La sicurezza di un sito Web basato su WordPress ricopre un ruolo non secondario in fase di progettazione e manutenzione, oltre a mantenere sempre aggiornate le versioni dei plugin e del CMS utilizzato, risulta di fondamentale importanza dotarsi di strumenti ad hoc per proteggere le risorse gestite in ambiente di produzione.
In quest'articolo presenteremo un'introduzione a WordFence Security, un plugin gratuito di classe enterprise che permette di integrare nel nostro spazio Web un firewall, strumenti per la scansione antivirus, un sistema per l'autenticazione a "due fattori" via SMS, tools per l'analisi di URL dannosi e features per il monitoraggio in tempo reale del traffico, ivi compreso quello dei crawler.
Il plugin è giunto alla versione 3.8.9 e può essere installato su WordPress release 3.3.1 o successive.
Installazione di WordFence Security
Per poter utilizzare le funzionalità di WordFence Security occorre innanzitutto installare e configurare il plugin, esso è prelevabile all'indirizzo presente nella sezione plugin del sito WordPress.org. La procedura d'installazione è quella standard: una volta autenticati come amministratori, ci posizioneremo nella sezione "Plugin" del pannello di controllo e selezioneremo "Aggiungi nuovo", a questo punto sceglieremo la voce "Caricare" per poter provvedere all'integrazione del package compresso in formato Zip.
Avendo selezionato il file associato all'estensione non resterà che cliccare sul tasto "Installa adesso" per avviare il processo d'installazione, ad operazione ultimata si procederà con l'attivazione cliccando sul link "Attiva plugin".
Se tutte le operazioni precedenti sono andate a buon fine, all'interno della sidebar di sinistra verrà visualizzata una nuova voce, "Wordfence", che una volta selezionata ci permetterà di configurare e utilizzare il plugin.
Configurazione di WordFence Security
Prima di iniziare le attività con WordFence è il caso di dare un'occhiata alla sezione "Options" (visualizzata in figura 3), presente all'interno del menù del plugin, tale sezione ci permette di gestire la licenza del nostro plugin, e quindi di poter effettuare l'upgrade alla versione Premium; per i nostri scopi la versione gratuita rappresenterà comunque un buon punto di partenza.
Molto più interessante è la sezione "Basic Options", all'interno della quale si potrà scegliere se abilitare o disabilitare i servizi Firewall, effettuare il controllo della sicurezza del login, tracciare il traffico ed impostare la schedulazione automatica delle scansioni da effettuare. Sarà altresì possibile configurare l'email presso la quale inviare eventuali alerts nel caso si verifichino delle anomalie, e definire il livello di sicurezza da utilizzare. Sono disponibili quattro livello preimpostati ai quali si potrà aggiungere un livello personalizzato; di default il componente attiva il livello medio di protezione, cioè il 2.
Scansione con WordFence Security
E' possibile eseguire una scansione per il rilevamento delle anomalie connesse al funzionamento di WordPress e visualizzare i relativi dettagli nella sezione "Scan". Durante la scansione Verranno eseguiti diversi test, di conseguenza il sistema renderà disponibili i risultati suddivisi in apposite sezioni. Nella prima sezione, ad esempio, verranno segnalati eventuali problemi tramite una notifica di tipo "Problems found" in corrispondenza della voce che ha generato il problema; nell'esempio riportato in figura 4 possiamo notare come la scansione per la ricerca dei malware abbia avuto successo, mentre si è riscontrato un problema legato ai file del core di WordPress dopo un confronto con il contenuto del suo repository originale.
E' possibile ricevere anche per posta elettronica l'esito della scansione, così da poter archiviare ed analizzare in seguito il log generati.
Nella seconda sezione mostrata in figura 5, vengono invece rilevate anomalie quali per esempio versioni obsolete di WordPress; per ciascuna anomalia sarà indicato un livello di criticità e la possibile soluzione da adottare per la risoluzione del problema.
Operazioni di "live traffic" con WordFence Security
Il monitoraggio in tempo reale del traffico generato dal nostro sito Web può risultare un ottimo strumento al fine di verificare la presenza di eventuali anomalie dovute, ad esempio, ad attività di tipo DOS (Denial of service); attraverso di esso vengono controllate eventuali richieste verso pagine inesistenti, tentativi di login e di logout e viene visualizzata una "All Hits" all'interno della quale saranno riportate le attività sospette più frequenti.
Strumenti per la prevenzione in WordFence Security
Oltre ad aiutarci a livello di analisi delle problematiche che possono verificarsi a carico della nostra installazione, il componente ci permette di effettuare delle operazione di prevenzione, come ad esempio provvedere al blocco di quegli indirizzi IP, o classi di indirizzi, che potrebbero costituire una minaccia per il nostro sito Internet; questa operazione è resa possibile tramite la funzione "Blocked IPs".
Se si ha invece la necessità di un servizio di Whois diretto si può utilizzare la funzionalità "Whois Lookup". Da segnalare anche features come "Cellphone Sign-in", che permette di mettere in sicurezza le operazioni di login, "Country Blocking", che consente di bloccare il traffico proveniente da un'intera area geografica e "Scan Schedule", per la programmazione delle scansioni, utilizzabile effettuando l'upgrade alla versione Premium del plugin.
