Roberto Iacono

Home » WordPress » I migliori plugin per la sicurezza di WordPress per proteggere il sito da hacker, virus e malware

I migliori plugin per la sicurezza di WordPress per proteggere il sito da hacker, virus e malware

Scritto da

Roberto Iacono

in

il


Vorresti proteggere il tuo sito WordPress da attacchi di hacker, virus e malware e renderlo più sicuro possibile?

I plugin di sicurezza di WordPress (specialmente quelli gratuiti) non sono la soluzione definitiva, ma sono un buon passo in avanti rispetto a non avere niente.

Ecco alcuni tra i migliori plugin WordPress per avere maggiore protezione.

Scegline uno che abbia tutto quello che ti serve, non installarli tutti.

In breve

Dopo aver analizzato i plugin nella lista, mi sento di consigliare WordFence.

La versione gratuita offre davvero molte funzionalità, molte delle quali sono offerte solo nella versione Pro di altri plugin.

Wordfence

Wordfence Security – Firewall, Malware Scan, and Login Security

WordFence è uno tra i migliori plugin gratuiti per avere un minimo di sicurezza in più sul tuo sito WordPress.

Grafica un po’ rozza, non è immediato da configurare ma offre molte funzionalità avanzate in maniera gratuita.

Ha alcune funzionalità molto utili:

  • Limit Login Attempts: limita il numero di tentativi di login consecutivi per proteggere da attacchi di tipo brute force.
  • Web Application Firewall: identifica e blocca il traffico malevolo.
  • Malware Scanner: blocca le richieste che contengono codice o contenuto malevolo.
  • Autenticazione a due fattori 2FA, che richiede a tutti gli amministratori di fornire un token univoco.
  • Blocco selettivo, basato su intervalli di indirizzi IP, Hostname, User Agent e Referrer.

Malware Scanner

Il malware scanner è molto potente.

Controlla tutti i file del core di WordPress, i file dei plugin e del tema per cercare malware noti.

Ottima la possibilità di controllare i file installati con quelli presenti nella repository ufficiale.

Ti vengono mostrati tutti i problemi sul sito con il grado di priorità.

Vieni avvisato anche quando un plugin che hai installato viene chiuso o è abbandonato.

Sicurezza Login

Per quanto riguarda la sicurezza di login, trovo ottima l’autenticazione a due fattori.

Supporta Google Authenticator.

Come funzionalità interessanti ho trovato comodo forzare gli utenti ad utilizzare le password forti e non compromesse.

Inoltre è possibile aggiungere un reCAPTCHA V3 alla pagina di login così da bloccare i bot.

Audit log

Offre un Audit Log che registra gli eventi recenti avvenuti sul tuo sito WordPress.

audit log wordfence

Live Traffic Monitor

E infine molto interessante il Live Traffic per monitorare il traffico live sul sito.

Ti rendi subito conto di quanti bot ci sono e di quanto Worfence sia utile per proteggere il sito WordPress.

traffico live wordfence

Really Simple Security

Really Simple Security – Simple and Performant Security (formerly Really Simple SSL)

Really Simple Security è un ottimo plugin pe la sicurezza di WordPress.

Non mi ha fatto impazzire.

Grafica moderna, ma ha troppe funzionalità mostrate ma attivabili solo con la versione Pro.

Come funzionalità gratuite troviamo:

  • Autenticazione a due fattori (2FA)
  • Certificato SSL
  • Protezione login
  • Scansione per vulnerabilità

Protezione dell’accesso

Permette di forzare il login a due fattori (2FA) per ruoli specifici.

Gli utenti ricevono un codice di verifica in due passaggi via email.

Purtroppo nella versione gratuita non permette l’autenticazione TOTP con Google Authenticator.

Nella versione gratuita non permette di imporre password forti, peccato.

Nella versione gratuita non limita i tentativi di accesso.

Migrazione SSL semplice

Migra il tuo sito web a HTTPS e applica l’SSL in un solo clic.

Gestisce il reindirizzamento 301 tramite PHP o .htaccess.

WordPress Hardening

Fortifica WordPress:

  • Impedendo l’esecuzione di codice nella cartella uploads.
  • Impedisce di usare il nome utente “admin”.
  • Blocca le registrazioni utente quando il nome di accesso è uguale al nome visualizzato
  • Rimuove il feedback di login quando viene fallito il login. Per impostazione predefinita, WordPress mostra l’esistenza di un nome utente o di un indirizzo e-mail quando l’accesso fallisce. Questo cambierà in un feedback generico.
proprieta really simple security plugin wp

Rilevamento Vulnerabilità

Ricevi una notifica quando i plugin, i temi o il core di WP contengono vulnerabilità e richiedono un’azione appropriata.

scansione vulnerabilità

Security Optimizer

Security Optimizer – Il plugin di sicurezza completo

Security Optimizer è un altro ottimo plugin per la sicurezza di WordPress, sviluppato da Siteground.

L’ho trovato curato, minimale, semplice da utilizzare, non invasivo e con molte funzionalità di base.

Sicurezza dell’accesso

  • Ti permette di cambiare il tuo URL di accesso predefinito /wp-admin/ in URL di accesso personalizzato.
  • Limita l’accesso del login ad indirizzi IP o intervalli di indirizzi IP specifici.
  • Aggiunge un autenticazione a 2 fattori 2FA, che richiede a tutti gli amministratori di fornire un token univoco, generato esclusivamente tramite l’applicazione Google Authenticator, durante il processo di accesso.
  • Limit Login Attempts: limita il numero di tentativi falliti di login, e dopo blocca quell’indirizzo IP per del tempo predefinito.
Security Optimizer - Login Security WordPress sicurezza accesso

Sicurezza del sito

  • Blocca e proteggi le cartelle di sistema per garantire che non possano essere eseguiti script non autorizzati o dannosi nelle cartelle di sistema.
  • Attiva la protezione XSS avanzata, contro gli attacchi cross-site scripting (XSS).
  • Disabilita XML-RPC.
  • Disabilita RSS e ATOM Feed.
  • Disabilita i temi e l’editor dei plugin, prevenendo potenziali errori di codifica e accessi non autorizzati tramite l’editor.
Security Optimizer - Site Security WordPress

Activity log

Il registro delle attività può aiutarti a monitorare il tuo sito e la pagina di accesso per individuare visitatori non autorizzati o tentativi di forza bruta.

Puoi facilmente bloccare e sbloccare indirizzi IP o visitatori sospetti e impedire loro di compiere azioni dannose.

Azioni post-hack

Questa sezione è molto interessante.

Permette di fare opreazioni comuni dopo che il sito è stato hackerato.

post hack azioni site security

Trovo molto utile la possibilità di forzare il reset delle password degli utenti.

All-In-One Security (AIOS)

All-In-One Security (AIOS) – Security and Firewall

All-In-One Security (AIOS) offre molte funzionalità gratuite, forse anche troppe.

La grafica è un po’ vecchiotta e mi sembra confusionaria. Ci vuole un attimo per capire come impostare al meglio il plugin.

Ma, offre davvero tante funzionalità!

  • Autenticazione a 2 fattori 2FA
  • Registro delle attività: tiene traccia di cosa succede sul sito, quale plugin o tema è stato rimosso, aggiornato o aggiunto.
  • Attiva modalità manutenzione.

Sicurezza utente

  • Cambio dell’utente admin in un nome più sicuro.
  • Forza l’utilizzo di password forti.
  • Limit Login Attempts: limita il numero dei tentativi di login, dopo blocca l’indirizzo IP.
  • Forza il logout degli utenti.
sicurezza utente aios

Sicurezza File

Blocca l’accesso diretto alle cartelle di sistema.

Firewall

  • Impedisce l’invio dei commenti tramite proxy.
  • Blocca l’accesso tramite WP XML-RPC.
  • Disabilita feed RSS o ATOM Feed.
  • Disabilit query maligne fatte tramite XSS.

Brute Force

  • Permette di modificare l’url di login in uno personalizzato.
  • Permette di impostare il Google reCAPTCHA V2.
  • IP Whitelist
  • Abilita l’honeypot nella pagina di login per diminuire i tentativi di accesso di bot.

Prevenzione spam

Prova a ridurre i commenti spam e imposta come gestire i commenti spam.

È anche possibile bloccare gli IP che lasciano commenti spam.

Scanner

Permette di scansionare il sito periodicamente alla ricerca di eventuali cambiamenti dei file.

Non viene fatto una scansione dei malware tramite plugin, ma bisogna utilizzare il loro servizio esterno.

Autenticazione a due fattori 2FA

È possibile abilitare l’autenticazione a due fattori. Supporta anche TOTP come Google Authenticator.

2fa aios

Solid Security

Solid Security – Password, Two Factor Authentication, and Brute Force Protection

Solid Security è un plugin di sicurezza sviluppato da SolidWP (ex iThemes Security).

Non mi piace la configurazione iniziale guidata, mi ha chiesto troppe domande non saltabili.

Poi però mi sembra moderno, con molte funzionalità gratuite e semplice da configurare.

Site scan

Scansiona il sito alla ricerca di problemi.

È anche possibile monitorare il cambiamento dei file nel corso del tempo (File change detection).

Firewall

  • Permette di bannare utenti tramite indirizzo IP
  • Ti protegge da attacchi di brute force impostando un login lockdown dono N tentativi falliti.
firewall solidsecurity

Vulnerabilità

Permette di fare una scansione del sito per le vulnerabilità note.

Sicurezza Utente

User Security solidsecurity

Per ogni utente è possibile vedere:

  • l’ultima volta che ha fatto login
  • la forza della password
  • l’ultima volta che ha cambiato la password
  • se ha abilitato il login a due fattori

Molto interessante questa sezione.

In più, è possibile per ogni utente forzare il reset della password e forzare il logout.

user security solidsecurity

Sicurezza Login

  • Permette di abilitare l’autenticazione a due fattori, tramite email o tramite app.
  • Permette di forzare l’utilizzo di password forti e di rifiutare password compromesse.
  • Permette di modificare l’url della pagina di login.
  • Forza il cambio dell’utente admin.

Backup

È possibile impostare il backup automatico del solo database.

Ma questo può venire inviato solo via email oppure salvato solo sullo stesso server del sito.

Sicurezza avanzata

Offre altre funzionalità:

  • Disabilita il codice PHP nella cartella uploads, plugins, themes.

Audit Log

Offre un registro di tutti gli eventi più importanti del sito.

Sucuri Security

Sucuri Security – Auditing, Malware Scanner and Security Hardening

Sucuri Security è il plugin di sicurezza sviluppato da Sucuri.

Grafica piacevole e semplice da usare.

Il firewall deve essere abilitato tramite API key.

Firewall

Il firewall richiede l’attivazione tramite Firewall API Key.

Autenticazione a due fattori

Permette di abilitare l’autenticazione a due fattori per tutti gli utenti.

Audit Log

Offre un registro degli eventi.

Hardening

  • Disabilita l’esecuzione dei file PHP nella cartella uploads, wp-content e wp-includes
  • Disabilita l’editor di plugin e temi aggiungendo la costante DISALLOW_FILE_EDIT al wp-config.php.

Azioni Post-Hack

  • Permette di rigenerare le secret keys.
  • Reset delle password degli utenti.
  • Ripristina i plugin installati.

Altre funzionalità

  • permette di controllare i file del sito con quelli presenti sul repository ufficiale, così da rilevare eventuali cambiamenti.
  • Ricevi degli alert via email in maniera dettagliata.
  • login lockdown dopo un certo numero di tentativi falliti.

C’è altro da fare

Un plugin può aumentare la sicurezza del tuo sito, ma non ti protegge al 100%.

Sicuramente potresti affidarti ad un professionista per una impostazione iniziale o un controllo generale.

Ma nel frattempo, ci sono altre operazioni più o meno complesse che puoi fare.

Leggi come aumentare la sicurezza del tuo sito WordPress.

Sponsor

Vhosting
themeforest

Altri articoli