Mettere in sicurezza i tuoi contenuti con Wordfence per wordpress

Wordfence per WordPress è uno dei firewall più utilizzati per la scurezza. Non è l’unico ma soddisfa moltissime esigenze per la gestione della sicurezza del proprio blog e per la protezione dai vari tipi di attacchi che avvengono in rete. Sia che abbiate un sito personale che, come noi, un sito community a cui si possono connettere centinaia di utenti dotare il vostro sito di un sistema di protezione è indispensabile per ridurre al minimo le possibilità di essere danneggiati da un attacco. Non conta molto se il vostro sito non è famoso o non contiene dati sensibili: gli attacchi avvengono spesso non per rubare dati ma per poter modificare le pagine interne.

Un classico esempio è il sito che, a sua insaputa, ospita la pagina finta per un pagamento bancario: chi ha sferrato l’attacco è semplicemente entrato, ha cambiato o creato una pagina e si è preso il link da usare per la sua attività di phishing. Chi ha subito l’attacco diventa così la destinazione dove avviene il furto del dato. Non proteggere a sufficienza il proprio sito significa esporsi a rischi simili. Se chi è stato vittima di phishing riesce a risalire al sito da cui è passato chi è stato attaccato potrebbe essere, erroneamente, indicato come partecipe dell’azione illecita. Questo esempio, uno dei casi che ho incontrato, è concreto: il sito vetrina di un dentista di Barletta era stato forzato e arrivava come pagina di destinazione di una mail phishing che chiedeva di inserire i dati della propria carta di credito. Ho chiamato il dentista che ha verificato l’intrusione, l’ha segnalata alle polizia postale e chiesto al suo provider di sistemare il sito ripristinando un backup precedente all’attacco. 

Primi passi per configurare wordfence:

L’installazione e la prima configurazione è un processo molto semplice: conviene registrarsi alla newsletter per avere sempre in anticipo informazioni su allarmi e criticità importanti di plugin o di WordPress. Bastano pochi click e avrete predisposto il sistema per lavorare in learning mode.  Dopo una settimana almeno è possibile abilitare il firewall in protezione. Da quel momento inizierà ad utilizzare le varie configurazioni che abbiamo predisposto e a fare davvero il suo lavoro: proteggerci dagli attacchi. Grazie alla funzionalità per interrompere gli attacchi di brute force, la protezione estesa e varie altre funzionalità che possono essere settate bloccherà per ore o per giorni chi prova ad attaccare il sito. Vale sempre la regola che meno amministratori ci sono meglio è, in ogni caso con wordfence attivo il 90% degli attacchi viene bloccato sul nascere.

La modalità learning del firewall:

Questa modalità è importante per le prime settimane di vita del proprio sito: potrete man mano così verificare e segnalare i falsi positivi, ovvero azioni che Wordfence bloccherebbe ma che sono in realtà attività di normale funzionamento del sito come  l’aggiornamento di un frame o altro. Lasciandolo in questa modalità e lavorando sulla piattaforma sarà Wordfence stesso a chiedere se una determinata operazione che state facendo sia corretta: confermando lui escludere queste azioni dal blocco quando il firewall sarà pienamente operativo.

Come iniziare ad interpretare i dati:

Dopo aver lasciato monitorare il sito per qualche giorno al software la sezione tools è quella che permette di navigare nelle attività indesiderate del sito: tentativi di login fallita, tentativi di modificare file o directory del vostro WordPress e una variegata serie di altre attività malevole vengono qui identificate e monitorate segnalando la gravità del tipo di attacco, la sua ripetitività, l’IP che l’ha messo in atto e l’orario. E’ qui che, dopo alcune configurazioni, ci divertiremo a vedere come vengono bloccati sul nascere tentativi che spesso passano inosservati di forzare i nostri siti WordPress.

Configurare la doppia autenticazione:

Questa funzionalità è di vitale importanza: obbligate tutti gli amministratori, possibilmente anche tutti quelli che devono accedere al vostro sito, ad attivarla. Consente di avere una codice numerico tramite la app. Google Authenticator che viene obbligatoriamente richiesta quando accedete da una postazione diversa dal solito. 

Come avvengono i principali attacchi a wordpress

Detto che le modalità sono moltissime una delle modalità più usata è quella di cercare di fare login tramite un account da amministratore. Ho approfondito qui come mettere in sicurezza il proprio sito o e-commerce. In sostanza provano a fare login con “admin”, “administrator”, la mail info del dominio attaccato o altre utenze spesso usate nella configurazione provando, con appositi software, di individuare la password di accesso. Per questo anche senza comprare una licenza di Wordfence, che comunque consiglio, basta settare bene Wordfence per bloccare sul nascere attività malevole di questo tipo. Se non si tratta di attacchi mirati, ovvero qualcuno che ha espressamente deciso di attaccare il vostro sito e userà metodi più raffinati impiegando più tempo, chi vi attacca capirà velocemente che non siete un bersaglio facile e passerà al successivo. 

Come si possono individuare gli IP di chi attacca wordpress

E’ una sfida persa in partenza: eccezione fatta per pochi sporadici casi di persone non troppo furbe la maggior parte degli attacchi avviene tramite VPN: passando per quel tipo di network si può apparire come provenienti da dovunque, è inutile quindi cercare di sapere chi sia che attacca. Altro discorso per quella rara specie di cui parlavo all’inizio: a volte gli attacchi avvengono direttamente dall’Italia, a volte addirittura dall’indirizzo di casa di chi ci attacca. In quel caso Wordfence ci viene in aiuto interrogando il whois e basterà cliccare su “run whois” per avere più informazioni. In ogni caso il metodo più semplice rimane incollare l’IP direttamente nel browser  e vedere dove ci porta: io ho una variegata serie di parrucchieri e fotografi i cui siti WordPress venivano usati come punto di partenza per entrare nei miei server. Questi, a differenza degli IP esteri, fanno parte di una lista che salvo e che uso per diversi scopi. Il primo di solito è segnalare via PEC al proprietario del sito quanto accaduto allegando il log dell’attacco, il secondo quando necessario è fare la medesima cosa ma alla Polizia Postale che può fare tutti gli approfondimenti del caso. Perché il tentativo di accesso abusivo a sistema informatico rimane un reato penale. 

Posso installare e configurare da solo wordfence

Usando i vari tutorial è possibile farlo in autonomia: consiglio di rivolgersi ad un professionista se non si è mai gestito un firewall per essere sicuri di farlo funzionare al meglio e non fare danni. Può sembrare banale ma è anche facile chiudersi fuori da soli da un firewall: aver incluso gli IP di chi opera spesso sulla piattaforma negli IP che non vengono monitorati e tante altre piccole accortezze le può garantire solo chi lo fa di mestiere. Soprattutto se si vuole usare al meglio la versione a pagamento sfruttando al massimo tutte le altre funzionalità presenti in questa versione. Noi, sempre per citare esempi reali, abbiamo azzerato gli attacchi che avevamo a migliaia su un nostro sito semplicemente bloccano qualsiasi tentativo di accesso dall’estero. Visto che chi aveva organizzato l’attacco usava le VPN simulando di essere a Columbus in Texas il blocco è servito a d annullare qualsiasi tentativo di intrusione. Se sei interessato al nostro servizio di configurazione e gestione di Wordfence contattaci.