Descrizione
This all-inclusive security plugin, made by SiteGround web hosting company, gives you easy control over your website security. It’s packed with features that allow you in 1 click to enable or disable WordPress settings and prevent a number of threats such as brute-forcing, compromised login, code vulnerability attacks, data theft and leaks, and more.
- Hides your WordPress Version out of the box
- Enables advanced XSS Vulnerability Protection
- Disables XML-RPC protocol to prevent many vulnerabilities and attacks
- 1-click setting to Disable RSS and ATOM Feeds
- Option to Lock and Protect System Folders by default
- Disables “Admin” Username
- Disables Themes & Plugins Editor
- Option to enable Two-Factor Authentication
- Limit Login Attempts setting
On top, SiteGround Security experts have curated a list of “Recommended Vulnerabilities Protection Settings”, which are featured on the plugin’s dashboard for your convenience. Prioritise those and you’re good to go!
Impostazioni del login
Qui puoi utilizzare gli strumenti che abbiamo sviluppato per proteggere la tua pagina di login da visitatori non autorizzati, bot e altri comportamenti dannosi.
URL di accesso personalizzato
Modifica l’URL di accesso predefinito per prevenire attacchi e avere un URL di accesso facilmente memorizzabile. Puoi anche modificare l’URL di registrazione predefinito se hai abilitato l’opzione per il tuo sito web.
Important!↵
È possibile ripristinare il tipo di accesso predefinito utilizzando il seguente snippet.
add_action( 'init', 'remove_custom_login_url' );
function remove_custom_login_url() {
update_option( 'sg_security_login_type', 'default' );
}
Accesso del login
La funzione Accesso del login consente di limitare l’accesso alla pagina di login a un IP specifico o a un intervallo di IP, per prevenire tentativi di accesso dannosi o attacchi brute-force.
Importante!↵
Se rimani bloccato fuori dal tuo pannello di amministrazione, puoi aggiungere la seguente opzione al function.php del tuo tema, ricaricare il sito e quindi rimuoverlo una volta ottenuto l’accesso. Tieni presente che questo rimuoverà anche tutti gli IP a cui è consentito accedere alla pagina di login e sarà necessaria una riconfigurazione:
add_action( 'init', 'remove_login_access_data' );
function remove_login_access_data() {
update_option( 'sg_login_access', array() );
}
Autenticazione a due fattori
L’autenticazione a due fattori per gli utenti Admin, costringerà tutti gli amministratori a fornire un token generato dall’applicazione Google Authenticator al momento dell’accesso.
Importante!
Puoi forzare anche altri ruoli a utilizzare l’autenticazione a due fattori. Una volta abilitata, puoi aggiungere il tuo filtro come segue.
add_filter( 'sg_security_2fa_roles', 'add_user_roles_to_2fa' );
function add_user_roles_to_2fa( $roles ) {
$roles[] = 'your_role';
return $roles;
}
You can change the location of the 2FA encryption key file using SGS_ENCRYPTION_KEY_FILE_PATH constant defined in wp-config.php file. Make sure to use the full path to the file. Example:
// Custom path to SG Security Encryption key file.
define ( 'SGS_ENCRYPTION_KEY_FILE_PATH', '/home/fullpathtofile/sgs_encrypt_key.php');
Disabilita username comuni
Using common usernames like ‘admin’ is a security threat that often results in unauthorised access. By enabling this option we will disable the creation of common usernames and if you already have one more users with a weak username, we’ll ask you to provide new one(s).
Limita i tentativi di login
Con Limita i tentativi di login, puoi specificare il numero di volte in cui gli utenti possono provare ad accedere con credenziali errate. Se raggiungono un limite specifico, l’IP da cui stanno tentando di accedere verrà bloccato per un’ora. Se continuano con altri tentativi errati, saranno limitati per 24 ore e poi per 7 giorni.
Importante!↵
Se rimani bloccato fuori dal tuo pannello di amministrazione, puoi aggiungere la seguente opzione al function.php del tuo tema, ricaricare il sito e quindi rimuoverlo una volta ottenuto l’accesso. Tieni presente che questo rimuoverà anche il blocco dei tentativi non riusciti per tutti gli IP:
add_action( 'init', 'remove_unsuccessfull_attempts_block' );
function remove_unsuccessfull_attempts_block() {
update_option( 'sg_security_unsuccessful_login', array() );
}
Sicurezza del sito
Con questo set di strumenti puoi rafforzare la tua applicazione WordPress e tenerla al sicuro da malware, exploit e altre minacce.
Blocca e proteggi le cartelle di sistema
“Blocca e proteggi cartelle di sistema” consente di bloccare eventuali script dannosi o non autorizzati da eseguire nelle cartelle di sistema delle applicazioni.
Se l’opzione “Blocca e proteggi cartelle di sistema” blocca uno script specifico utilizzato da un altro plugin sul sito, puoi facilmente inserire nella whitelist lo script specifico utilizzando gli snippet forniti di seguito.
Usa questo per inserire nella whitelist un file nella cartella wp_includes:
add_filter( 'sgs_whitelist_wp_includes' , 'whitelist_file_in_wp_includes' );
function whitelist_file_in_wp_includes( $whitelist ) {
$whitelist[] = 'file_name.php';
$whitelist[] = 'another_file_name.php';
return $whitelist;
}
Usa questo per inserire nella whitelist un file nella cartella wp_uploads:
add_filter( 'sgs_whitelist_wp_uploads' , 'whitelist_file_in_wp_uploads' );
function whitelist_file_in_wp_uploads( $whitelist ) {
$whitelist[] = 'file_name.php';
$whitelist[] = 'another_file_name.php';
return $whitelist;
}
Usa questo per inserire nella whitelist un file nella cartella wp_content:
add_filter( 'sgs_whitelist_wp_content' , 'whitelist_file_in_wp_content' );
function whitelist_file_in_wp_content( $whitelist ) {
$whitelist[] = 'file_name.php';
$whitelist[] = 'another_file_name.php';
return $whitelist;
}
Nascondi la versione WordPress
Quando usi Nascondi versione WordPress puoi evitare di essere contrassegnato per attacchi di massa a causa di vulnerabilità specifiche della versione.
Disabilita l’editor di temi e plugin
Disabilita l’editor di temi e plugin nell’area di amministrazione WordPress per prevenire potenziali errori di codifica o accessi non autorizzati tramite l’editor di WordPress.
Disabilita XML-RPC
Puoi disabilitare il protocollo XML-RPC che è stato recentemente utilizzato in una serie di exploit. Tieni presente che, se disabilitato, impedirà a WordPress di comunicare con sistemi di terze parti. Ti consigliamo di utilizzarlo, a meno che tu non ne abbia specificamente bisogno.
Disabilita i feed RSS e ATOM
Disabilita i feed RSS e ATOM per prevenire lo scraping dei contenuti e attacchi specifici contro il tuo sito. Si consiglia di utilizzarlo sempre, a meno che tu non abbia utenti che utilizzano il tuo sito tramite reader RSS.
Protezione XSS avanzata
Abilitando la Protezione XSS avanzata puoi aggiungere un ulteriore livello di protezione contro gli attacchi XSS.
Elimina il file Readme.txt predefinito
Quando elimini il file Readme.txt predefinito, che contiene informazioni sul tuo sito web, riduci le possibilità che finisca in un elenco di siti potenzialmente vulnerabili, utilizzato dagli hacker.
Registro delle attività
Qui puoi monitorare in dettaglio l’attività dei visitatori registrati, sconosciuti e bloccati. Se il tuo sito è stato violato o se un utente o un plugin sono stati compromessi, puoi sempre utilizzare gli strumenti rapidi per bloccare le loro azioni future.
Importante!↵
Puoi impostare una durata personalizzata del log (in giorni), utilizzando il seguente filtro.
add_filter( 'sgs_set_activity_log_lifetime', 'set_custom_log_lifetime' );
function set_custom_log_lifetime() {
return 'your-custom-log-lifetime-in-days';
}
Se è necessario disabilitare il Registro Attività, è possibile utilizzare il seguente. filtro Tieni presente che ciò disabiliterà anche il report settimanale del Registro Attività.
add_action( 'init', 'deactivate_activity_log' );
function deactivate_activity_log() {
update_option( 'sg_security_disable_activity_log', 1 );
}
In case you have disabled the native WordPress Cron Job, and using UNIX cron setup instead, you can add the following rule to your website wp-config.php file in order to have the logs cleared on time:
define( 'SG_UNIX_CRON', true );
Azioni post-hack
Reinstalla tutti i plugin gratuiti
Se il tuo sito è stato violato, puoi sempre provare a ridurre il danno utilizzando Reinstalla tutti i plugin gratuiti. Questo reinstallerà tutti i tuoi plugin gratuiti, riducendo la possibilità di un altro exploit o il riutilizzo di codice dannoso.
Disconnetti tutti gli utenti
Puoi disconnettere tutti gli utenti per impedire ulteriori azioni da loro eseguite.
Forza il reset della Password
Forza il reset della password per obbligare tutti gli utenti a modificare la propria password al prossimo accesso. Questo eliminerà istantaneamente anche tutti gli utenti attuali.
Supporto WP-CLI
Nella versione 1.0.2 abbiamo aggiunto il supporto completo di WP-CLI per tutte le opzioni e le funzionalità del plugin.
wp sg limit-login-attempts 0|3|5
– limita i tentativi di accesso a 3, 5 o 0 per disabilitarlowp sg login-access add IP
– consente solo IP specifici per accedere al backend del sitowp sg login-access list all
– elenca gli indirizzi IP nella whitelistwp sg login-access remove IP
– rimuove l’IP da quelli nella whitelistwp sg login-access remove all
– rimuove tutti gli indirizzi IP nella whitelistwp sg secure protect-system-folders enable|disable
– abilita o disabilita l’opzione per proteggere le cartelle di sistemawp sg secure hide-wordpress-version enable|disable
– abilita o disabilita l’opzione Nascondi la versione di WordPresswp sg secure plugins-themes-editor enable|disable
– abilita o disabilita il plugin e l’editor di temiwp sg secure xml-rpc enable|disable
– abilita o disabilita XML-RPCwp sg secure rss-atom-feed enable|disable
– abilita o disabilita i feed RSS e ATOMwp sg secure xss-protection enable|disable
– abilita o disabilita la protezione XSSwp sg secure 2fa enable|disable
– abilita o disabilita l’autenticazione a due fattoriwp sg secure disable-admin-user enable|disable
– abilita o disabilita l’uso di “admin” come usernamewp sg log ip add|remove|list <name> --ip=<ip>
– aggiungi/elenca/rimuovi i pingbot definiti dall’utente elencati nel registro delle attività per ipwp sg log ua add|remove|list <name>
– aggiungi/elenca/rimuovi i bot definiti dall’utente elencati nel registro delle attività dallo user agentwp sg list log-unknown|log-registered|log-blocked --days=<days>
– Elenca il registro dei log per un periodo specificowp sg 2fa reset id|username|all ID|username
– Reimposta la configurazione 2FA per l’ID utente, il nome utente o tutti gli utenti.wp sg custom-login status|disable
– Mostra lo stato o disabilita la funzionalità URL di accesso personalizzato.
Requisiti
- WordPress 4.7
- PHP 7.0
- File .htaccess funzionante
Installazione
Installazione automatica
- Vai su Plugin > Aggiungi nuovo
- Cerca “SiteGround Security”
- Clicca sul bottone Installa sotto il plugin SG Security
- Una volta installato il plugin, clicca sul link Attiva
Installazione manuale
- Accedi al pannello di amministrazione WordPress e vai su Plugin > Aggiungi nuovo
- Seleziona “Carica”
- Clicca su “Scegli file” e cerca il file sg-security.zip che hai scaricato
- Clicca su “Installa ora”
- Vai su Plugin > Plugin installati e clicca sul link “Attiva” sotto WordPress SG Security
Recensioni
Contributi e sviluppo
“All-inclusive Security Solution by SiteGround” è un software open source. Le persone che hanno contribuito allo sviluppo di questo plugin sono indicate di seguito.
Collaboratori“All-inclusive Security Solution by SiteGround” è stato tradotto in 8 lingue. Grazie ai traduttori per i loro contributi.
Traduci “All-inclusive Security Solution by SiteGround” nella tua lingua.
Ti interessa lo sviluppo?
Esplora il Codice segui il Repository SVN iscriviti al Log delle Modifiche. Puoi farlo tramite RSS con un lettore di feed.
Changelog (registro delle modifiche)
Version 1.4.5
Release Date: May 4th, 2023
- Improved log cleanup
Version 1.4.4
Release Date: May 3rd, 2023
- Improved Visitors DB table indexing
- Block service restored
Version 1.4.3
Release Date: Apr 27th, 2023
- Block service temporally disabled
Version 1.4.2
Release Date: Apr 27th, 2023
- Improved Activity Log process and filters
- Improved restricted login response code
- Improved PHP 8.2 compatibility
- Alternative constant added for non-standard cron job usage
Version 1.4.1
Release Date: Feb 23rd, 2023
- Release Date: Feb 23rd, 2023
Version 1.4.0
Release Date: Feb 1st, 2023
- Internal configuration changes
Version 1.3.9
Release Date: Jan 25th, 2023
- Improved Foogra Theme support
Version 1.3.8
Release Date: Dec 6th, 2022
- Improved Rest response
- Improved Settings Page checks
- Improved Disable Themes & Plugins Editor
Version 1.3.7
Release Date: Nov 15th, 2022
- SG Security Dashboard bugfix
- Improved 2FA Encryption key validation
- Improved Custom Login/Register URL validation
- Improved LiteSpeed Cache support
- Option to use custom 2FA encryption key filepath
Version 1.3.6
Release Date: Nov 8th, 2022
- Improved 2FA security with encryption
- Improved Access Log filters
- New WP-CLI command: reset all users 2FA setup
Version 1.3.5
Release Date: Oct 18th, 2022
- Improved Custom Login URL
- Improved Activity log
Version 1.3.4
Release Date: Oct 10th, 2022
- Install service fix
Version 1.3.3
Release Date: Oct 10th, 2022
- New Manage Activity Log option
- New filter – Disable activity log
- Improved Custom login url
- Improved WP-CLI support
- Improved Jetpack plugin support
- Improved error handling
- Minor bug fixes
- Legacy code removed
Version 1.3.2
Release Date: Sept 21st, 2022
- 2FA Backup codes security strengthening
Version 1.3.1
Release Date: Sept 13th, 2022
- 2FA Authentication Security Strengthening
- IP Address detection Security Strengthening
Version 1.3.0
Release Date: July 14th, 2022
- Brand New Design
- Improved 2FA Authentication compatibility with Elementor custom login pages
- Improved data collection
- Minor fixes
Version 1.2.9
Release Date: June 20th, 2022
- NEW Filters for “Lock and Protect System Folders” excludes
- Improved IP Ranges support
- Improved Blocked IP addresses list
- Improved Delete the Default Readme.html
- Improved 2FA Authentication validation
- Improved 2FA Authentication support for “My Account” login
- Improved Data Collection
- Minor fixes
Version 1.2.8
Release Date: May 18th, 2022
- Improved plugin security
Version 1.2.7
Release Date: April 8th, 2022
- Minor bug fixes
Version 1.2.6
Release Date: April 7th, 2022
- 2FA Refactoring
Version 1.2.5
Release Date: April 6th, 2022
- 2FA Authentication refactoring
- Improved Weekly Emails
- HSTS service deprecated
Version 1.2.4
Release Date: March 16th, 2022
- Improved Weekly Emails
- Improved Woocommerce Payments plugin support
- 2FA Authentication Security Strengthening
Version 1.2.3
Release Date: March 11th, 2022
- 2FA Authentication Security Strengthening
Version 1.2.2
Release Date: March 11th, 2022
- 2FA Authentication Security Strengthening
Version 1.2.1
Release Date: March 9th, 2022
- Improved Weekly reports
- Improved HTTP Headers service
- Code Refactoring
Version 1.2.0
Release Date: February 28th, 2022
- NEW – Weekly Reports
- Code Refactoring and General Improvements
- Improved 2FA user role support
- Improved error handling
- Improved Limit Login IP Range support
- Improved Event log
- Improved Phlox theme support
- Minor fixes
- Improved WP-CLI support
- Environment data collection consent added
Version 1.1.3
Release Date: October 1st, 2021↵
* Improved Hide WP version functionality
Version 1.1.2
Release Date: August 20th, 2021↵
* Improved Custom Login URL functionality↵
* Improved 2FA↵
* Improved success/error messages
Version 1.1.1
Data di rilascio: 12 agosto 2021↵
* Miglioramento 2FA↵
* Funzionalità di logout migliorata
Version 1.1.0
Data di rilascio: 27 luglio 2021↵
* NUOVO! Aggiunti codici di backup della 2FA alla pagina di modifica del profilo↵
* NUOVO! URL di accesso e registrazione personalizzati↵
* NUOVO! Aggiunta la generazione automatica di intestazioni HSTS↵
* Migliorata la funzionalità di disabilitazione degli username comuni↵
* Servizio di disconnessione di massa migliorato↵
* Registro delle attività migliorato e aggiunta di etichette personalizzate↵
* Migliorata la funzionalità di reimpostazione della password
Version 1.0.4
- Limite di tentativi di accesso migliorato
Version 1.0.3
- Risolto bug della casella di valutazione su Safari
- Disattivazione feed RSS e ATOM migliorata
Version 1.0.2
- Aggiunto filtro per configurare la durata del log
- Aggiunto supporto WP CLI
- Stringhe migliorate
Version 1.0.1
- Aggiunte impostazioni predefinite durante l’installazione
- Supporto alla traduzione migliorato
- Aggiunta pulizia alla disinstallazione
Version 1.0.0
- Prima release stabile.
Version 0.1
- Release iniziale.