­fi­cien­te una co­no­scen­za base e lo stesso vale anche per Acunetix WP Security Plugin, molto facile da in­stal­la­re anche da parte di utenti meno esperti e molto utile inoltre per il controllo del sito web nei confronti di po­ten­zia­li rischi legati alla sicurezza. Così non soltanto è possibile la semplice iden­ti­fi­ca­zio­ne di problemi, ma l’utente riesce anche a ri­sol­ver­li grazie a sug­ge­ri­men­ti e strumenti ag­giun­ti­vi. Questi plugin sono uno strumento uti­lis­si­mo anche per gli utenti più esperti grazie alle loro fun­zio­na­li­tà ag­giun­ti­ve. Il plugin Acunetix WP Security offre per esempio un ge­ne­ra­to­re di password e uno speciale strumento database. Il plugin Bul­let­proof Security ga­ran­ti­sce una pro­te­zio­ne da attacchi specifici come per esempio XSS, RFI, CRLF, Base64, Cose Injection e SQL injection. In questo modo ogni codice sorgente è al sicuro.

Con il servizio di hosting di IONOS alcuni plugin sono già pre­in­stal­la­ti. Gli utenti possono anche in­stal­la­re au­to­no­ma­men­te e in modo semplice altri plugin WordPress per mi­glio­ra­re la sicurezza e altre esten­sio­ni. Na­tu­ral­men­te è buona norma prestare sempre at­ten­zio­ne alle fonti più af­fi­da­bi­li. Anche lo stato di ag­gior­na­men­to del plugin è im­por­tan­te e a questo ci pensa per esempio WP Update Notifier. Nel migliore dei casi gli svi­lup­pa­to­ri in­di­vi­dua­no ve­lo­ce­men­te le vul­ne­ra­bi­li­tà più vistose e le eliminano. Per ap­pro­fit­ta­re al meglio di questi sviluppi è però ne­ces­sa­rio ef­fet­tua­re fre­quen­te­men­te gli ag­gior­na­men­ti. Il WP Update Notifier non è però un plugin di sicurezza in senso classico, ma ricerca nel tempo la versione più ag­gior­na­ta e pertanto anche quella più sicura di plugin, temi ecc.  Con questo plugin i clienti IONOS ap­pro­fit­ta­no di un co­sid­det­to Safe-Mode. Se attivato durante l’in­stal­la­zio­ne, tutte le ap­pli­ca­zio­ni vengono ag­gior­na­te au­to­ma­ti­ca­men­te. 

Se si vuole con­trol­la­re il Security Status del proprio sito, si consiglia il plugin Security Ninja, con il quale si può ve­ri­fi­ca­re il proprio sito con circa 30 check. Il programma simula inoltre un attacco brute force. Individua le vul­ne­ra­bi­li­tà in maniera precisa e le rimuove ra­pi­da­men­te con l’aiuto del plugin e altre esten­sio­ni.