SiteGround Security

Descrizione

Grazie a funzioni specifiche e facili da configurare, il plugin SiteGround Security fornisce tutto ciò di cui hai bisogno per proteggere il tuo sito e prevenire una serie di minacce come attacchi di brute-force, login compromesso, fughe di dati e molto altro ancora.

Impostazioni del login

Qui puoi utilizzare gli strumenti che abbiamo sviluppato per proteggere la tua pagina di login da visitatori non autorizzati, bot e altri comportamenti dannosi.

URL di accesso personalizzato

Modifica l’URL di accesso predefinito per prevenire attacchi e avere un URL di accesso facilmente memorizzabile. Puoi anche modificare l’URL di registrazione predefinito se hai abilitato l’opzione per il tuo sito web.

Important!↵
È possibile ripristinare il tipo di accesso predefinito utilizzando il seguente snippet.

add_action( 'init', 'remove_custom_login_url' );
function remove_custom_login_url() {
    update_option( 'sg_security_login_type', 'default' );
}

Accesso del login

La funzione Accesso del login consente di limitare l’accesso alla pagina di login a un IP specifico o a un intervallo di IP, per prevenire tentativi di accesso dannosi o attacchi brute-force.

Importante!↵
Se rimani bloccato fuori dal tuo pannello di amministrazione, puoi aggiungere la seguente opzione al function.php del tuo tema, ricaricare il sito e quindi rimuoverlo una volta ottenuto l’accesso. Tieni presente che questo rimuoverà anche tutti gli IP a cui è consentito accedere alla pagina di login e sarà necessaria una riconfigurazione:

add_action( 'init', 'remove_login_access_data' );
function remove_login_access_data() {
    update_option( 'sg_login_access', array() );
}

Autenticazione a due fattori

L’autenticazione a due fattori per gli utenti Admin, costringerà tutti gli amministratori a fornire un token generato dall’applicazione Google Authenticator al momento dell’accesso.

Importante!
Puoi forzare anche altri ruoli a utilizzare l’autenticazione a due fattori. Una volta abilitata, puoi aggiungere il tuo filtro come segue.

add_filter( 'sg_security_2fa_roles', 'add_user_roles_to_2fa' );
function add_user_roles_to_2fa( $roles ) {
    $roles[] = 'your_role';
    return $roles;
}

Disabilita username comuni

L’utilizzo di username comuni come “admin” è una minaccia alla sicurezza che spesso provoca accessi non autorizzati. Abilitando questa opzione disabiliteremo la creazione di username comuni e, se hai già uno o più utenti con uno username debole, ti chiederemo di fornirne uno nuovo.

Limita i tentativi di login

Con Limita i tentativi di login, puoi specificare il numero di volte in cui gli utenti possono provare ad accedere con credenziali errate. Se raggiungono un limite specifico, l’IP da cui stanno tentando di accedere verrà bloccato per un’ora. Se continuano con altri tentativi errati, saranno limitati per 24 ore e poi per 7 giorni.

Importante!↵
Se rimani bloccato fuori dal tuo pannello di amministrazione, puoi aggiungere la seguente opzione al function.php del tuo tema, ricaricare il sito e quindi rimuoverlo una volta ottenuto l’accesso. Tieni presente che questo rimuoverà anche il blocco dei tentativi non riusciti per tutti gli IP:

add_action( 'init', 'remove_unsuccessfull_attempts_block' );
function remove_unsuccessfull_attempts_block() {
    update_option( 'sg_security_unsuccessful_login', array() );
}

Sicurezza del sito

Con questo set di strumenti puoi rafforzare la tua applicazione WordPress e tenerla al sicuro da malware, exploit e altre minacce.

Blocca e proteggi le cartelle di sistema

“Blocca e proteggi cartelle di sistema” consente di bloccare eventuali script dannosi o non autorizzati da eseguire nelle cartelle di sistema delle applicazioni.
Se l’opzione “Blocca e proteggi cartelle di sistema” blocca uno script specifico utilizzato da un altro plugin sul sito, puoi facilmente inserire nella whitelist lo script specifico utilizzando gli snippet forniti di seguito.

Usa questo per inserire nella whitelist un file nella cartella wp_includes:

add_filter( 'sgs_whitelist_wp_includes' , 'whitelist_file_in_wp_includes' );
function whitelist_file_in_wp_includes( $whitelist ) {

    $whitelist[] = 'file_name.php';
    $whitelist[] = 'another_file_name.php';

    return $whitelist;
}

Usa questo per inserire nella whitelist un file nella cartella wp_uploads:

add_filter( 'sgs_whitelist_wp_uploads' , 'whitelist_file_in_wp_uploads' );
function whitelist_file_in_wp_uploads( $whitelist ) {
    $whitelist[] = 'file_name.php';
    $whitelist[] = 'another_file_name.php';

    return $whitelist;
}

Usa questo per inserire nella whitelist un file nella cartella wp_content:

add_filter( 'sgs_whitelist_wp_content' , 'whitelist_file_in_wp_content' );
function whitelist_file_in_wp_content( $whitelist ) {
    $whitelist[] = 'file_name.php';
    $whitelist[] = 'another_file_name.php';

    return $whitelist;
}

Nascondi la versione WordPress

Quando usi Nascondi versione WordPress puoi evitare di essere contrassegnato per attacchi di massa a causa di vulnerabilità specifiche della versione.

Disabilita l’editor di temi e plugin

Disabilita l’editor di temi e plugin nell’area di amministrazione WordPress per prevenire potenziali errori di codifica o accessi non autorizzati tramite l’editor di WordPress.

Disabilita XML-RPC

Puoi disabilitare il protocollo XML-RPC che è stato recentemente utilizzato in una serie di exploit. Tieni presente che, se disabilitato, impedirà a WordPress di comunicare con sistemi di terze parti. Ti consigliamo di utilizzarlo, a meno che tu non ne abbia specificamente bisogno.

Forza HTTP Strict-Transport-Security (HSTS)

HSTS (HTTP Strict-Transport-Security) è un’intestazione di risposta. Consente al sito di comunicare ai browser che è necessario accedervi solo utilizzando HTTPS, invece di utilizzare HTTP. Questo previene gli attacchi “man-in-the-middle” e garantisce che i visitatori regolari vengano reindirizzati alla versione sicura del sito web.

Disabilita i feed RSS e ATOM

Disabilita i feed RSS e ATOM per prevenire lo scraping dei contenuti e attacchi specifici contro il tuo sito. Si consiglia di utilizzarlo sempre, a meno che tu non abbia utenti che utilizzano il tuo sito tramite reader RSS.

Protezione XSS avanzata

Abilitando la Protezione avanzata XSS puoi aggiungere un ulteriore livello di protezione contro gli attacchi XSS.

Elimina il file Readme.txt predefinito

Quando elimini il file Readme.txt predefinito, che contiene informazioni sul tuo sito web, riduci le possibilità che finisca in un elenco di siti potenzialmente vulnerabili, utilizzato dagli hacker.

Registro delle attività

Qui puoi monitorare in dettaglio l’attività dei visitatori registrati, sconosciuti e bloccati. Se il tuo sito è stato violato o se un utente o un plugin sono stati compromessi, puoi sempre utilizzare gli strumenti rapidi per bloccare le loro azioni future.

Importante!↵
Puoi impostare una durata personalizzata del log (in giorni), utilizzando il seguente filtro.

add_filter( 'sgs_set_activity_log_lifetime', 'set_custom_log_lifetime' );
function set_custom_log_lifetime() {
    return 'your-custom-log-lifetime-in-days';
}

Azioni post-hack

Reinstalla tutti i plugin gratuiti

Se il tuo sito è stato violato, puoi sempre provare a ridurre il danno utilizzando Reinstalla tutti i plugin gratuiti. Questo reinstallerà tutti i tuoi plugin gratuiti, riducendo la possibilità di un altro exploit o il riutilizzo di codice dannoso.

Disconnetti tutti gli utenti

Puoi disconnettere tutti gli utenti per impedire ulteriori azioni da loro eseguite.

Forza il reset della Password

Forza il reset della password per obbligare tutti gli utenti a modificare la propria password al prossimo accesso. Questo eliminerà istantaneamente anche tutti gli utenti attuali.

Supporto WP-CLI

Nella versione 1.0.2 abbiamo aggiunto il supporto completo di WP-CLI per tutte le opzioni e le funzionalità del plugin.

• wp sg limit-login-attempts 0|3|5 – limita i tentativi di accesso a 3, 5 o 0 per disabilitarlo
• wp sg login-access add IP – consente solo IP specifici per accedere al backend del sito
• wp sg login-access list all – elenca gli indirizzi IP nella whitelist
• wp sg login-access remove IP – rimuove l’IP da quelli nella whitelist
• wp sg login-access remove all – rimuove tutti gli indirizzi IP nella whitelist
• wp sg secure protect-system-folders enable|disable – abilita o disabilita l’opzione per proteggere le cartelle di sistema
• wp sg secure hide-wordpress-version enable|disable – abilita o disabilita l’opzione Nascondi la versione di WordPress
• wp sg secure plugins-themes-editor enable|disable – abilita o disabilita il plugin e l’editor di temi
• wp sg secure xml-rpc enable|disable – abilita o disabilita XML-RPC
• wp sg secure rss-atom-feed enable|disable – abilita o disabilita i feed RSS e ATOM
• wp sg secure xss-protection enable|disable – abilita o disabilita la protezione XSS
• wp sg secure 2fa enable|disable – abilita o disabilita l’autenticazione a due fattori
• wp sg secure disable-admin-user enable|disable – abilita o disabilita l’uso di “admin” come username
• wp sg log ip add|remove|list <name> --ip=<ip> – aggiungi/elenca/rimuovi i pingbot definiti dall’utente elencati nel registro delle attività per ip
• wp sg log ua add|remove|list <name> – aggiungi/elenca/rimuovi i bot definiti dall’utente elencati nel registro delle attività dallo user agent
• wp sg list log-unknown|log-registered|log-blocked --days=<days> – Elenca il registro dei log per un periodo specifico
• wp sg 2fa reset id ID – Ripristina l’impostazione 2FA per l’ID utente.

Requisiti

• WordPress 4.7
• PHP 7.0
• File .htaccess funzionante