Non sei loggato: Entra o Registrati Gratis!  Ita  Eng

Hosting Wordpress, hosting Joomla e molto di più! Wide Logo

Better WP Security: sicurezza e protezione per il nostro blog WordPress

aprile 4, 2012 by Enrico

Dopo un lungo periodo di silenzio, per il quale mi scuso, rieccomi qua a proporvi un plugin davvero potente e soprattutto fondamentale per la sicurezza del nostro blog WordPress: sto parlando di Better WP Security.

Better WP Security

Personalmente ritengo questo plugin uno dei migliori in fatto di sicurezza e protezione per un blog WordPress: si tratta di uno strumento davvero molto potente, perché prevede svariate possibilità di personalizzazione a diversi livelli. Sebbene sia in inglese, rimane in ogni caso facilmente comprensibile e utilizzabile. E, come sapete, in caso di necessità, noi siamo qui! 😉

INSTALLAZIONE E CONFIGURAZIONE

Menu laterale Better WP SecurityDopo aver installato il plugin nel solito modo – da Plugin > Aggiungi Nuovo oppure caricandolo via FTP – troviamo sulla sinistra una nuova voce, Security. Spostandoci lì, troveremo tutta una serie di sotto-voci che ci rimandano alle molte opzioni di questo plugin. Ad una prima lettura, vediamo subito che esse corrispondono a determinate opzioni di sicurezza.

Infatti, in Dashboard troviamo un riepilogo totale riguardo alla situazione della nostra installazione WordPress: a seconda di come sono evidenziate (verde, giallo, rosso) le frasi relative alle opzioni, sappiamo cosa è più urgente fare. Queste frasi, di fatto, rimandano alle voci che troviamo elencate sotto Security. Ad esempio, sotto Admin User ci viene consigliato di sostituire il classico “admin” con un altro nome, anche più difficile. L’Away Mode invece prevede un orario di “chiusura” o meglio di oscuramento della cartella wp-admin nelle ore del giorno o della notte in cui non la si usa (sul mio blog, per esempio, ho impostato l’away mode nelle ore notturne). Ban Users ci permette di bannare  utenti oppure host inserendo il loro indirizzo IP; tra le altre opzioni molto interessanti ricordiamo la possibilità, sotto Hide Backend, di cambiare l’indirizzo url di accesso / registrazione, di essere notificati di eventuali intrusioni (Intrusion Detection) e ancora di limitare i tentativi di login (Login Limits).

Esempio di schermata sotto "Dashboard"

VANTAGGI

A fronte del piccolo svantaggio della lingua inglese, ci sono tuttavia molti vantaggi che mi spingono a consigliarvi questo plugin:

  • Avrete sempre sotto controllo la situazione della vostra installazione WordPress;
  • Il plugin è costantemente aggiornato;
  • Sarà il plugin stesso, nella Dashboard, ad avvisarvi di possibili falle e ad aiutarvi a porvi rimedio;
  • In caso di tentativi di intrusioni, eccessivi login, troppi errori 404 il plugin vi manderà una email per informarvi;
  • Non da ultimo, va ricordato che è possibile effettuare anche un backup del database.

Quindi ci troviamo di fronte ad un plugin eccezionale, oltre che molto completo e ben strutturato. Cosa aggiungere? Non tardate ad installarlo! 😉

Related Posts Plugin for WordPress, Blogger...

  • Super utile grazie mille!

  • Pingback: Sicurezza Wordpress: alcuni preziosi consigli()

  • a me poco fa sono arrivate email di creazione di nuovi utenti sul mio blog, mi sono collegata e li ho rimossi e poi ho cambiato le pw del mio account.

    questo tuo post mi giunge a proposito, lo proverò stasera, io usavo Login Lock e wpsecurity.net credo siano entrati da un account di una mia amica che aveva una password fragile….ma come fanno a fare lo scan degli utenti che si hanno su un blog?

    volevo cambiare anche la directory di installazione del blog mettendo wp in una sottodirectory ma poi non capisco come mantenere il puntamento a http://www.mammaninja.it
    mi potresti aiutare?

    grazie

  • Ciao MammaNinja!

    Dunque, vediamo una cosa alla volta 😉

    Partiamo da alcuni consigli base sulla sicurezza, per i quali ti rimando a questo articolo, più dettagliato di quanto potrei riscriverti qua:
    http://www.wide.it/blogs/blog/uncategorized/sicurezza-wordpress-alcuni-preziosi-consigli/

    I plugin che usavi tu (Login Lock e Wp-Security) sono ottimi; tuttavia tieni presente che WordPress è una preda ambita dagli hacker (anche io ho avuto diversi problemi sul mio blog). Personalmente, nel mio blog non permetto l’iscrizione a nessun utente: solo io, che sono amministratore, posso crearne di nuovi; questo per evitare intrusioni.

    Se però vuoi lasciare la possibilità di iscrizione a nuovi utenti allora ti consiglio di integrare almeno altri due plugin: uno che inserisce un codice CAPTCHA, come questo http://www.wide.it/blogs/blog/wordpress/captcha-anti-spam-plugin-per-wordpress/ ed evita pertanto le iscrizioni automatizzate, e l’altro più potente, che trovi recensito qui: http://www.wide.it/blogs/blog/wordpress/wordpress-impedire-registrazioni-con-email-temporanea/ è utile perché puoi creare una blacklist delle email, in modo da impedire alcuni tipi di registrazioni.

    Altra cosa: consiglia sempre a chi si iscrive di usare password forti, per la salute del blog (che ovviamente va anche a beneficio loro!), magari con un messaggio o un avviso.

    Sul come gli hacker fanno a fare uno scan degli utenti non saprei dirti. Potrebbe essere che siano riusciti a captare nome utente e password perché erano davvero semplici o tramite software particolari.

    L’utilità del plugin Better Wp Security è che puoi anche modificare l’url di iscrizione classico (/wp-login.php) mediante una particolare chiave, per cui chi punta a quell’indirizzo in parentesi si troverà un errore e non potrà accedere alla finestra di registrazione / login (eventualmente potresti dare questo link a chi ti chiede, mediante un form di contatto, di potersi iscrivere al tuo sito, dandoti le motivazioni, sempre per una maggiore sicurezza).

    Infine, riguardo allo spostamento di WordPress ti rimando a questa discussione del nostro forum, Wide Answers (anche se è il contrario rispetto al tuo, ti viene spiegato come fare, e trovi altri link utili)

    http://www.wide.it/answers/topic/problema-serio-e-urgente

    Spero di esserti stato utile! Se serve ancora aiuto fammi sapere! 😉

    Enrico

  • Peppe

    ciao ho bisogno di aiuto ho fatto questa modifica ma non riesco più ad accedere come faccio ????

    “L’utilità del plugin Better Wp Security è che puoi anche modificare l’url di iscrizione classico (/wp-login.php) mediante una particolare chiave, per cui chi punta a quell’indirizzo in parentesi si troverà un errore e non potrà accedere alla finestra di registrazione / login (eventualmente potresti dare questo link a chi ti chiede, mediante un form di contatto, di potersi iscrivere al tuo sito, dandoti le motivazioni, sempre per una maggiore sicurezza).”

  • Peppe

    up

  • Ciao Peppe!
    Se non ricordi più quel tuo url modificato, la soluzione migliore è quella di agire via FTP.
    Ti colleghi al tuo sito in FTP, quindi vai nella cartella dei plugin e lo elimini. In quel modo, il tuo url di accesso torna ad essere quello di sempre (/wp-login.php).
    Una volta fatto questo, entra nell’amministrazione e se reinstalli il plugin, assicurati di modificare l’url in modo da ricordartelo!

  • Peppe

    risolto grazieeeeee

  • Perfetto! 😉

    Enrico

  • liliansi

    Ciao Enrico,
    puoi dirmi come fare ad impedire qualsiasi registrazione su WordPress? Non trovo l’opzione O_o
    Grazie mille

  • Certamente! Ti basta entrare nel tuo blog WordPress, poi vai su Impostazioni > Generale e lì trovi l’opzione “Chiunque può registrarsi”. Spuntala e il gioco è fatto! 😉

  • Ximi Blogghidee

    Grazie per le dritte, lo proverò di sicuro :)) Hai qualche articolo per fermare il referer spam? Di sicuro ti recensirò! 🙂 A presto

  • Grazie per il tuo apprezzamento! Per il referrer spam al momento non saprei darti consigli sicuri; nei prossimi giorni cercherò qualche informazione in più e appena riuscirò ne scriverò un articolo! 🙂

  • Ciao Peppe!
    Se non ricordi più quel tuo url modificato, la soluzione migliore è quella di agire via FTP.
    Ti
    colleghi al tuo sito in FTP, quindi vai nella cartella dei plugin e lo
    elimini. In quel modo, il tuo url di accesso torna ad essere quello di
    sempre (/wp-login.php).
    Una volta fatto questo, entra
    nell’amministrazione e se reinstalli il plugin, assicurati di modificare
    l’url in modo da ricordartelo!

    Enrico

  • Andrea Resca

    Ciao ho installato il plus in è configurato i primi passaggi quelli in giallo… Ma non riesco più ad accedere alla pagina di login per l’amministrazione. Mi aiutate per cortesia?

  • Ciao Andrea! Credo che il tuo problema sia questo: hai indicato una chiave per l’accesso all’area di login, e probabilmente non te la sei segnata. Oppure potrebbe essere il plugin che fa le bizze.
    In ogni caso, la via immediata e più rapida è quella di eliminare il plugin via FTP; in tal modo tutto ritorna alla normalità. Poi lo reinstalli e provi di nuovo ad impostarlo! 😉

  • Ciao, no guarda non avevo impostato nessuna chiave nuova. Ad ogni modo adesso riprovo e ti faccio sapere. Ti ringrazio

  • Ciao, scusa ma per eliminare il plugin via ftp intendi di cancellarne la cartella?

  • Se per eliminare il plugin via ftp intendevi cancellarne la cartella, beh non mi funziona…

  • Ciao! Scusa il ritardo nella risposta; per eliminare il plugin via FTP intendo proprio cancellare la cartella, e mi pare molto strano che non funzioni!
    Ricordo che una volta questo plugin mi diede qualche problema di configurazione, e risolsi proprio eliminandolo via FTP, per poi reinstallarlo e riconfigurarlo!

  • Pingback: 8 plugin Wordpress per aumentare la sicurezza del tuo blog()

  • Davvero un plugin notevole. Adatto anche a chi non si intende di codice e non sa come apportare le modifiche più delicate. E soprattutto, usarlo è una stupidata, specie basandosi sulla dashboard. Ottimo!

  • Luicano

    Ciao.
    Ho da poco attivato un blog e questo tuo post lo trovato molto interessante. Ho fatto tutte le impostazioni del caso, ma non riesco a disattivare in nessun modo il link …/wp-admin e far si che diventi quella che ho impostato nel plugin.
    Grazie

  • Uhm, che strano..
    Forse dico un’ovvietà, ma controlla che sia spuntata la voce “Enable Hide Backend”. Se non è attivo, quell’impostazione che gli hai dato non funziona.
    In alternativa, prova a guardare nella sezione supporto del plugin per vedere se è un problema noto non ancora corretto!