[I backup in cloud sono appena diventati più semplici: Duplicator Cloud elimina l'archiviazione di terze parti
Joella Dunn
Joella Dunn
John Turner
John Turner
Se avete mai controllato i log del vostro sito WordPress, conoscete la verità: il vostro sito è sotto attacco costante.
In questo momento, i bot automatizzati stanno scandagliando Internet, sondando milioni di siti WordPress alla ricerca di punti deboli. Non gli importa se siete una piccola azienda o un blogger personale: sono alla ricerca di qualsiasi vulnerabilità che possano sfruttare.
La gestione di un sito WordPress vi rende un bersaglio, chiaro e semplice. Dal momento che WordPress alimenta oltre il 40% di tutti i siti web, gli aggressori concentrano i loro sforzi su dove otterranno il massimo rendimento.
Il vostro sito è nel loro mirino, che ve ne rendiate conto o meno.
È proprio per questo che un firewall per WordPress non è facoltativo: è il vostro buttafuori digitale, che sta alla porta e allontana i visitatori sospetti prima che possano causare problemi.
In questa guida spiegherò cosa fa effettivamente un firewall per WordPress e come configurarlo.
Considerate il firewall come la guardia di sicurezza del vostro sito web. Si frappone tra il vostro sito WordPress e il resto di Internet, controllando tutti coloro che vogliono entrare.
Il firewall di un sito web è un sistema di filtraggio. Esamina i dati che cercano di raggiungere il vostro sito e prende decisioni in una frazione di secondo: "È un traffico legittimo o una potenziale minaccia?".
Ogni volta che qualcuno (o qualcosa) cerca di accedere al vostro sito, invia una cosiddetta richiesta HTTP. Queste richieste contengono pacchetti di dati con informazioni su chi sono, cosa vogliono e come lo chiedono.
Il firewall ispeziona questi pacchetti alla ricerca di schemi sospetti.
Quando il firewall individua qualcosa di sospetto, come una richiesta che tenta di accedere alle aree di amministrazione con mezzi insoliti, ripetuti tentativi di accesso dalla stessa fonte o traffico che corrisponde a firme di attacco note, lo blocca prima che raggiunga il vostro sito WordPress.
Probabilmente il vostro computer è dotato di un firewall, probabilmente anche il vostro router domestico ne ha uno e le grandi organizzazioni utilizzano firewall di rete per proteggere interi sistemi. Il principio è lo stesso: filtrare le cose cattive prima che possano fare danni.
La risposta breve? No, WordPress non è dotato di un firewall integrato.
Il nucleo di WordPress include alcune misure di sicurezza di base: ha processi di autenticazione sicuri e sanitizzazione dei dati per prevenire alcuni tipi di attacchi. Il team di WordPress si adopera inoltre per correggere rapidamente le vulnerabilità quando vengono scoperte.
Ma quando si tratta di filtrare attivamente il traffico dannoso prima che raggiunga il vostro sito? Questo non è incluso nella confezione.
Questa lacuna esiste per progetto. WordPress è un sistema di gestione dei contenuti, non una suite di sicurezza. È costruito per essere ampliato con le esatte funzionalità di cui avete bisogno, invece di raggruppare tutto il possibile nel software di base.
È qui che entrano in gioco i plugin e le configurazioni del server. Dovrete aggiungere la funzionalità firewall al vostro sito WordPress, sia attraverso un plugin di sicurezza che includa funzioni WAF (Web Application Firewall), sia attraverso protezioni a livello di server.
I bot e i crawler scansionano costantemente Internet alla ricerca di installazioni WordPress vulnerabili. Il vostro firewall è ciò che impedisce loro di colpire la vostra pagina di accesso a WordPress o di sondare i plugin obsoleti con falle di sicurezza note.
Oltre ai tentativi di forza bruta, un buon firewall blocca il traffico proveniente da indirizzi IP noti come dannosi. Inoltre, riconosce gli attacchi WordPress più comuni, come l'SQL injection o il cross-site scripting (XSS).
Questi attacchi cercano di iniettare codice dannoso nel vostro sito, che potrebbe rubare dati, reindirizzare i visitatori o prendere completamente il controllo del vostro sito.
C'è anche un vantaggio in termini di prestazioni. Quando il traffico dannoso viene filtrato prima che venga completamente processato dall'installazione di WordPress, le risorse del server rimangono concentrate sui visitatori legittimi. Questo spesso si traduce in una maggiore velocità e reattività per gli utenti effettivi.
Le conseguenze dell'omissione di questa protezione possono essere gravi. Un sito WordPress compromesso potrebbe essere deturpato, con l'iniezione di malware o addirittura utilizzato per attaccare altri siti. Una volta che ciò accade, si prospettano potenziali tempi di inattività, perdita di dati e il lavoro minuzioso di rimozione del malware.
Anche la vostra reputazione ne risente. I visitatori potrebbero vedere avvisi del browser che indicano che il vostro sito non è sicuro e Google potrebbe segnalare o addirittura cancellare il vostro sito dai risultati di ricerca. Alcune società di hosting sospendono addirittura gli account che diventano un rischio per la sicurezza degli altri clienti.
Non tutti i firewall per WordPress funzionano allo stesso modo. Capire le differenze vi aiuta a scegliere la protezione giusta per il vostro sito.
Questi sono i più importanti per gli utenti di WordPress, in quanto sono progettati specificamente per proteggere applicazioni web come WordPress, Joomla o Drupal.
I WAF filtrano il traffico HTTP (le richieste che arrivano al vostro sito web) alla ricerca di modelli sospetti o di firme di attacco note. Ne esistono due tipi diversi.
I WAF endpoint vengono eseguiti direttamente sul vostro server, di solito come plugin di WordPress. Controllano il traffico dopo che ha raggiunto il vostro server, ma prima che WordPress lo elabori completamente.
Mi piacciono perché sono più facili da configurare e spesso forniscono log dettagliati direttamente nella dashboard di WordPress. Tuttavia, esaminano il traffico che ha già raggiunto il vostro server, il che significa che non possono prevenire il sovraccarico del server dovuto ad attacchi massicci.
I WAF basati sul cloud funzionano in modo diverso. Agiscono come un proxy tra i visitatori e il vostro sito web: tutto il traffico passa attraverso la loro rete prima di raggiungere il vostro server.
Il vantaggio è che possono bloccare gli attacchi su larga scala prima che colpiscano il vostro server, evitando problemi di prestazioni. Il compromesso è che di solito richiedono modifiche al DNS e potrebbero aggiungere un po' di latenza (anche se di solito non si nota).
Questi funzionano a livello di sistema operativo sul server web. Esaminano il traffico di rete più in generale, filtrando in base a indirizzi IP, porte e protocolli.
Se avete un hosting condiviso, probabilmente il vostro provider dispone di firewall a livello di server, ma è probabile che non possiate configurarli da soli.
I firewall per server offrono una protezione più ampia, ma non sono specifici per WordPress come i WAF. Sono ottimi per bloccare le connessioni sospette, ma sono meno attrezzati per identificare gli attacchi specifici alle applicazioni.
Esistono ai confini della rete e in genere proteggono intere reti piuttosto che singoli siti web.
Come proprietari di un sito WordPress, in genere non li gestirete direttamente, a meno che non stiate gestendo un'installazione di livello aziendale. La vostra società di hosting li utilizza quasi sicuramente come parte della sua infrastruttura.
Per la maggior parte dei proprietari di siti, l'approccio più semplice consiste nell'utilizzare un plugin di sicurezza che includa la funzionalità WAF. Alcuni dei migliori plugin firewall per WordPress sono:
Se avete un budget limitato, prendete in considerazione una soluzione firewall WordPress gratuita per iniziare, per poi aggiornarla man mano che il vostro sito cresce.
Per i WAF basati su plugin (endpoint), la configurazione comporta tipicamente:
L'ultimo passaggio è importante: consente al codice del firewall di essere eseguito prima del caricamento della pagina, prima del caricamento di WordPress stesso. Questo lo rende più efficace contro alcuni attacchi.
Per i WAF basati sul cloud come quello di Sucuri, è necessario:
La prima volta che ho configurato un firewall, ero nervoso per la possibilità di interrompere il mio sito. Ma nel corso degli anni il processo è diventato molto più semplice. La maggior parte delle interfacce dei plugin vi guida in ogni fase.
Se non vi sentite a vostro agio nell'apportare queste modifiche, prendete in considerazione l'idea di assumere uno sviluppatore per un'ora o due per configurare le cose in modo corretto. L'investimento vale la pena per la protezione che otterrete.
Sebbene i firewall siano essenziali, non sono privi di problemi. Essere consapevoli di queste potenziali insidie aiuta ad affrontarle rapidamente se si presentano.
Questo è probabilmente il problema più comune: quando il firewall blocca erroneamente il traffico legittimo.
Gli scenari più comuni includono:
La maggior parte dei plugin del firewall dispone di una funzione di whitelist per questo motivo. Se si scopre che alcuni servizi o utenti vengono bloccati in modo errato, è possibile aggiungerli a questo elenco sicuro.
I firewall aggiungono un sovraccarico di elaborazione poiché esaminano ogni richiesta. Anche se di solito è minimo, questo può aumentare.
I firewall endpoint (plugin) utilizzano le risorse del server e possono rallentare il caricamento delle pagine se non sono ottimizzati. I firewall basati sul cloud aggiungono un po' di latenza, poiché il traffico passa prima attraverso i loro server.
Se il sito risulta più lento dopo l'installazione di un firewall, potrebbe essere necessario regolare le impostazioni o passare a una soluzione più efficiente.
Come ogni plugin, gli strumenti di sicurezza possono talvolta entrare in conflitto con altre parti della configurazione di WordPress.
Ecco cosa potrebbe accadere:
Se si nota un comportamento strano dopo l'installazione di un firewall, provare a disattivare temporaneamente altri plugin uno per uno per identificare eventuali conflitti.
La scelta delle impostazioni giuste può essere complicata. Impostando regole troppo rigide, si bloccano gli utenti legittimi. Se troppo lasche, si lasciano delle vulnerabilità.
Ciò è particolarmente vero se si dispone di configurazioni personalizzate come:
Iniziate con le impostazioni predefinite, poi modificatele gradualmente man mano che imparate a capire cosa funziona per il vostro sito specifico.
Sebbene esistano opzioni gratuite, una protezione aggiuntiva richiede spesso abbonamenti a pagamento. Per queste funzioni potrebbe essere necessario effettuare un aggiornamento:
Questi costi sono un investimento in sicurezza, ma devono essere considerati nel budget del sito web.
Forse il problema più grande è il falso senso di sicurezza che un firewall può dare. È un livello critico, ma non l'unica difesa.
Un firewall non è utile se:
Ecco perché un approccio a più livelli (compresi backup affidabili di WordPress) rimane essenziale.
Un firewall che non fa il suo lavoro può dare un pericoloso falso senso di sicurezza. Ecco i segnali che indicano che la vostra protezione potrebbe essere compromessa.
La maggior parte dei plugin del firewall fornisce un registro delle attività che mostra ciò che è stato bloccato. Fate in modo che questo faccia parte della regolare manutenzione del vostro sito.
Rispondete a queste domande:
Ho l'abitudine di analizzare questi registri settimanalmente. Una volta che si conosce l'andamento normale del sito, le anomalie diventano più facili da individuare.
Un picco di tentativi di accesso falliti che non vengono bloccati è un segnale di allarme importante. Ancora peggio è se si notano accessi riusciti da luoghi sconosciuti o a orari strani.
Impostate le notifiche di accesso se il vostro firewall o plugin di sicurezza offre questa funzione. Ricevere un'e-mail quando qualcuno effettua l'accesso è un sistema di allarme precoce.
Se il vostro sito rallenta improvvisamente senza un corrispondente aumento del traffico legittimo, il vostro firewall potrebbe essere in difficoltà o far passare il traffico di attacco che sta intasando il vostro server.
Controllate le metriche dell'hosting insieme alle statistiche del firewall. Un calo delle prestazioni combinato con un aumento dell'utilizzo delle risorse potrebbe indicare che il vostro sito sta gestendo attacchi che il firewall dovrebbe bloccare.
Spesso la vostra società di hosting dispone di sistemi di monitoraggio aggiuntivi. Se vi contattano per segnalare attività sospette provenienti dal vostro sito, prendetele sul serio.
Queste notifiche di solito significano che qualcosa ha già aggirato la sicurezza e compromesso il vostro sito.
Il segno più evidente di un guasto al firewall è il riscontro di modifiche inattese al sito, come ad esempio:
A questo punto, più che di prevenzione, si tratta di pulizia.
L'esecuzione occasionale di scansioni di sicurezza esterne può individuare i problemi che gli strumenti interni non rilevano. Un buon scanner di vulnerabilità può identificare potenziali punti deboli prima che vengano sfruttati.
Servizi come Sucuri SiteCheck o il rapporto Security Issues di Google in Search Console possono identificare vulnerabilità o infezioni attive che il firewall avrebbe dovuto prevenire.
Le scansioni regolari delle minacce informatiche dovrebbero far parte della vostra routine di sicurezza.
Se il vostro firewall non funziona, non limitatevi a modificare le impostazioni e sperare nel meglio. Prendete in considerazione la possibilità di passare a un altro servizio di firewall.
E ricordate: questo è esattamente il motivo per cui mantenere backup regolari e sicuri con uno strumento come Duplicator è indispensabile per qualsiasi proprietario di un sito WordPress. Se gli hacker dovessero entrare nel vostro firewall, vorrete ripristinare rapidamente il vostro sito in uno stato pulito.
Sì, se avete un sito web WordPress, dovreste avere un firewall. Il vostro sito viene costantemente sondato da attacchi automatici, indipendentemente dalle sue dimensioni o dalla sua popolarità. Un firewall è basilare e necessario come avere delle serrature alle porte: è una protezione fondamentale, non un optional.
Wordfence Security è un plugin di sicurezza gratuito con una solida protezione firewall. Se siete alla ricerca di uno strumento di sicurezza a basso costo, ve lo consiglio vivamente.
Il nucleo di WordPress include alcune funzioni di sicurezza, come gli aggiornamenti regolari. Tuttavia, non dispone di un firewall integrato per filtrare e bloccare attivamente il traffico dannoso. Questo livello di sicurezza critico deve essere aggiunto separatamente tramite plugin o configurazioni del server.
Un sito WordPress può essere molto sicuro, ma non lo è automaticamente solo perché è WordPress. La sua sicurezza dipende in larga misura dal modo in cui lo si gestisce.
Un sito WordPress sicuro comprende in genere:
Molte violazioni della sicurezza non avvengono perché WordPress è insicuro di per sé, ma a causa di software obsoleti, password deboli o livelli di sicurezza mancanti.
La sicurezza richiede un approccio a più livelli. Ecco alcuni modi per proteggere il vostro sito WordPress:
Nessuna singola misura fornisce una protezione completa, ecco perché l'approccio a più livelli è così importante.
L'impostazione di un'adeguata protezione del firewall potrebbe richiedere un po' di tempo all'inizio, ma è molto più facile che recuperare da un hack.
La tranquillità di sapere che il vostro sito ha un filtro cruciale tra lui e la costante raffica di attacchi ne vale la pena. Inoltre, un sito WordPress sicuro contribuisce a creare fiducia nei vostri visitatori e clienti.
Ricordate, però, che la sicurezza non è un compito da svolgere una volta sola. È un processo continuo che richiede attenzione e aggiornamenti in base all'evoluzione delle minacce. Consideratelo come una manutenzione regolare, come il cambio dell'olio dell'auto o un check-up della salute.
E soprattutto, anche il miglior firewall può fallire. Ecco perché disporre di backup affidabili e testati è la rete di sicurezza definitiva per il vostro sito WordPress. Con Duplicator, potete creare backup completi del sito che rendono il ripristino da qualsiasi incidente di sicurezza semplice e affidabile.
Non aspettate di essere scoperti dopo una violazione per capire il valore di una protezione di backup di livello professionale. Abbinate il vostro nuovo firewall a Duplicator Pro per ottenere la soluzione di sicurezza WordPress definitiva!
Mentre siete qui, penso che vi piaceranno anche queste altre guide su WordPress:
Divulgazione: I nostri contenuti sono sostenuti dai lettori. Ciò significa che se cliccate su alcuni dei nostri link, potremmo guadagnare una commissione. Raccomandiamo solo prodotti che riteniamo possano apportare un valore aggiunto ai nostri lettori.
