Sicurezza WordPress: la guida completa.

E’ davvero cosi frequente rovinare il lavoro di mesi per colpa di un malintenzionato (oppure un robot) desideroso di “BUCARE” il tuo blog WordPress anche solo per il semplice gusto di farlo?

Introduzione

E’ davvero cosi frequente lo sfondamento delle barriere più intime di un blog WordPress per derubare dati, rovinare il lavoro di un concorrente, o semplicemente per sfida a chi è l’hacker WordPress più abile?

Come posso difendere ai massimi livelli il mio sito, senza avere particolari doti in termini di codici php, file config, htaccess e altre diavolerie simili?

Queste sono le domande che mi sono posto prima di farmi una seria cultura di tutti i tool che in rete proponevano come “le migliori armature per il tuo blog”.

E più o meno le domande che mi pongono spesso i miei lettori in termini di “antivirus per WordPress” o “sicurezza di un blog WordPress”. 

Nel momento in cui scrivo, nelle ultime 4 ore ho ricevuto ben 27 tentativi di login da parte di utenti di provenienza mista (o almeno il loro indirizzo ip!).

Cioè dico, che volevate fare una volta entrati nella mia bacheca WordPress?

Le ragioni sono diverse:

• Competizione, pago un hacker e faccio bombardare un concorrente;
• Legato al punto sopra, per scopi SEO, un hacker entra nel tuo blog ed inserisce qua e la link a siti in black list. Entro 3 giorni google ti bypassa in centesima posizione (se ti va bene);
• Per inserire, a tua insaputa, dei link di affiliazione, leciti e poco individuabili;
• Per rimuovere il contenuto (o criptarlo) e chiedere un riscatto per riaverlo intatto;
• Per rubare dati sensibili o foto compromettenti;
• Oppure, come la maggior parte dei casi, per SEMPLICE DIVERTIMENTO. Per mettere un + nella loro lista di siti “hacked”.

Ti racconto una storia:

Maggio 2013.

Driiinnn… -Chiamata di un mio cliente, o meglio, uno a cui seguivo una serie di portali, così, per pura passione-
Si?
“Aiutoooo! Un casino!
Vai subito a vedere sui siti! Un casino!”

Apro il browser, digito il link dei suoi blog e che mi trovo?

Solo una dannata scritta verde con una musica rock di sottofondo “Indonesia Cyber Force”.

Mi si è gelato il sangue!

Il gentil Hacker, sicuramente un giovanotto nerd, ha lasciato un link in fondo che portava ad una pagina web con la descrizione della falla sfruttata per fare questo attacco, le istruzioni per risolverlo e.. ta daaa.. una classifica di 15 o 20 nomi con scritto a fianco il numero di blog WordPress bucati.

Una sfida tra amichetti dell’oratorio praticamente.

Ora, non credo che portali in questione attirassero l’attenzione di chissà quali squadre di hacker o nerd idealisti, quindi nel mio caso il gentil nerd mi ha lascaito la “via” per risolvere il problema.

Ma, una volta entrato nel server, quello script che ha sostituito tutte le home page (tutte le pagine con estensione “.index”), avrebbe potuto potenzialmente distruggere tutto. O spiare silenziosamente. O chissà che altro.

Quindi, un blog WordPress è vulnerabile, anche se non tratta argomenti “scomodi”, politici, idealistici, e non fai parte della scena vip o altri fattori che ti rendono popolare?

Si.

Nella MIA esperienza il 50% dei molteplici blog WordPress da me gestiti, non protetti egregiamente, hanno subito un attacco con conseguenze a volte NON reversibili. Percentuale, secondo me, bassa rispetto alla media.

E, comunque, nel 100% dei casi almeno una volta ogni 2-3 mesi (ma anche tutti i giorni in certi casi) ho subito un tentativo di “violazione dei livelli di vulnerabilità” (capirai a breve di che parlo) dei miei blog.

Quindi, come un siberiano, un blog WordPress ha bisogno di una perpetua protezione. Fuori fa sempre freddo e virus, raffreddori o polmoniti sono li in agguato per insidiarsi nei corpi più deboli.

Come un siberiano un blog WordPress ha bisogno di una perpetua protezione.Click To Tweet

Un hacker, come un banale virus del raffreddore, ha una sola via di ragionamento: morte tua, vita mia.

Metafora fantastica.

Come ho strutturato questa guida?

Ok, deciso, dobbiamo proteggerci dal gelo del web.

Come ho strutturato questa guida?

Ho deciso di esporla in modo schematico, il mio stile preferito! Ecco nel dettaglio:

Parte 1: I 5 livelli di “Vulnerabilità”

Dopo la breve introduzione che hai appena letto ti svelerò i 5 livelli di vulnerabilità di un blog WordPress. Dove il livello 1 è il più profondo ed abbiamo pochissima responsabilità (e potere d’azione) e il livello 5 dove abbiamo tutta la responsabilità e pieno potere d’azione.

Dunque approfondirò ogni livello indicando:

• Chi è il diretto responsabile che deve occuparsi di questo livello;
• Cosa fare per ottimizzare al meglio la sicurezza su tale livello;
• Elenco tools consigliati, lista aggiornata a cadenza costante cosi da tenere questa guida come punto di riferimento;
• Varie ed eventuali.
• NB: per essere al massimo trasparente ti avviso che alcuni link dei tools consigliati sono dei link di “affiliazione” ovvero, se tu acquistassi attraverso quei link io ricevo un “centesimino” in cambio. Se tu non volessi acquistare attraverso quei link puoi ricercare direttamente il tool su Google 🙂

Parte 2: le mie 3 “Private Combo” (quasi) infallibili

Ti darò in questa sezione le mie “Private Combo”, ovvero delle combinazioni di tools cosi da raggiungere livelli di sicurezza super e scoraggiare qualsiasi “bot” (script automatico) o persona reale voglia aggiungere un + sulla sia lista di “site hacked” sfruttando le falle del tuo blog WordPress. Clicca qui per passare direttamente a quella sezione.

Cominciamo!

Parte 1: Vulnerabilità di un blog WordPress

Innanzitutto, dove si trovano le “vulnerabilità” di un blog WordPress? Ovvero, stringendo, quali sono i portoni di ingresso dei possibili malintenzionati?

Ecco svelato l’elenco dei 5 livelli di vulnerabilità che dovremo assolutamente proteggere:

1. Livello di vulnerabilità 1: Lo spazio Hosting e protezione dai tentativi di irruzione profonda;
2. Livello di vulnerabilità 2: Il “Core WordPress” e protezione dal tentativo di accesso attraverso possibili falle di sistema;
3. Livello di vulnerabilità 3: l’admin panel e protezione dal tentativo di accesso forzato (brute force);
4. Livello di vulnerabilità 4: Plugin e protezione dal tentativo di intrusione attraverso possibili falle interne;
5. Livello di vulnerabilità 5: Rischi connessi al grado di protezione del client (il tuo pc, la tua rete, segretezza password, ecc).

Come già detto poco sopra, il livello 1 non è sotto nostro diretto controllo e quindi non abbiamo ne piena responsabilità ne pieno potere d’azione.

Il livello 5, di contro, è sotto il nostro diretto controllo, ne siamo direttamente responsabili ed abbiamo il pieno potere d’azione (e l’obbligo!).

Livello 1: hosting e protezione da irruzione profonda

• Responsabilità, ovvero, chi deve interessarsene?

Soprattutto se si utilizza un hosting condiviso (e non VPS o server dedicato)a questo livello la responsabilità è quasi totalmente a carico dell’azienda che offre il servizio di hosting. Sono loro infatti che devono costantemente proteggere tutta la loro rete da eventuali attacchi.

Se questo non avviene aumenta il rischio di minacce dall’interno, magari minacce incrociate, ovvero che non sono state scagliate verso il tuo spazio, ma magari a gigabite di distanza ma che hanno mandato in rovina anche la tua parte di spazio web.

• Cosa fare a questo livello “intoccabile”?

Beh, la regola numero 1: selezione del server. Scegliere con saggezza il servizio di hosting è la priorità. LavoraDigitale è ospitato su SiteGround. A parte qualche piccolo diverbio riguardo alla forzatura di un “change plan”, per avere più banda, ritengo ad oggi il miglior servizio.

A ruota, secondo mie valutazioni fatte esclusivamente leggendo recensioni in rete e quindi basandomi sul grado di assistenza, performance, velocità e prezzo elenco altre 7 hosting companies che compaiono spesso tra i primi posti in svariate tabelle comparative:

1. VeeroTech (ssd starter).
2. GeekStorage (Deluxe Plan)
3. HostWinds (Business plan -Ultimate-)
4. BlueHost (plus o prime)
5. InMotion hosting (power o pro wordpress hosting)
6. A2 hosting (turbo o swift plan)
7. LunarPages (basic con cPanel)

A questo link trovi una simpatica “competizione” tra hosting companies con annessa classifica mensile promossa da Michael Bely. Un vero geek! Ho trovato ottime guide sul suo portale (in inglese), davvero complete, a volte fin troppo!

Vogliamo un balzo ad un livello superiore? Server dedicato gestito. Ovvio la spesa non è indifferente, dai 70/90$ (minimo!) al mese in su di investimento, fino ai 5-600$ al mese.

Questo “livello superiore” scatta nel momento in cui il business si fa interessante e, secondo me, almeno 20\25.000 visite mensili di media o comunque un volume di affari che giustifichi la spesa.

Qui una lista dei migliori server dedicati gestiti (bada alla parola “gestiti”, significa che la società di hosting risolverà eventuali problemi in modo rapido e sarà quindi la prima interessata a mantenere monitorato e protetti tutti i suoi server).

Il costo di queste società di hosting variano sensibilmente, valuta bene ogni caratteristica e mettiti sempre nelle condizioni di cambiare, se e quando ritieni opportuno.

1. SiteGround (dai 179€\mese)
2. LiquidWeb (dai 199$\mese)
3. KnownHost (dai 179$\mese)
4. EuroVPS (dai 125$\mese)
5. BigScoots (dai 235$\mese)
6. InMotion hosting (da 99$\mese)
7. Ipage (da 119$\mese)
8. BlueHost (dai 79$\mese, sezione dedicated server)
9. Ultimamente ho sentito qualche chiacchierata riguardo a “WpEngine“, una sorta di server dedicato creato esclusivamente per wordpress. A parte il prezzo (dai 30$\mese) credo si possa rimanere su di un server condiviso per poi passare ad un server dedicato più professionale. Lo trovi qui.

Purtroppo questa non è la sede per descrivere accuratamente le peculiarità di uno o dell’altro servizio, siam qui a parlare di sicurezza e vulnerabilità no? Prometto però di approfondire esaurientemente l’argomento nelle prossime guide-articoli.

Livello 2: Il “Core WordPress” e protezione da falle di sistema

• Responsabilità, ovvero, chi deve interessarsene?

Qui le responsabilità e il relativo potere d’azione sono al 50 e 50, ovvero il 50% a chi gestisce il blog e al 50% agli sviluppatori di wordpress.
Perchè 50 e 50?

Primo, il titolare del sito deve impegnarsi a tenere sempre aggiornato il core wordpress all’ultima versione. Non immagini quante volte ho constatato problemi di irruzione in sistemi con una versione del core obsoleta (ma anche nemmeno troppo obsoleta, ma comunque poco aggiornata) in cui il malintenzionato (o il bot) sfruttava una falla di sistema risolta dagli stessi sviluppatori nella versione successiva.

Secondo, gli sviluppatori di contro hanno nelle loro mani la facoltà di lasciare delle piccole porticine, seppur chiuse, ma non a chiave. Non per caso o per errore, semplicemente per lasciare alla mano dei più esperti la possibilità di sfruttare certe caratteristiche per migliorare la gestione interna del blog, la “mobile responsive” o per migliorare l’ambiente su cui gli sviluppatori di plugin lavoreranno.

Ecco, il 50% delle tue responsabilità, e quindi il tuo potere d’azione è capire quali sono quelle porticine chiuse non a chiave e.. Fare un giro o due di serratura.

• Cosa fare a questo livello?

Primo: tieni sempre aggiornato wordpress all’ultima versione.
Consiglio banale? Non immagini quante persone aggiornano ogni 6 mesi il proprio blog, per dimenticanza o semplice procrastinazione. Non è il motivo numero 1 degli attacchi hacker.

Ma fidati, non so tra quanto, magari mai, magari tra un mese, un anno, due.. Ma se esiste la possibilità che gli sviluppatori lascino una falla nel core system, anche solo per pochi giorni, fanno prima gli hacker a smontare migliaia di blog wordpress prima che gli sviluppatori stessi coprano la falla con una nuova versione.

E se sei stato pronto ad aggiornare il sistema potresti essere stato uno dei fortunati a scamparla, ma se hai lasciato il blog non aggiornato aimé.. Ci sei cascato.

Secondo: ti ho detto delle porticine vero? Ecco il tuo 50% di potere d’azione a questo livello di protezione è proprio quello di chiudere le porticine a chiave. Come? Due soluzioni:

1. Manualmente chiudere le porte aperte, ovvero mettere mano ai file di sistema, installare qualche plugin specifico e modificare qualche impostazione. Facile? No. O meglio, non è roba per tutti. Comunque, prima di qualsiasi sciocchezza fai sempre un sano backup (vedremo più avanti la questione backup, tool, ecc).
2. Sfruttare quei tool che ti presenterò nella sezione del livello 4 che, se settati correttamente, svolgono egregiamente il ruolo di proteggerti in modo ottimale anche senza impazzire tra file di “config” o “htaccess”.

Ma quali sono queste dannate porticine? Riusciamo ad averne un elenco? Ok, ok, un pò dal mio sapere, un po da varie altre fonti, un pò dai miei conoscenti programmatori ho identificato principalmente 8 porticine aperte nel core di WordPress. Ripeto, i tool presentati nella sezione 4 saranno delle forti armature per il tuo blog. E alcune delle porticine qui elencate verranno chiuse. Ma se vuoi completare la torta con la ciliegina sopra ti consiglio di chiuderle tutte. Per ogni “micro-falla” che ti elenco troverai un link ad una guida specifica che ti spiega passo passo come fare.

Ecco le 8 “micro-falle” del core-Wordpress:

1. Username non modificabile in caso di assegnazione di default del nome “Admin”. Il primo user che prova un “bot” è proprio “Admin”. E’ quindi opportuno modificare tale username se è stato assegnato di default. A parte sistemi complicati per modificare tale user esiste questo plugin che può fare al caso tuo se hai questo problema.

1. Possibilità di editare il codice direttamente dalla dashboard. Ok, anche a me piace modificare lo stile del tema. Ma una volta terminati i lavori è opportuno disabilitarne la possibilità. Due possibilità per chiudere questa porticina:
   1) Inserire queste due stringhe in fondo al file “wp-config.php”:
   // Disallow file edit
define( 'DISALLOW_FILE_EDIT', true );
   Hai la necessità di fare modifiche allo stile del tema o altro? Puoi sempre togliere tali stringhe temporaneamente o scaricare il file tramite FTP, modificarlo e ricaricarlo.
   2)Utilizzare questo plugin, farà tutto il lavoro al posto tuo.

1. Possibilità di eseguire file .PHP nelle cartelle “upload” di WordPress. E’ opportuno quindi disabilitarne la possibilità. Come fare?
   Due soluzioni:
   1) Quasi la totalità tool che ti presenterò al livello di vulnerabilità 4 avranno disponibile quest’opzione. Quindi la prima cosa è valutare che non sia già stata chiusa e fare il lavoro due volte.
   2) Segui questa mini-guida (in inglese, usa translate, è davvero semplice), devi creare un file con il blocco note e inserirla in qualche cartella di WordPress (tipicamente la cartella “upload” e “include”, come dice la guida).

1. Se non durante l’installazione iniziale, è impossibile modificare con semplicità il prefisso “wp_” dato di default per accedere all’admin panel (e ad altre cartelle, tipo “www.tuosito.it/wp-admin”). Tutti sanno che l’80% dei blog Worpress hanno quel prefisso. Anche i malintenzionati. Fino a qualche anno fa siamo stati tutti impegnati a fare modifiche di questo prefisso per paura di “sql injection” (comandi di input che possono distruggere e\o modificare le radici del tuo blog) o altre diavolerie simili. D’altra parte sui blog dei più importanti produttori di tools per la sicurezza di wordpress si legge che:
   “Un hacker che non ha uno script per captare all’istante il prefisso delle tue cartelle WordPress (che siano di default o da te modificate), è come un ladro professionista che si dimentica la torcia a casa.”
   Ovvero, tanta fatica (e pericolo che non funzioni più nulla) per poi ottenere niente di “scovabile” in pochi secondi.
   Quindi, perchè metto questo (lungo) appunto?
   Beh io son convinto che avere il prefisso diverso da “wp-” scoraggi ALMENO i bot automatici. Ma val la pena modificarli post creazione?
   Personalmente dico NO.
   Ma in ogni tua futura nuova installazione di WordPress valuta l’ipotesi di modificarlo già dall’inizio.

1. Possibilità (a dir la verità ormai remota possibilità, però accade ancora) di esplorazione delle directory in WordPress, ovvero la possibilità di vedere il contenuto delle cartelle interne al sito. Questo non accade per le cartelle di sistema, ma soprattutto alle cartelle create durante l’installazione dei plugin. In poche parole è la possibilità di esplorare in tutte quelle sottocartelle secondarie che non sono richiamate direttamente dal browser, ma esistono semplicemente per contenere dei file di supporto, tipo immagini, file di log, ecc, tipicamente sono esplorabili da un qualsiasi utente digitando il link esatto della cartella, tipo: “www.tuosito.it/wp-content/plugins/pluginxx/image”.
   Lo so, è un ipotesi ormai remota, ma sempre meglio prevenire che curare! Qui una semplice guida per risolvere il problema.

1. XML-RCP abilitato. No, non è un novo tipo di colesterolo. E’ in soldoni un opzione indispensabile se si desidera accedere e pubblicare il blog in remoto, tramite delle applicazioni specifiche (quindi da mobile).
   Ci riprovo: l’opzione XML-RCP serve per migliorare il collegamento mobile del tuo blog attraverso le app, ed altre funzioni sempre inerenti al collegamento web.
   Insomma, serve principalmente ad accedere e pubblicare da mobile. Ora, senza entrare nei dettagli, è opportuno disabilitarla per non incombere in brutali attacchi di login forzati.  Anche qui, i tool che ti presenterò nella sezione relativa al livello 4 hanno quasi tutti il controllo di quest’opzione. Questo plugin, comunque, ti da la semplice possibilità di disattivazione.

1. Permessi di alcuni file blandi. Ora, senza entrare nei dettagli, la regola è che tutte le cartelle di wordpress devono avere permessi con codice “755” ed i file “644”. Il file “config.php” dovrebbe avere i permessi settati su “640” (il team di WordPress stesso consiglia addirittura 440 o 400 ma questo potrebbe causare il malfunzionamento di alcuni plugin). Ora, se hai prestato attenzione al livello di protezione 1 ed hai scelto con cura la società di hosting fidati che non sarà semplice (non impossibile) modificare o accedere a dei file interni. Ma, come sempre, prevenire è meglio che curare.
   Come monitorare e modificare i permessi?
   La via più veloce è accedere al proprio server via FTP (con FileZilla per esempio) e controllare il codice di riferimento scritto nella colonna “permessi”. Per modificarlo clicca col destro sul file\cartella in questione e clicca su “permessi file..” e cambia (con attenzione!) il codice.

1. Forse pignoleria, forse “vecchia scuola”, ma sempre meglio non far capire a nessuno che versione si sta usando di wordpress. Non so con che probabilità questo possa accadere ma se un hacker volesse sfondare le porte del tuo blog prima di tutto verificherebbe la versione del tuo “core” cosi da cercare atttraverso i suoi “canali di informazione” se tale versione presenta delle falle e sfruttare tale falla per entrare nel tuo sistema. Questo plugin serve proprio a questo.

Per qualsiasi necessità non esitare a contattarmi attraverso la sezione “contattami” oppure attraverso i commenti cosi che la risposta potrà essere utile anche agli altri. Se hai altro da dire, consigliare, mettere un appunto, stesso discorso, fai un commento e te ne sarò grato.

Livello 3: l’admin panel e protezione da Brute Force

Questo livello di interessa quella serie di possibili attacchi per tentare brutalmente (infatti in gergo son chiamati “brute force”) di accedere all’admin panel di WordPress direttamente dalla schermata di login, comune per chiunque è in possesso di un blog wordpress.
Metaforicamente si tratta di un malvivente, un ladro assassino che bussa alla tua porta principale di casa e..
“Toc Toc”
e tu “Chi è?”,
lui “Sono un malintenzionato ladro assassino”,
e tu “No grazie”,
e lui “Toc Toc”,
e tu “Chi è?”…
Eccetera, eccetera, per centinaia di volte.. Praticamente il maggiordomo (il server) deve stare davanti alla porta a rispondere a tutti coloro che bussano interrompendo continuamente tutte le sue mansioni (ovvero rubando banda preziosa).

• Responsabilità, ovvero, chi deve interessarsene?

Qui iniziano le responsabilità totali per chi si occupa della gestione\manutenzione del blog. Ok, una piccola percentuale di responsabilità va agli sviluppatori, purtroppo in certi casi, come già ben descritto nella sezione 2, viene assegnato di default l’username “Admin”, praticamente è come dare ad un killer la canna del fucile e un paio di cartucce. Ora manca il manico (si dice manico?) ed il grilletto (ovvero la password). Anche la questione del prefisso “wp_” influenza questo livello. Solo se non ci fosse il prefisso “wp” molti bot “addetti” al brute force verrebbero scoraggiati ancor prima di raggiungere la tua pagina di login.

Purtroppo tale prefisso o lo si sceglie in fase di installazione oppure lo si deve modificare in corso d’opera, ma come ti ho già consigliato il rischio di combinare guai non vale il grado di protezione aggiuntivo.

• Cosa posso fare per proteggere il mio blog a questo livello?

Quindi, cosa si può e si deve fare in questo livello?

1. Senza dilungarmi troppo SE hai il nome utente “Admin” va cambiato;
2. Password complesse! Tra le top 10 password che vengono usate abitualmente c’è ancora “123456”, “qwerty”, ecc. Un bot maneggiato da un ragazzino testa 10.000 password in 30 minuti. Informati su questo articolo. Offre anche un tool carino per generare password invalicabili o testare le tue esistenti.
3. Impedire il login continuo nel momento in cui viene errato per più di xx volte (tipo 3 volte di seguito). Questo attraverso un plugin, un tool specifico che fa egregiamente questo lavoro. Il malvivente ladro della metafora precedente, bussa 3 volte e poi scende una serranda d’acciaio con 15.000 volt dentro. O aspetti xx minuti oppure ti fulmini.

• Tools consigliati per proteggerti a questo livello

Due tipologie di strumenti per proteggere il tuo blog a questo livello:
1) Strumenti per limitare i tentativi di accesso;
2) Strumenti per la “doppia autenticazione”.

1) Strumenti per limitare i tentativi di accesso

Fino a qualche tempo fa a questo livello bisognava proteggersi con plugin specifici. Ora, gli strumenti che ti presenterò nella prossima sezione (livello di protezione 4) avranno quasi tutti quest’opzione attivabile. Comunque nelle caratteristiche disponibili di quei strumenti che consiglierò vedrai se è davvero disponibile o meno, se non vi è la possibilità (perchè vuoi iniziare con un tool, magari gratuito, che non offre la possibilità di limitare gli accessi) torna in questa sezione e installa uno degli strumenti consigliati qui. Oppure semplicemente puoi disabilitare l’opzione in quei tool ed utilizzarne uno dei due che descriverò tra qualche riga.
Ah, comunque, quando ti proporrò le mie “private combo” ti mostrerò quello che faccio io cosi se vuoi prendi spunto 😉

Ecco gli strumenti che consiglio io, sono 2:

1. Login LockDown

Forse il primo nato della serie. E’ il classico, semplici impostazioni, che gia di default prevedono il blocco di un ora per gli indirizzi ip che tentano 3 volte di accedere all’admin panel.

1. Wp limit login attempt

Plugin abbastanza in voga, permette di impostare il numero massimo di tentativi dopodiché l’ip del malintenzionato verrà bloccato per 10 minuti. Una funzione interessante è una sorta di “doppia autenticazione” (anche se non è una vera doppia autenticazione) attraverso un codice “captcha” da inserire ancor prima di visionare la pagina di login. Arma micidiale contro i bot.

2) Strumenti per la doppia autenticazione

Questo è il top per la protezione di questo livello. Un bot che “nota” la doppia autenticazione scarta direttamente la pagina. Conosco 3 tools che attivano questa funzione, io consiglio il primo, gli altri due sono più una sorta di “doppia autenticazione” attraverso un pin inviato via sms o tramite una sorta di codice QR da fotografare con lo smartphone.

1. Stealth Login Page

Questo è il classico, devi impostare una seconda password, un pin e quando fai il login ti ritrovi, oltre che user e password, anche lo spazio per il “codice di autorizzazione.

1. Clef Two-Factor Authentication

Ti dico la verità, non l’ho provato ancora, ma sembra interessante. In poche parole per accedere al tuo admin panel devi sincronizzare il tuo smartphone con la schermata login (inquadrando il codice che appare nella schermata di log in). Appena faccio una prova aggiorno questo punto. Potrebbe essere il top se il codice è una vera seconda autorizzazione e non un “surclassamento” totale dell’originale login.

1. Due Two Factor Authentication

Anche questo non l’ho provato, praticamente permette di creare una doppia autenticazione attraverso l’invio di un pin sul telefono, una conferma di accesso attraverso un app specifica o l’utilizzo di un “passcode” su una chiave usb programmata per tale scopo. Insomma, senza autorizzazione proveniente da un proprio accessorio personale non si entra nell’admin panel.

Livello 4: Plugin e protezione da falle interne

Ok, eccoci arrivati alla parte “clou” di tutta la guida. Non che gli altri livelli trattati in precedenza siano di bassa importanza, anzi! Hai visto quanto ho scritto a riguardo?!
Perchè “clou”?
Perche se tutti gli altri livelli presi in considerazione sono una sorta di “armatura per proteggere il guerriero”, questo livello è da considerare tutta quella serie di aiuti interni per far in modo che il fantomatico guerriero sia forte, sano, sempre monitorato da dottori esperti e quindi, a sua volta, capace di auto proteggersi ed amplificare l’effetto dell’armatura stessa.

• Responsabilità, ovvero, chi deve interessarsene?

Siamo al livello 4, quindi, chi gestisce il blog è il diretto responsabile di questo livello. Potresti aver protetto ogni altro livello precedente, ma se lasci trascurato questo, come dice il buon Michael Bely (un vero geek, rivolta un blog wordpress come un calzino) “Prima o poi sarai violato, non so quando, ma sarà cosi!” Ora mi sfugge il numero preciso, ma si parla di 20 o 30.000 blog violati ogni giorno (un articolo su forbes letto tempo fa). E’ il guerriero, se vuole vincere più a lungo possibile, che deve curare la propria salute, l’alimentazione e farsi dare una controllatina ogni tanto.

• Cosa posso fare per proteggere il mio blog a questo livello?

Bella domanda. Innanzitutto leggere con attenzione questa guida, è fondamentale. Dopodiché, selezionati ed installati gli strumenti giusti dovrai tenere monitorato il tutto ma senza fare alcun ché di cosi laborioso.
Facile no? No. Ma tutto fattibile.
Ok, veniamo ai tool di protezione di questo livello.

• Tools consigliati per proteggerti a questo livello

Bene, qui la questione si fa interessante. Qui prenderò in considerazione 8 tools, i quali ritengo, nel momento in cui scrivo, le migliori risorse disponibili in rete. Partirò dalle risorse free fino ad arrivare a quelle a pagamento, il che non vuol dire che siano strumenti diversi, infatti i marchi più importanti, quelli su cui punto oltretutto, hanno sia la versione free che quella “premium”, a pagamento. Se hai anche solamente cercato “sicurezza wordpress” in rete quelli che ti propongo sono nomi già noti, son contento comunque di darti le mie considerazioni a riguardo. Non dimenticare, comunque, che alla fine di questa guida ti darò le mie “private combo” che tutt’ora utilizzo, per tutte le tasche e le dimensioni del business.

Ok, su cosa baserò questa sorta di classifica?

1. Prezzo: ma quanto mi costa?!
2. Protezione & prevenzione: quanto rinforza l’armatura?
3. Scansione: c’è qualche file sospetto? Meglio scovarlo prima che arrechi danno!
4. Monitoraggio: occhi sempre aperti, non deve sfuggire una virgola, modifiche dei file, accessi.. Se non per nostra mano!
5. Post Hacking: il danno è fatto, c’è modo di ripristinare completamente?
6. Facilità d’uso: sono un neofita, sarò capace?

Ad ogni voce darò un voto da 1 a 10 ed infine farò una media complessiva. Iniziamo!

Tools GRATIS Protezione Livello 4

1) WordFence Security (Free Version): 7,48 punti su 10

Questo tool è il mio tool preferito quando si tratta di “proteggere al volo” un neo-blog. Rimane, secondo me da qualche anno, un ottima scelta tra i plugin free in ambito di sicurezza. Anche se non di molto è infatti il detentore del primo posto in questa classifica di tools “free version”. Lo trovi qui.

Ecco l’elenco dei parametri da cui ho estrapolato il punteggio.

– Prezzo: 10 punti;
Free, quindi ovviamente 10 punti.

– Protezione & Prevenzione: 6,2 punti;
Ora, per il fatto che è una risorsa gratuita probabilmente non dovrei star qui a fare il super pignolo. comunque sia se mi propongono un plugin gratuito e promettono una sicurezza di un certo livello io non bado a quanto l’ho pagato (e se l’ho pagato), bado alle promesse che mi hai fatto piuttosto. Perchè un voto minore di Sucuri? Perchè tra le sue funzionalità offre qualche protezione in meno.

– Scansione: 7,7 punti;
Tra le versioni free credo sia considerata, non solo da me, il tool che offre la piu profonda scansione possibile. Non do 8 per non far sfigurare la premium version, però un 7.7 meritato.

– Monitoraggio: 8 punti;
Beh la cosa fantastica di questo plugin è proprio il monitoraggio in tempo reale del traffico e dei file che vengono modificati . Sempre vigile il signorino 😉

– Post Hacking: 3 punti;
Pochi, pochi strumenti di protezione che presenterò qui avranno grandi punteggi in tal senso. Innanzitutto, cosa intendo per “post Hacking”? Vediamo i passaggi logici di un attacco hacker: attacco hacker > scopriamo che c’è del codice maligno qua e la > cancelliamo i file sospetti > il blog è pulito (ma il fantomatico guerriero è senza fegato, senza milza e manca metà dello stomaco, quindi il blog..Si vede a pezzi) > bene, è opportuno ripristinare il blog come era 24 ore prima, tale e quale, prima che venisse attaccato. Ma.. Fatto il back up? No? Ai ai ai ai…
Purtroppo questi super strumenti di protezione non offrono un efficace capacità di ripristino, ovvero, non offrono una gran possibilità di fare back up giornalieri e completi, database, file e tutto il necessario per ripristinare tutto in poche ore. Non facciamoci un dramma, ci sono strumenti specifici in grado di colmare efficacemente queste lacune, andiamo per gradi per ora.

– Facilità d’uso: 10 punti;
Beh secondo me è il piu semplice e di rapida intuizione.

2) Sucuri Security (Free Version): 7,33 punti su 10

Questo è il primo che installai, su consiglio dello stesso SiteGround, sui miei blog. Non è detto che sia il top, almeno nella versione free, ma comunque un ottimo strumento. Sucuri è supportato da un azienda che sa quello che fa, è solida ed esperta. E questo è un buon punto di partenza, non darei mai in mano il cuore del mio sito ad un neonato plugin del quale non conosco bene la provenienza. La versione free di Sucuri la trovi qui.
Quindi, vediamo in chiave “classifica”:

– Prezzo: 10 punti;
Ovviamente, anche in questo caso, quando la spesa è zero il punteggio è 10!

– Protezione & Prevenzione: 6,5 punti;
come tutti i prodotti gratuiti offre una discreta protezione, ma non fa i miracoli, a questo livello protegge dai piu comuni malware, da una spallata ai bot o script lanciati dai fagiolini indonesiani, ma se qualcuno prende di mira il tuo blog ti assicuro che può sfondarti le porte senza troppa fatica.

– Scansione: 6,5 punti;
Purtroppo nel mio caso non ha funzionato egregiamente, quando io avvio un blog, per me o per un cliente, durante le fasi iniziali tengo tutto sotto controllo attraverso protezioni free, come questo. Un giorno mi ritrovo il server bloccato poiché, nell’arco di qualche ora, un malware si era installato in una delle cartelle e ha cominciato a mandare mail di spam. Quasi 1000 in totale in poche ore. Ora, non do un 4, poiché il 90% delle volte mi ha comunque protetto. Infatti successivamente ho scoperto che il malware in questione aveva abbattuto barriere anche più forti di un semplice plugin gratuito come sucuri (Era tutto partito dall’hosting probabilmente). E, per fortuna, ero ben protetto al livello 1 (SiteGround hosting, mi ha avvisato subito di un malfunzionamento), altrimenti non so quanto avrebbe potuto espandersi il danno.

– Monitoraggio: 8 punti;
Anche qui non può un plugin gratuito fare di più, è comunque un ottima soluzione, 8 punti tirati ma meritati.

– Post Hacking: 3 punti;
Anche in questo caso non ci sono soluzioni complete sotto questo aspetto. Wordfence indica queli file sono stati modificati e\o danneggiati ma non permette il ripristino quindi, tanto meno, la possibilità di un serio backup.

– Facilità d’uso: 10 punti;
Davvero semplice, installi, segui le istruzioni, fai uno scan e con click sistemi le magagne (se ci sono)

3) iTheme Security (Free Version): 6,83 punti su 10

Questo tool l’ho installato su uno dei miei “test blog”, come ho fatto per molti altri plugin del resto e a dire il vero oltretutto lo trovai tempo fa un pò per caso. Solo testandolo e cercando qualche informazione in più ho capito che non stavo affatto provando uno dei tanti tool in rete ma uno dei top consigliati. Vediamo qualche dettaglio in più:

– Prezzo: 10 punti;
Come per gli altri visti in precedenza è un tool free quindi il massimo dei voti.

– Protezione & Prevenzione: 6,5 punti;
Come per gli altri strumenti consigliati (e gratuiti) non posso dare più di un degno 6,5. Ho notato ne corso dei miei test che ogni produttore si focalizza su aspetti diversi, probabilmente dato dal numero di esperienze o di problemi con cui gli sviluppatori hanno avuto a che fare in passato. Quello che posso confermare resta comunque il fatto che il tool che ha funzioni in più pecca sulle funzioni che invece ha quell’altro. La domanda è.. Combiniamo i tools? Non a casaccio e senza aver fatto dei test su dei blog “campione”. Secondo i miei test ancuni tool (anche non citati in questa quida) vanno in conflitto e test fatti da altri miei colleghi hanno dimostrato come dopo un conflitto ci sia (in certi casi) l’impossibilità di installazione di nessun altro strumento di protezione anche con un installazione “pulita” ovvero previa disinstallazione di tutti i tools di protezione installati. Quindi un gran casino. Detto ciò attendi le mie “Private Combo” testate e consigliate prima di fare pastrocchi irrisolvibili 🙂

– Scansione: 6 punti;
Non “scava” in profondità come gli altri due, è buono, è gratuito e non si può pretendere di più.

– Monitoraggio: 8 punti;
Monitora in modo discreto l’ambiente in cui opera e fornisce dei log sulle modifiche dei file. Non troppo facile per i principianti ma buono come monitoraggio.

– Post Hacking: 3 punti;
Come per gli atri tools non fornisce alcun aiuto in questo senso. iThemes fornisce solo il backup del database ma troppo superficiale. Lascerei fare a chi ne sa qualcosa in più (tra breve la soluzione per dei backup da 10+).

– Facilità d’uso: 7,5 punti;
Un pò più tecnico e difficile da impostare, un principiante assoluto potrebbe trovarsi in difficoltà.

4) BulletProof Security (Free Version): 6,58 punti su 10

La versione free la trovi a questo link.

– Prezzo: 10 punti;
Free, quindi punteggio pieno.

– Protezione & Prevenzione: 8 punti;
Uno dei pochi ad offrire l’impostazione del numero massimo di tentativi di accesso.

– Scansione: 6 punti;
Come per iTheme non si può dare un voto poi cosi alto, offre scansioni di medio livello, appena sufficiente.

– Monitoraggio: 6 punti;
Monitora registrando ogni modifica effettuata ai file, utile in caso di attacco cosi da capire dove e come riparare.

– Post Hacking: 3 punti;
Anche in questo caso è possibile solo il back up del database, 3 punti.

– Facilità d’uso: 6,5 punti;
Soprattutto all’inizio è un pò difficilotto.

Tools “PRO” Protezione Livello 4

1) Sucuri Security Premium (versione a pagamento): 9.08 punti su 10

La versione Premium di Sucuri la trovi qui.

– Prezzo: 8 punti;
Allora, non che 199,99$ all’anno siano pochi, anzi, ma per il servizio offerto è davvero un prezzo equo. Se capitasse in 10 anni un serio attacco si spenderebbe molto di più per recuperare quanto perso (il recuperabile).

– Protezione & Prevenzione: 9,5 punti;
Beh che dire, il 10 è davvero difficile raggiungerlo senza supporti specifici atti a migliorare la protezione di altri livelli, vedi per esempio la doppia autenticazione.

– Scansione: 10 punti;
Scansione profonda, non gli sfugge niente.

– Monitoraggio: 10 punti;
Occhi sempre ben aperti.

– Post Hacking: 7 punti;
Anche se offre back up del database e sofisticati ripristini “post hacking” questo ambito va supportato con dei plugin specifici, che ti mostrerò nelle mie “private combo”, adatti al back up completo anche dei file.

– Facilità d’uso: 10 punti;
Molto facile ed intuitivo come la versione free.

2) Wordfence Security Premium (versione a pagamento): 8 punti su 10

La versione Premium di WordFence la trovi qui.

– Prezzo: 9 punti;
99$ l’anno. Fino a poco tempo fa si attestava come il tool per la sicurezza più economico, 39$. Purtroppo i giochi son cambiati, da qualche tempo il prezzo è lievitato a 99$.

– Protezione & Prevenzione: 7,5 punti;
Ho scartabellato bene le potenzialità di protezione di questo strumento e devo ammettere che è un tantino inferiore a Sucuri. Sotto certi aspetti, tipo per attacchi bruteforce, ecc è superiore, ma per altri aspetti cambia poco dalla versione free (del resto è tutt’altro prezzo).

– Scansione: 8,5 punti;
Non cambia molto dalla versione free, solo la possibilità di pianificare le scansioni.

– Monitoraggio: 10 punti;
Monitoraggio semplicemente ottimale ed in tempo reale. Ottimo

– Post Hacking: 3 punti;
Anche in questo caso non ci sono soluzioni complete sotto questo aspetto. Wordfence indica queli file sono stati modificati e\o danneggiati ma non permette il ripristino quindi, tanto meno, la possibilità di un serio backup.
NB: non cambia nulla dalla free version.

– Facilità d’uso: 10 punti;
Beh se a Sucuri ho dato 10 a Wordfence dovrei dare 10+, è un pochino piu semplice e di rapida intuizione.

3) iTheme Security Pro (versione a pagamento): 7,91 punti su 10

Decisamente migliore questa versione rispetto alla free, in cambio di un prezzo onesto. La versione Premium di iTheme Security la trovi qui.

– Prezzo: 9 punti;
80$ l’anno, ne troppo caro, ne troppo economico. Il giusto per quello che propone direi.

– Protezione & Prevenzione: 8 punti;
Manca qualche funzionalità importante, comunque 8 punti meritati. Ha praticamente qualche impostazione in più rispetto alla free.

– Scansione: 10 punti;
Ottima scansione in questa versione “pro”.

– Monitoraggio: 10 punti;
Monitora in modo ottimale.

– Post Hacking: 3 punti;
Come per gli atri tools non fornisce alcun aiuto in questo senso. iThemes fornisce solo il backup del database ma troppo superficiale. Lascerei fare a chi ne sa qualcosa in più (tra breve la soluzione per dei backup da 10+). Uguale alla free version.

– Facilità d’uso: 7,5 punti;
Un pò più tecnico e difficile da impostare, un principiante assoluto potrebbe trovarsi in difficoltà. Uguale alla free version.

4) BulletProof Security Pro (versione a pagamento): 7,75 punti su 10

La versione Pro di BulletProof Security la trovi a questo link.

– Prezzo: 10 punti;
Punteggio pieno, conoscendo la qualità del prodotto in questione direi che 60$ (una tantum per la licenza) sono più che onesti. Per ora si attesta come il più conveniente antivirus (gli altri hanno un prezzo annuale).

– Protezione & Prevenzione: 9 punti;
Da quanto mi è sembrato di capire gli sviluppatori si sono concentrati su questo fattore: proteggere, proteggere e proteggere. All’eventuale danno in caso di attacco ci pensiamo dopo. Infatti è l’unico ad accaparrarsi un punteggio più alto nel “post hacking”.

– Scansione: 6 punti;
Offre scansioni di medio livello, sufficienti come il prodotto free.

– Monitoraggio: 8 punti;
Monitora registrando ogni modifica effettuata ai file, utile in caso di attacco cosi da capire dove e come riparare.

– Post Hacking: 6,5 punti;
BulletProof merita qualche punto in più, permette il backup del database e dei file.

– Facilità d’uso: 7 punti;
Soprattutto all’inizio è un pò difficilotto.

Ok, è ora di tirare le somme. Prima di concludere questa sezione approfondendo il livello di vulnerabilità 5 vediamo quali dettagli ne risultano dalla classifica qui sopra:

1. Le free version che ti ho presentato sono tutte valide. Io simpatizzo per WordFence quando necessito al volo di una difesa “cheap” (o meglio, free) ma allo stesso tempo seria.

1. Tra le versioni a pagamento beh non ho altro da aggiungere alla mia classifica, ad oggi Sucuri è il top. Anche nel prezzo (è il più caro!).

1. Tutte gli strumenti di protezione di questo livello peccano gravemente su qualche fattore importante.

• BackUp. Il back up del database non è sufficiente. Serve una costante, giornaliera, ben organizzata copia di tutti i file, cosi da ripristinare le magagne al piu presto.
• Hai sentito nominare in tutta la classifica la parola “Spam”? Ecco il fatto è che effettivamente una seria e specifica difesa dallo spam questi strumenti non la fanno, lasciano il lavoro sporco a plugin specifici. Eppure lo spam è stato molte volte motivo di attacco. Quindi difese alte anche in tal senso.

A mio parere, se prendessimo i top 2 della classifica “premium” e aggiungessimo dei tools di supporto per rinforzare i punti deboli potremmo tranquillamente raggiungere 10 punti (o quasi) per ogni fattore rilevante (protezione, scansione, monitoraggio, post hacking).
Ecco questo sarà quello che farò nella sezione dedicata alle mie “private combo”.
Ora concludo questa sezione illustrandoti il livello di vulnerabilità 5 e poi passerò a tali combinazioni.

Livello 5: protezione del client (il tuo pc, ecc)

Ok, hai scelto l’hosting top del mercato, hai super protetto i 4 livelli che ho appena sviscerato e poi..
Usi un antivirus free sul tuo pc (non che sia un peccato, ma tu maneggi server, password importanti, conti paypal..), oppure salvi le tue password su un file chiamato “Password” e lo tieni nella cartella documenti.
E installi software gratuiti cliccando su “next > next > ok > ok” senza leggere una parola di quanto ti avvisano.
Ok, sto esagerando, ma non pensare che questo non sia all’ordine del giorno. Ho creato volutamente il “livello 5” per non far decadere il castello creato rinforzando gli altri 4 livelli per delle banalità risolvibili con pochi strumenti.

• Responsabilità, ovvero, chi deve interessarsene?

Questo è il livello 5, ovviamente è il livello in cui la totalità della responsabilità è in mano a tutti coloro che gestiscono il blog, che ne gestiscono le password di accesso, che accedono ai server per aggiungere foto, contenuti, ecc.

• Cosa posso fare per proteggere il mio blog a questo livello?

Qui la questione si divide in tre parti:

1) Regole base di “buona condotta”, ovvero le buone abitudini che tutti dovremmo tenere quando siamo su un pc, potrebbero sembrare le “regole della nonna”, ma qui non siamo tutti dei nerd, quindi:

1. Non installare qualsiasi programma free ti viene proposto a meno che tu non stia attento ad ogni qual sorta di spunta o accettazione parallela di toolbar e altre diavolerie;
2. Non aprire allegati di mail di banche, postepay, carte di credito, eccetera;
3. Non salvare password qua e la su file di testo;
4. Proteggiti bene con degli antivirus professionali, soprattutto se utilizzi windows.

NB, lo so, son cose da principiante, ma per mia esperienza fidati che è all’ordine del giorno risolvere problematiche (pishing soprattutto, ovvero furto dei dati di accesso di account sociali o wordpress) innescate dalla mancanza di protezione a questo livello 5.

2) Comunicazione con il tuo spazio hosting con programmi “FTP” affidabili:

1. FileZilla, io uso questo;
2. Transmit per il Mac (a pagamento);
3. CyberDuck;

3) Utilizzo di tutti i tools disponibili per:

• Bloccare ogni qual sorta di virus;
• Bloccare ogni qual sorta di malware;
• Tenere segrete tutte le password di accesso di tutti i tool o aree private.

• Tools consigliati per proteggerti a questo livello

Non mi dilungherò molto, ho ancora un pò di cose da dire nella prossima sezione e non voglio sparare qui le ultime cartucce. Comunque, ti darò un elenco degli strumenti che utilizzo io per gestire la sicurezza al livello di protezione 5:

Antivirus:

sia per Mac che per Windows (no, non mi fido ciecamente di windows defender). Lo so, le minacce per il Mac sono inferiori, ma prevenire è meglio che curare. Secondo uno studio fatto dalla Symantec (quelli di Norton Antivirus) nell’ultimo anno i malware creati per il mac sono pari a tutti quelli creati nei 5 anni precedenti.
Quindi, i miei “top tools” consigliati sono:

1. BitDefender, trovi qui la free version e trovi qui la premium version;
2. KasperSky, lo trovi qui. ;
3. Norton antivirus, lo trovi qui.

Ovviamente intendo le versioni premium a pagamento. Si tratta di un investimento che va dai 30 ai 50€ all’anno ma ne vale la pena. Vi state proteggendo per non mandare al diavolo il lavoro di mesi, se non di anni.

Antimalware:

1. Previa compatibilità io utilizzo da sempre AntiMalwarebytes. Io sono uno smanettone, difficilmente mi faccio fregare (non è impossibile!)ma non vi immaginate quante volte ho ringraziato quel tool per “essermi stato vicino” nei momenti in cui stavo per installare un malware. Lo trovi a questo link, 14 giorni di prova “premium” poi passi alla free.

Password manager:

1. unico tool che posso consigliarti è LastPass, io ho la versione premium però va benissimo anche quella free. Hai un unica password da ricordare (quindi generala forte ma ricordatela!)e nell’area privata ti ritrovi tutte le altre. Top.

Bene, abbiamo letteralmente sviscerato tutti e 5 i livelli di vulnerabilità di un blog wordpress. Ora passiamo alla prossima sezione, ti svelerò le mie personali “Private Combo” infallibili.

Parte 2: le mie “Private Combo” (quasi) infallibili

O yes! Eccoci arrivati all’ultima sezione di questa guida, ti voglio proporre qui una serie di strumenti che, combinati in modo ottimale, ti faranno ottenere una barriera infallibile. Alcuni di questi tools te li ho già presentati in precedenza, altri di supporto te li svelerò ora.
Ho creato 3 private combo in funzione al budget:

• Budget minimi, protezione buona (8 su 10);
• Budget medio, protezione discreta (9 su 10);
• Budget medio-alto, protezione ottimale (10 su 10).

Budget minimi: dai 50 ai 90€ all’anno circa

• Spesa per l’hosting: 50€ all’anno.
• NB: L’hosting non è solo un tool di protezione, un hosting è ovviamente indispensabile a prescindere dalla volontà di proteggerci dai malintenzionati!
• Spesa per i tools di protezione: da 0€ a 35€ all’anno, solo il tool per il back up.
• Grado di protezione: 8\10;

Vediamo nel dettaglio livello per livello:

Livello 1, spazio hosting & co:

1. Hosting Siteground, piano StartUp: 50€ circa all’anno (scalabile)

Livello 2, il “Core WordPress” e falle di sistema:

1. Chiudere le “micro-falle” manualmente (vedi sezione dedicata);

Livello 3, admin panel, brute force attac:

1. LogicLockDown, limitare i tentativi di accesso a 3 e poi blocco di 1 ora. Lo trovi qui, free.
2. Stealth Login Page, per la doppia autenticazione. Lo trovi qui, free.

Livello 4, plugin e falle interne a WP:

Qui viene il bello, non so perchè, ma proteggere questo livello è la parte che mi diverte di più.
Propongo, per bassi budget o chi è all’inizio, una combinazione di 2-3 free security tool, un tool per il back up, più altri consigli utili.
Quindi:

1. WordFence Security Free Version (WordFence ha un piccolo problema di compatibilità con Sucuri security, qui ti spiego come risolverlo in un minuto, possibilmente fallo prima di installare Sucuri).
2. Sucuri Security free version.
3. BulletProof Security free version.
4. VaultPress per il backUp giornaliero (35€ all’anno circa). Oppure, proprio per azzerare i costi, imposti un backup del database con Sucuri e ti fai un back up settimanale via FTP in un tuo hard disk o sul pc.
5. Antispam, il mitico “Akismet” funziona alla grande, oppure “Spam Protector by Clean Talk” o “WangGuard“.

Livello 5, protezione del client, il tuo pc:

1. Antivirus BitDefender free. Anche per Mac. Secondo me anche per Mac BitDefender Pro (40€ all’anno circa) è il top tra gli antivirus.
2. Antimalwarebytes free, non fa scansioni automatiche, dovrai farla tu settimanalmente (o dieci giorni). Anche per Mac.
3. FileZilla per le trasmissioni FTP o Transmit (quest’ultimo solo per mac).
4. LastPass (Password Manager). Free

Budget medio: dai 165€ ai 200€ all’anno circa;

• Spesa per l’hosting: dai 95€ ai 130€ all’anno.
• NB: L’hosting non è solo un tool di protezione, un hosting è ovviamente indispensabile a prescindere dalla volontà di proteggerci dai malintenzionati!
• Spesa per i tools di protezione: da 90€ all’anno (se soluzione con wordfence premium) o 50€ all’anno + 60€ una tantum per bulletproof security premium.
• Grado di protezione: 9\10;

Vediamo nel dettaglio livello per livello:

Livello 1, spazio hosting & co:

1. Hosting Siteground, piano GrowBig (oppure GoGeek) : dai 95€ ai 130€ all’anno. Da questo piano in poi SiteGround permette di avere più banda (quindi più visitatori), qualche servizio aggiuntivo in più e la possibilità di backup direttamente dalla dashboard (una sicurezza in più, come vedrai consiglio comunque un servizio specifico per il backup).

Livello 2, il “Core WordPress” e falle di sistema:

1. Chiudere le “micro-falle” manualmente, vedi sezione specifica;

Livello 3, admin panel, brute force attac:

1. LogicLockDown, limitare i tentativi di accesso a 3 e poi blocco di 1 ora. Lo trovi qui, free.
2. Stealth Login Page, per la doppia autenticazione. Lo trovi qui, free.

Livello 4, plugin e falle interne a WP:

Propongo qui una combinazione tra un servizio antivirus premium e dei tool di supporto. Niente di meglio, secondo me, per budget di medio livello come questo. Infine voterò la trafila di fattori (prezzo, protezione, scansione, monitoraggio, post hacking) per capire come questa combinazione protegga questo livello. Quindi:

1. Wordfence Security Premium (90€ circa all’anno). Lo trovi qui. Oppure, se sei più a tuo agio con un pagamento “una tantum” consiglio BulletProof Security Pro (60€ circa, una sola volta). La protezione è simile, infatti hanno mezzo punto di differenza nella mia classifica.
2. CodeGuard per il backUp giornaliero 50€ all’anno. Oppure VaultPress (35€ all’anno).
3. Antispam, il mitico “Akismet” funziona alla grande, oppure “Spam Protector by Clean Talk” o “WangGuard“.

Livello 5, protezione del client, il tuo pc:

Qui a te la scelta, puoi lasciare invariato, come la “Private Combo” precedente, oppure aumentare un pò il budget e rinforzare a livello generale le difese “lato client”. Io propongo:

1. Antivirus BitDefender Pro (30€ all’anno)o KasperSky Pro (30€ l’anno) o Norton Pro (39€ all’anno). Ripeto che secondo me per Mac BitDefender Pro (40€ all’anno circa) è il top tra gli antivirus.
2. Antimalwarebytes free, non fa scansioni automatiche, dovrai farla tu settimanalmente (o dieci giorni). Anche per Mac.
3. FileZilla per le trasmissioni FTP o Transmit (quest’ultimo solo per mac).
4. Last Pass (password manager). Free.

Budget medio-alto: dai 450€ in su;

In termini di protezione è il massimo della spesa per una ottima protezione, l’unica cifra che potrebbe salire è quella relativa ad uno spazio hosting dedicato il che, comunque, non è uno strumento di protezione fine a se stesso.

• Spesa per l’hosting: dai 95€ ai 130€ all’anno. Oppure dai 250€ in su per hosting dedicati (scelta da fare in proporzione al business).
• NB: L’hosting non è solo un tool di protezione, un hosting è ovviamente indispensabile a prescindere dalla volontà di proteggerci dai malintenzionati!
• Spesa per i tools di protezione: 230€ all’anno. 180€ all’anno per Sucuri Security Premium e 50€ all’anno per codeguard (backup tool).
• Spesa per la protezione del client (livello 5): 100€ all’anno, antivirus (40€ all’anno), antimalware (40€ all’anno) e LastPass premium (15€ all’anno).
• Grado di protezione: 10\10;

Vediamo nel dettaglio livello per livello:

Livello 1, spazio hosting & co:

Qui due alternative, o uno dei due piani proposti nella “Private Combo 2”, ovvero:

1. Hosting Siteground, piano GrowBig (oppure GoGeek) : dai 95€ ai 130€ all’anno. Da questo piano SiteGround permette di avere più banda (quindi più visitatori), qualche servizio aggiuntivo in più e la possibilità di backup direttamente dalla dashboard (una sicurezza in più, come vedrai consiglio comunque un servizio specifico per il backup).

Oppure un servizio di server dedicato creato appositamente per wordpress:

1. BlueHost, piano “wp standard” (19,99$ al mese) oppure il piano “wp enhanced” (29,99$ al mese)

Oppure un servizio ancora più professionale:

1. LiquidWeb, “Managed WordPress”, piano “Personal”. 119$ al mese. Utile se hai più di un sito (piano “Personal” fino a 10).

Livello 2, il “Core WordPress” e falle di sistema:

1. Chiudere le “micro-falle” manualmente, vedi sezione specifica;

Livello 3, admin panel, brute force attac:

1. LogicLockDown, limitare i tentativi di accesso a 3 e poi blocco di 1 ora. Lo trovi qui, free.
2. Stealth Login Page, per la doppia autenticazione. Lo trovi qui, free.
3. Per un livello di protezione ancora superiore valutare l’alternativa di
4. Clef Two-Factor Authentication, lo trovi qui;
5. oppure:
6. Due Two Factor Authentication, lo trovi qui.

Livello 4, plugin e falle interne a WP:

Propongo qui la combinazione secondo me ottimale per difendere questo livello con uno scudo protettivo di altissimo livello. Anche qui vi è una combinazione tra un antivirus Premium, Sucuri Security, e dei tool di supporto, già visti nelle precedenti “Private Combo”.

Quindi:

1. Sucuri Security Premium, completo di Sucuri Website Firewall, un antivirus nell’antivirus praticamente. 199,99$ all’anno. Li vale tutti.
2. CodeGuard per il backUp giornaliero 50€ all’anno.
3. Antispam, il mitico “Akismet” funziona alla grande, oppure “Spam Protector by Clean Talk” o “WangGuard“.

Livello 5, protezione del client, il tuo pc:

Come per la “Private Combo” precedente propongo:

1. Antivirus BitDefender Pro (30€ all’anno)o KasperSky Pro (30€ l’anno) o Norton Pro (39€ all’anno). Ripeto che secondo me per Mac BitDefender Pro (40€ all’anno circa) è il top tra gli antivirus.
2. Antimalwarebytes Pro, scansioni automatiche a cadenza settimanale. Anche per Mac. 40€ all’anno.
3. FileZilla per le trasmissioni FTP o Transmit (quest’ultimo solo per mac).
4. Last Pass Pro (15€ all’anno).

Conclusioni

Articolo-guida lunghetto vero? Beh quando ho a che fare con la tecnica o con il consigliare uno o l’altro tool non riesco a trattenermi.

Devo farne una panoramica completa e sbizzarrirmici fino a quando ogni dubbio è soddisfatto.

Se questo format di articolo “guida” ti è piaciuto clicca su “mi piace” o condividi sul tuo canale social preferito.

Per qualsiasi commento, domanda o altro non esitare a scrivere nello spazio appena sotto.

A presto e

-TuttoBello-🙂

Stefano