TechBlogSD - Tutto per WordPress e sviluppo WEB
Istruzioni WEB e WordPress, notizie, recensioni di temi e plugin

Proteggi il sito WordPress con il firewall dal plugin AIOWPS

1

Le impostazioni del firewall consentono di proteggere meglio il tuo sito WordPress insieme ad altre opzioni come la forza bruta e la prevenzione dello spam nei commenti. Uno dei modi più semplici per abilitare il firewall per il tuo sito WordPress è utilizzare plugin come "All in one WP security and firewall" (AIOWPS). In questo articolo discuteremo in dettaglio come proteggere il sito WordPress con le impostazioni del firewall offerte dal plugin AIOWPS .

Una volta installato e attivato il plug-in, vai al menu "WP Security > Firewall" per visualizzare le seguenti opzioni:

  • Regole di base del firewall
  • Regole aggiuntive del firewall
  • Regole del firewall della lista nera 6G
  • Bot di imbarco
  • Previeni i collegamenti
  • Rilevamento 404
  • Regole personalizzate

L’abilitazione della maggior parte di queste opzioni inserirà il codice nel file .htaccess e impedirà agli hacker di accedere al tuo sito. Si consiglia vivamente di eseguire il backup dell’intero sito e di .htaccess prima di abilitare le opzioni del firewall. Controlla anche l’accessibilità del tuo sito dopo aver abilitato il firewall. Ad esempio, utilizza l’ opzione Visualizza come Google nella console di ricerca di Google o lo strumento PageSpeed ​​Insights per verificare se Googlebot può accedere al tuo sito con firewall.

I plugin offrono punti per abilitare ogni impostazione del firewall e sommano i punti per mostrare i punti totali nella sezione "Dashboard". Più punti indicano la maggiore sicurezza del tuo sito, ma considera che l’accessibilità del tuo sito non è influenzata.

Regole di base del firewall (totale 40 punti)

Sono disponibili tre opzioni nella scheda delle regole di base del firewall.

1 Impostazioni firewall di base (15 punti)

Questa opzione aggiungerà le seguenti funzionalità al tuo sito:

  • Nega l’accesso ai file .htaccess e wp-config.php
  • Disabilita la firma del server
  • Limita la dimensione del caricamento del file a 10 MB

Idealmente dovresti essere in grado di attivare questa opzione senza alcun altro impatto negativo sul tuo sito.

2 WordPress XMLPRC e protezione contro le vulnerabilità del pingback (15 punti)

Puoi vedere che ci sono molti bot che tentano di accedere al file "xmlprc.php" sul tuo sito quando monitori il traffico utilizzando uno degli strumenti di statistica disponibili nell’account di hosting cPanel. Gli hacker utilizzano questo servizio API XML-PRC offerto da WordPress per attaccare il tuo sito utilizzando metodi come "Denial of Service" (DoS). Assicurati di non utilizzare XML-PRC per altre funzionalità come la pubblicazione tramite app WordPress iOS / Android. Se abilitato, non puoi pubblicare tramite app mobili.

3 Blocca l’accesso al file di debug (10 punti)

Quando il debug è abilitato, WordPress genererà un file debug.log nella cartella "wp-content". Questo file può contenere informazioni importanti e l’attivazione di questa opzione negherà l’accesso al file. È possibile accedere al file di debug tramite account FTP.

Regole firewall aggiuntive (55 punti totali)

Qui puoi trovare le impostazioni avanzate del firewall per il tuo sito WordPress.

1 Elenco dei contenuti della directory (5 punti)

Questa opzione disabiliterà la visualizzazione dell’elenco delle directory sul browser. Generalmente WordPress ti consente di elencare la directory dei file che consente a chiunque di visualizzare la struttura della directory del tuo sito. Ad esempio, gli utenti possono visualizzare "yoursite.com/wp-content/uploads/" per vedere tutti i file caricati sul tuo sito. Pertanto, si consiglia di abilitare questa opzione per impedire l’elenco delle directory. Nel caso in cui ritieni che questa opzione non funzioni, puoi discutere con il tuo host se il server di hosting è configurato per supportare questa funzione.

2 Traccia e traccia (10 punti)

La disabilitazione di traccia e traccia aiuterà a prevenire gli attacchi di traccia HTTP. Questo tipo di attacchi viene generalmente utilizzato per estrarre cookie e altre informazioni dalle richieste di intestazione HTTP.

3 Pubblicazione di commenti proxy (10 punti)

Abilita questa opzione per impedire la pubblicazione di commenti utilizzando i server proxy. Si ritiene che la maggior parte dei bot utilizzi un server proxy per pubblicare commenti, quindi l’abilitazione di questa opzione interromperà i commenti spam.

4 stringhe di query errate (15 punti)

L’arresto delle stringhe di query errate impedirà gli attacchi di script incrociati (XSS). Poiché plug-in e temi possono utilizzare stringhe di query, assicurati che l’abilitazione di questa opzione non danneggi il tuo sito.

5 filtri avanzati per stringhe di caratteri (15 punti)

È simile all’opzione precedente e impedisce l’uso di alcune stringhe di caratteri avanzate. Quando l’hacker utilizza una delle stringhe, il plug-in restituirà 403 accessi negati e proteggerà il tuo sito. Questa opzione può anche danneggiare il tuo sito se uno dei tuoi plugin o temi utilizza le stringhe di caratteri impedite dal plugin AIOWPS.

Regole del firewall della lista nera 6G (totale 20 punti)

Le regole del firewall 6G sono direttive .htaccess definite dal sito di terze parti Perishable Press. È la versione aggiornata e migliorata della lista nera del firewall 5G legacy. La protezione 6G include quanto segue:

  • Blocca i caratteri generalmente utilizzati negli attacchi.
  • Blocca i caratteri dell’URL di codifica dannosi.
  • Impedisci agli hacker di utilizzare caratteri illeciti nelle stringhe di query.
  • Proteggersi dai modelli comuni di sfruttamento.

Puoi abilitare la protezione firewall sia 5G che 6G per il tuo sito. Assicurati di nuovo che il sito non sia danneggiato e che i bot dei motori di ricerca possano accedere al tuo sito dopo aver abilitato le impostazioni del firewall.

Proteggi il sito WordPress con il firewall dal plugin AIOWPS

Impostazioni del firewall della lista nera 6G

Bot Internet (Totale 5 Punti)

Il plug-in bloccherà tutti i falsi bot con stringhe come "Googlebot" testando i bot e risparmiando larghezza di banda.

Previeni i collegamenti (totale 10 punti)

L’hotlinking indica l’uso delle tue immagini su altri siti. Questo consumerà le risorse del tuo server ogni volta che le immagini vengono caricate su qualche altro sito. Abilitando la casella di controllo "Impedisci collegamento alle immagini" negherai l’accesso alle tue immagini quando sono collegate da altri siti.

Rilevamento 404 (totale 5 punti)

La pagina di errore 404 viene mostrata per gli utenti che tentano di accedere a URL inesistenti sul sito. Ma a volte alcuni bot possono tentare ripetutamente di accedere a pagine vecchie o inesistenti e consumare larghezza di banda. È possibile abilitare la casella di controllo "Abilita rilevamento e blocco IP 404" per monitorare e bloccare gli indirizzi IP sospetti.

Regole personalizzate

In questa sezione puoi scrivere direttive personalizzate e inserirle nel file .htaccess per migliorare la sicurezza del tuo sito WordPress. Usa questa sezione solo se sai come scrivere le direttive altrimenti lasciala deselezionata.

Il plugin AIOWPS offre 135 punti solo per la sezione firewall su un totale di 470 punti. Questa è un’indicazione di quanto sia importante utilizzare il firewall per il tuo sito WordPress. Allo stesso tempo, abbiamo notato che alcune delle opzioni bloccheranno il sito o bloccheranno l’accesso di Googlebot al sito. Assicurati di testare l’accessibilità del tuo sito e abilita solo le opzioni richieste per te anche se il conteggio totale dei punti è inferiore.

Fonte di registrazione: webnots.com
Lascia una risposta

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. Accept Read More