Sicurezza di WordPress con Wordfence
Wordfence è uno strumento indispensabile per garantire la sicurezza di WordPress, un plugin completo ed affidabile (ma non è il solo..) per proteggere il vostro sito WordPress da attenzioni indesiderate che potrebbero comprometterlo e causare danni anche gravi se non neutralizzate.
In questo articolo non elencherò le sue caratteristiche, che sono già note ed ampiamente sviscerate ma vorrei porre l’attenzione su alcune dinamiche relative alle molestie e a i tentativi di intrusione che tutti i siti subiscono ogni giorno.
Tipologia degli attacchi
Scorrendo il “Live Traffic” di Wordfence si può notare come ci siano molte occorrenze che mostrano hit ai file xmlrpc.php e al file wp-login.php del vostro sito e provengono generalmente da dei BOT che Wordfence marca con una banda grigia, la maggior parte di questi provengono da paesi “esotici” come India, Filippine, Africa, Asia, Oceania ma anche da USA ed Europa. Questi BOT “saggiano” la raggiungibilità di questi fondamentali files per verificare la possibilità di portare attacchi. Ci sono due soluzioni possibili: inserire il file xmlrpc.php nella blacklist che causa il blocco immediato dell’IP che ha tentato di raggiungerlo e utilizzare un plugin come WPS Hide Login che provvederà a disattivare l’accesso alla cartella wp-admin e a rinominare la pagina di login con un nome scelto da voi magari qualcosa come /xyvz-112-911/ e restituendo un errore 404 a tutti quelli che cercheranno di accedere al file wp-login.php lasciandoli con un palmo di naso. La versione completa di Wordfence offre la possibilità di bloccare gli IP provenienti da tutte le nazioni da cui si ricevono molestie, possibilità questa non inclusa nella versione gratuita.
I tentativi di intrusione
La seconda tipologia di attacco è il tentativo diretto di accesso all’area di amministrazione di WordPress inserendo nome utente e password e di cui Wordfence ci avverte immediatamente via E-Mail provvedendo a bloccare l’IP del malintenzionato. Qui a costo di annoiare bisogna ripetere ancora che è assolutamente necessario non utilizzare nomi utente banali come admin o user ed utilizzare password robuste composte da maiuscole/minuscole/numeri/caratterispeciali ed utilizzare questo codice nel file .htaccess per impedire che si possano individuare i nomi utente. Ovviamente avere sempre un backup del proprio sito e tenerlo sempre aggiornato.
# block user enumeration
RewriteCond %{QUERY_STRING} (^|&)author=
RewriteRule . http://%{SERVER_NAME}/? [L]
Un suggerimento per incrementare la sicurezza di WordPress con Wordfence è quello di impostare la durata del blocco degli IP che hanno violato qualche regola al massimo periodo possibile ovvero a un mese, diversamente Wordfence li bloccherà per soli 4 minuti e magari non farete in tempo a bloccarli definitivamente. Tutte le altre attività “sospette” come gli attacchi directory-trasversal e tentativi di upload di file maliziosi vengono generalmente bloccati dal firewall di WordFence.
E’ possibile fare molto per la sicurezza di WordPress con Wordfence
Ma bisogna ricordare che da solo non basta e che va opportunamente “addestrato” come un buon cane da guardia che deve tenere lontani i malintenzionati e non mordere i nostri amici.