Che mantenere alti gli standard di sicurezza di un sito internet sia di fondamentale importanza, è un concetto oramai noto a tutti.
Qualsiasi falla in tal senso può rappresentare un pericolo, e se lo scopo delle pagine web è di tipo professionale, possono anche verificarsi ingenti perdite economiche.
In questo articolo dunque, analizzeremo quali sono i migliori plugin di sicurezza per WordPress, uno dei CMS più popolari al mondo, caratteristica che lo rende interessante anche agli occhi di moltissimi hacker.
La sicurezza di WordPress
Ad oggi per WordPress vengono rilasciati regolari aggiornamenti con lo scopo di correggere eventuali bug di sicurezza, sia passati che presenti.
Ma quello della sicurezza è un processo reattivo nel suo insieme, che deve mirare alla prevenzione piuttosto che alla cura.
Le patch per correggere questi buchi infatti, vengono emesse solamente dopo che la vulnerabilità diventa nota.
Il grosso problema in questo ambito di WordPress, non è il CMS in sé, che possiamo definire davvero sicuro.
In discussione sono i plugin, un enorme ecosistema di estensioni che se da una parte consentono di integrare moltissime funzionalità, dall’altra rendono WordPress stesso più vulnerabile ad eventuali falle di sicurezza., è importante quindi anche scegliere i vostri Plugin con cura, con un occhio di riguardo alla frequenza di aggiornamento che va a coprire eventuali falle o bug, ne parlo in questo articoli dove consiglio ben 16 Plugin essenziali per WordPress.
E purtroppo, una volta che il danno è stato fatto, non c’è molto altro da fare se non rimediare.
Fortunatamente per ogni problema (o quasi), esiste una soluzione, che in questo caso arriva proprio da alcuni plugin che hanno come scopo proprio l’innalzamento del livello di sicurezza, e che quindi lavorano sulla prevenzione piuttosto che sulla cura.
Come vedremo nelle prossime righe questi strumenti possono essere sia gratuiti che a pagamento.
In comune però hanno funzionalità aggiuntive che in WordPress non sono native.
Top 7 plugin di sicurezza per WordPress
Di plugin di sicurezza per WordPress ne potrai trovare a decine, ma installarli tutti per verificare quale fa al caso tuo può risultare alquanto noioso e soprattutto dispendioso in termini di tempo.
Per questo motivo, di seguito potrai leggere una recensione su sette dei migliori plugin, tra soluzioni gratuite e a pagamento.
1) All In One WP Security & Firewall
“All In One” WP Security & Firewall è sicuramente tra i plugin legati alla sicurezza di WordPress più diffusi.
Il suo pregio principale risiede nella semplicità di utilizzo, che ti permetterà di configurarlo anche in assenza di competenze tecniche particolari.
Grazie ad un’interfaccia facile da consultare quindi, ti sarà possibile evidenziare in breve tempo quali sono le aree del tuo sito protette, e quali invece richiedono tuoi interventi di correzione.
In altre parole, grazie a questo plugin avrai la possibilità di identificare le debolezze del tuo sito web, grazie ad una serie di funzionalità, tra cui:
• Protezione dagli attacchi di brute force.
• Creazione di un firewall.
• Protezione database.
• Black list per specifici indirizzi IP.
Ma non finisce qui, perché il plugin dispone anche di uno scanner di sicurezza che permette di monitorare il tuo sito proteggendolo dagli hacker.
Un ultimo valore aggiunto di “All In One” WP Security & Firewall è che è totalmente gratuito, e non ti sarà nemmeno richiesta la visualizzazione di annunci fastidiosi, o lo sblocco a pagamento di ulteriori funzionalità.
Per procedere con il download, dovrai semplicemente recarti su questa pagina.
I motivi per cui scegliere “All In One” WP Security & Firewall sono numerosi, ma tra i principali troviamo:
• Blacklist che permette l’impostazione di precisi requisiti per il blocco utente.
• Grafico che consente una facile lettura delle zone pericolose del sito.
• Completa gratuità del plugin.
• Backup dei file .wp-config e .htaccess, con strumento apposito per il ripristino.
2) iThemes Security
Un altro plugin di sicurezza particolarmente ricco di funzioni è iThemes Security, disponibile in duplice versione, gratuita e a pagamento.
Ad onor del vero, la variante gratuita presenta già funzioni notevoli.
Ovviamente come quasi sempre accade in questi casi però, pagare può far la differenza, e una protezione completa del tuo sito davvero integrale è possibile solamente in questo caso.
L’abbonamento di iThemes Security è annuale, e sottoscriverlo significa raggiungere livelli di sicurezza molto alti. Tra le funzionalità principali troviamo:
• Protezione delle password.
• Protezione del database.
• Protezione del backup.
• Protezione attacchi brute force.
• Autenticazione a due fattori.
Quelle elencate sono solamente alcune delle funzioni principali sbloccate nella versione a pagamento di iThemes Security, ma in realtà l’elenco potrebbe proseguire a lungo.
Dobbiamo anche menzionare la possibilità di usufruire di un supporto professionale dedicato.
Ad ogni modo, per cominciare con la versione gratuita ti basterà visitare questa pagina, mentre per la versione pro su quest’altra pagina.
Perché scegliere iThemes Security? Per i motivi seguenti:
• Integrazione di “Google reCAPTCHA”, in grado di innalzare ulteriormente il livello di sicurezza.
• Funzione “Away Mode”. Parliamo della possibilità di bloccare del tutto la dashboard a qualsiasi utente nel momento in cui non si effettuano aggiornamenti regolari.
• Confronto continuo dei file di base WordPress con quelli in uso. In questo modo potrai capire se all’interno dei suddetti file è stato inserito contenuto malevolo.
3) Sucuri Security
Nel caso di Sucuri Security parliamo di un altro plugin sicurezza completamente gratuito, creato da un team specializzato in sicurezza WordPress.
Sucuri Security permetterà sia il monitoraggio normale del sito che un rafforzamento generale dei livelli di sicurezza.
Un volta che avrai provveduto con l’installazione, il plugin comincerà il suo lavoro scansionando automaticamente le pagine del tuo sito.
In questo modo Sucuri Security sarà in grado di rilevare sia bug di sicurezza già noti, che file potenzialmente infetti.
In questo modo potrai dunque riparare o ripristinare il tuo sito assicurandoti che sia in condizioni di lavoro perfette.
Dopo questa prima basilare scansione, il plugin eseguirà un monitoraggio regolare del sito alla ricerca di eventuali malware, rafforzando anche i protocolli di sicurezza.
In questo modo Sucuri Security sarà in grado di proteggere il tuo sito dalle minacce più grandi e da qualsiasi vulnerabilità tipicamente presente online.
Potrai procedere con l’installazione gratuita del plugin recandoti su questa pagina, oppure optare per una versione a pagamento premium, che in questo caso aggiungerà altre funzionalità oltre alle tante già presenti in quella gratuita, tra cui un firewall del sito.
Di seguito le ragioni per cui scegliere Sucuri Security:
• Nei pacchetti a pagamento sono disponibili numerose varianti di certificati SSL.
• Ottimo servizio clienti, contattabile sia attraverso la chat integrata che tramite e-mail.
• Notifiche in real time di eventuali malfunzionamenti del sito.
• Per alcuni piani è prevista anche una protezione DDoS.
• Buone funzionalità già per la versione gratuita.
4) Wordfence Security
Wordfence Security è probabilmente uno dei Top plugin di sicurezza del mercato.
Si rivela infatti eccellente per la protezione del tuo sito da eventuali attacchi di forza bruta, ma anche per proteggere la pagina di accesso.
Inoltre, oltre al monitoraggio in real time, permette la creazione di una blacklist per gli IP.
In quest’ultimo frangente inoltre, Wordfence Security ha un suo database di IP e siti Web registrati come “dannosi”.
In questo modo il plugin sarà in grado di bloccare automaticamente tutti gli indirizzi IP presenti nel database.
Al pari di altri plugin di sicurezza analoghi, anche Wordfence Security è disponibile in una duplice versione: una gratuita disponibile a questa pagina, e una premium sul sito ufficiale.
Nel secondo caso chiaramente il livello di sicurezza viene innalzato ulteriormente.
Tra le funzionalità aggiuntive infatti, troviamo la protezione delle minacce in real time, l’autenticazione a due fattori, una protezione antispam migliorata, un firewall, la protezione geografica, e molto altro ancora.
Oggettivamente il plugin viene considerato uno dei migliori non a caso, ma se ancora non fossero chiare le sue potenzialità, di seguito troverai i motivi per cui sceglierlo:
• Versione gratuita già sufficientemente completa per siti di piccole dimensioni.
• Suite completa di firewall.
• Scansione in real time non solamente dei file di WordPress, ma di tutti i file.
• Monitoraggio in tempo reale del traffico.
• Filtro antispam commenti. Questa è una funzionalità molto importante, perché ti consentirà di non dover ricorrere ad ulteriori plugin specifici allo scopo.
• Controllo dei plugin installati, così da capire se sono stati eventualmente rimossi dal repository, o comunque non più aggiornati.
5) SecuPress
SecuPress non ha una grande anzianità alle spalle, anzi, il suo ingresso nel settore sicurezza WordPress è relativamente recente.
Nonostante questo, il plugin sta avendo un crescita di popolarità piuttosto veloce tra gli utenti, anche e soprattutto per un’interfaccia grafica particolarmente semplice e intuitiva, che ne rende davvero facile sia l’uso che la configurazione.
In parole povere, ci troviamo di fronte ad un plugin molto solido e semplice da usare.
La versione free offre già funzionalità di tutto rispetto, ma chiaramente quella a pagamento risulta ancora più completa.
Nel secondo caso infatti, troviamo anche una protezione anti-spam, ma soprattutto la possibilità di effettuare backup automatici del tuo sito, così che tu possa ripristinare una versione precedente in presenza di malfunzionamenti.
Perché SecuPress è sicuramente un’ottima scelta? Per i motivi elencati di seguito:
• Una delle migliori interfacce grafiche del mercato.
• Versione Premium in grado di offrire realmente moltissime funzionalità aggiuntive.
• Monitoraggio e identificazione di temi e plugin potenzialemente dannosi e vulnerabili.
6) Jetpack
Ideato direttamente dal team di WordPress.com, Jetpack è un plugin di sicurezza davvero molto conosciuto e apprezzato, grazie ai molti moduli per il rafforzamento dei social media, la protezione dallo spam, e per l’aumento della velocità del sito possibile grazie al suo utilizzo.
Anche in questo caso sono disponibili più versioni, da quella gratuita ai piani a pagamento.
Il plugin nella sua forma gratuita è già sufficientemente affidabile e ricco di funzioni, come la protezione contro gli attacchi brute force, oppure la whitelist.
Per il download non dovrai far altro che recarti su questa pagina.
Ovviamente i piani a pagamento sono in grado di alzare ulteriormente il livello di sicurezza generale.
Entrando nel dettaglio possiamo vedere che il piano annuale da 108,90 € include al suo interno:
• Backup pianificati.
• Ripristino dei backup.
• Scansione Malware.
Il piano annuale da 328,90 € invece, aggiunge backup in real time e scansioni malware “on demand”.
In questo modo potrai ottenere la massima protezione possibile.
Ad ogni modo, di seguito riassumiamo perché Jetpack si può rivelare un’ottima scelta:
• Il piano gratuito risulta già piuttosto completo per siti di piccole dimensioni, quindi è possibile upgradare il plugin con il tempo, all’aumentare delle visite.
• I piani premium non aggiungono solamente delle funzionalità, ma sono in grado di trasformare Jetpack in una vera e propria suite, con i vantaggi descritti precedentemente.
• Monitoraggio completo anche dei tempi di inattività.
• Completezza notevole dei piani a pagamento, che rende superfluo il ricorso ad altri plugin. Al loro interno infatti, troviamo funzioni social media, per personalizzare il sito, per l’ottimizzazione e per l’e-mail marketing.
7) BulletProof Security
Concludiamo questa selezione dei plugin di sicurezza consigliati per WordPress con BulletProof Security, presente sul mercato sia in versione gratuita che premium.
Nel secondo caso chiaramente è presente un maggior numero di caratteristiche, oltre che la possibilità di chiedere il rimborso entro 30 giorni.
Tra i principali punti forti di BulletProof Security troviamo gli avvisi via e-mail, l’auto ripristino, le quarantene, ed altro ancora.
Già nella sua versione gratuita però, il plugin si comporta piuttosto bene, offrendo strumenti anti-hacking, modalità di manutenzione, monitoraggio e sicurezza del login, configurazione guidata, e un registro di sicurezza.
Rispetto ad altri competitor, probabilmente BulletProof Security risulta più difficile da utilizzare, quindi è destinato ad un target di sviluppatori avanzati.
A patto di averne le competenze però, con il plugin è possibile sfruttare caratteristiche realmente uniche nel settore, come il decoder Base64 oppure la protezione “anti-exploit”.
I motivi per cui dovresti scegliere questa soluzione sono leggermente differenti da quelli di altri plugin, e tra i principali possiamo trovare:
• Strumenti di sicurezza unici in tutto il mercato, con soluzioni di crittografia, scansioni cURL, e molto altro ancora.
• Una versione gratuita in grado di offrire molto di più rispetto ai principali competitors, compresi i backup del database.
• Modalità di manutenzione, anche in questo caso non compresa in molti prodotti concorrenti.
Come detto, tra quelli analizzati questo è sicuramente il plugin di sicurezza per WordPress più completo e singolare, seppur occorra una certa esperienza per l’utilizzo non propriamente alla portata del neofita.
Sicurezza su WordPress: in conclusione
Mantenere il sito sicuro è uno dei compiti principali di chiunque ne possegga uno.
L’argomento sicurezza è sicuramente molto complesso, e soprattutto richiede una certa reattività, perché le minacce sono in continua evoluzione, quindi gli accorgimenti adottati solamente un anno fa, potrebbero non essere più validi oggi.
Ovviamente comprenderle tutte, è un compito impossibile, e comunque estremamente lungo.
Per questo motivo è di fondamentale importanza tu possa giocare d’anticipo, prevenendo il più possibile qualsiasi problematica.
Il “trucco” come detto, sta nello scegliere uno dei plugin di sicurezza per WordPress più apprezzati e con più valutazioni positive.
Un ultimo consiglio: se lo scopo del tuo sito web non è di tipo professionale, e comunque non è oggetto di moltissime visite, puoi tranquillamente optare per una soluzione gratuita.
Al contrario, se ogni possibile interruzione del sito potrebbe causarti dei danni economici perché in grado di bloccare la tua attività, una buona idea è sicuramente quella di far ricadere la scelta su una versione a pagamento eseguendo l’upgrade del plugin selezionato.
Solamente in questo caso otterrai funzionalità aggiuntive in grado di innalzare il livello generale di sicurezza.