I 10 migliori plugin di sicurezza e protezione per WordPress

Se la sicurezza del vostro blog vi sta a cuore come la copertina che alberga mattina e sera sul vostro divano, vi consiglio di dare un’occhiata a questa lista di plugin messa a punto da Specky boy.

Si tratta di plugin dedicati alla sicurezza in senso lato, dalla protezione dei dati, agli strumenti contro lo spam, alle login sicure.

Io mi sono limitato a tradurla liberamente. Buona lettura.

1. WordPress Database Backup (http://www.ilfilosofo.com/blog/wp-db-backup/)

URL: http://www.ilfilosofo.com/blog/wp-db-backup/
Description: Questo plugin fa proprio ciò che il nome lascia intendere, esegue il backup dell’intera installazione di WordPress. Dovrebbe essere uno dei primi plugin da installare appena create il vostro blog. Vi consente di eseguire i backup copiandoli sul vostro disco rigido, su un server o anche tramite email. Che si tratti di un plugin riottoso, un hacker (o voi stessi) a far crashare WP, WP Database Backup riporterà tutto a come avrebbe dovuto essere (prima del danno). Mi piace pensare a questo plugin come a un “WP , recupero del sistema.

2. Semisecure Login (http://jamesmallen.net)

URL: http://jamesmallen.net/2007/09/16/semisecure-login/
Description: Semisecure incrementa la sicurezza della componente di Login di WP, utilizzando una crittazione lato client delle password in MD5 (vabbé, MD5 è un hash…). Affinché la criptazione possa venire eseguita è necessario che che il navigatore supporti JavaScript. Quando il supporto JavaScript non è disponibile, la password viene trasmessa in chiaro (come succede normalmente), ma l’autenticazione procede senza alcun ostacolo.

3. AskApache Password Protect (http://www.askapache.com)

URL: http://www.askapache.com/wordpress/htaccess-password-protect.html
Description: Questo plugin renderà più sicuro l’accesso alla console di amministrazione di WP tramite l’utilizzo di htaccess per la gestione delle password, impedendo agli indesiderati bot l’ingresso al vostro sito.

4. Force SSL (http://almosteffortless.com/)

URL: http://almosteffortless.com/wordpress/force-ssl/
Description: Se avete un certificato SSL, il plugin Force SSLFor forzerà le connessioni su HTTPS per garantire una migliore sicurezza. Ciò è utile per coloro che vogliono assicurare un maggiore livello di sicurezza per la veicolazione dei contenuti al navigatore.

5. WP Security Scan (http://wordpress.org/extend/plugins)

URL: http://wordpress.org/extend/plugins/wp-security-scan/
Description: Adoro questo plugin, che scandisce il vostr osito alla ricerca di problemi di sicurezza e controlla password, permessi sui file e messa in sicurezza del database, nascondendo anche la versione di WP e proteggendo/rendendo sicuro l’admin di WP. Mi rende anche un po’ paranoico.

6. Secure Files (http://wordpress.org/extend/plugins)

URL: http://wordpress.org/extend/plugins/secure-files/#post-271
Description: Questo plugin vi consente di caricare e scaricare file al di fuori della document root del vostro sito web, per motivi di sicurezza. Quando viene utilizzato insieme a un plugin che richiede all’utente di essere loggato per poter leggere le pagine del vostro sito, potete limitare i donwload agli utenti loggati.

7. WP-SpamFree (http://www.hybrid6.com/)

URL: http://www.hybrid6.com/webgeek/plugins/wp-spamfree
Description: Ho sentito parlare parecchio di questo plugin prima di provarlo e si dice che sia meglio di Akismet. In tutta onestà, non ho mai notato molta differenza (ho 500 messaggi di spam al giorno, in questo periodo) fra i due. Penso sia solo una questione di scelta dell’utente. Speravo ci fosse invece un modo per fermare gli spammer.

8. BackUpWordPress (http://wordpress.designpraxis.at)

URL: http://wordpress.designpraxis.at/plugins/backupwordpress/
Description: Quasi identico al primo plugin, solo non altrettanto semplice. La lista di funzionalità è lunga ed è indicata per un WP Pro. Alcune funzionalità: backup del database, inclusi i file caricati, i plugin, etc; notifica via email dei nuovi backup; backup lanciabili manualmente, possibilità di pianificare i backup, di eseguire restore, importazioni scaglionate di SQL; prosecuzione in background dei backup non terminati; Supporto lingue. (E questo solo per la modalità Easy, aspettate di vedere quella avanzata).

9. Anonymous WordPress Plugin Updates (http://f00f.de/)

URL: http://f00f.de/blog/2007/10/02/plugin-anonymous-wordpress-plugin-updates.html
Description: Anonimizza il sistema di controllo degli aggiornamenti dei plugin, una nuova funzionalità introdotta in WordPress 2.3. Il plugin impedisce a WordPress di inviare una lista di plugin attivi, l’url del blog e la versione di WordPress. Ideale per gli amministratori consapevoli delle implicazioni relative alla privacy di una installazione WordPress.

10. Replace WP-Version (http://wordpress.org/extend/plugins/)

URL: http://wordpress.org/extend/plugins/replace-wp-version/#post-2859
Description: (Abbiamo tutti letto del problema di sicurezza derivato dal mostrare la propria versione di WP, questo plugin lo risolve). Se state utilizzando una versione più vecchia di WordPress, chiunque può vedere i sorgenti per capire quali attacchi possono funzionare contro il vostro blog. Questo plugin rimpiazza l’informazione relativa alla versione di WP con una stringa casuale per le versioni < 2.4 e la elimina per le versioni > 2.4.

Be Sociable, Share!
zv7qrnb

4 pensieri su “I 10 migliori plugin di sicurezza e protezione per WordPress

  1. Ciao Giorgio,

    E’ la prima volta che ti leggo, ma mi ha colpito la qualità del tuo intervento. Ti seguirò assiduamente! :-)

    per il punto 7, credo che i Captcha di qualsiasi tipo siano ormai abbastanza superati: l’unico modo è quello di rendere poco leggibile il font, col rischio che nemmeno un essere umano sia in grado di farlo!

    In ambiente phpBB e anche su WP io mi trovo particolarmente bene con tutti i sistemi che richiedono una domanda con un senso, dalla più semplice “sei un essere umano?” alle domande con semplici calcoli matematici (“quanto fa due più due?” a domande molto specifiche (“come si chiama questo blog/associazione/ecc?”).

    Una soluzione intelligente, applicabile anche ai commenti la fornisce CFORMS][ (link: http://www.deliciousdays.com/cforms-plugin) che offre tutte queste possibilità insieme.

    Alla prossima,
    Luca

  2. @Luca, ti ringrazio, ma ho solo tradotto un post che mi sembrava interessante e utile.

    Il problema dei captcha è che fino a quando è leggibile, un testo è aggredibile. Quando non lo è più, diventa inutilizzabile.

    Poi, ora, per aggirare il problema, si danno pochi centesimi per migliaia di captcha e si usano delle persone reali per decodificare i captcha, alla faccia degli algoritmi, che in questo modo vengono addestrati anche manualmente.

    Discorso simile, se non peggiore, per le frasi di senso compiuto. Il problema in questo caso è il dizionario e la semantica che se ne può ricavare. Una volta mappati i termini e i significati delle permutazioni, il gioco è fatto. Oltretutto, per avere un senso, la permutazione dei termini deve sottostare a delle convenzioni precise, il che limita notevolmente il numero delle combinazioni.

    E’ il classico gioco dell’escalation: per ogni pezza che si mette, escono nuove tecniche e a queste bisogna rispondere con altre pezze e così via.

  3. Sono assolutamente d’accordo su tutta la linea: ad ogni difesa, prima o poi si trova un tallone d’Achille.

    In realtà, per certe forme diventa più difficile. Se nel mio forum di calcetto ti chiedo nome e cognome dell’allenatore, mettici chi vuoi (almeno che tu non metta tra i tuoi scagnozzi direttamente il nostro allenatore! :-) ma devi starci un bel pò dietro per trovare la combinazione.

    La domanda che ne segue è: il gioco vale la candela? Ha senso far perdere così tanto tempo ad una persona (o ad un bot) per cercare di mettere un link in un commento che verrà cancellato quanto prima?!?

    Almeno rendiamo loro la vita difficile! :-)

    Un aneddoto carino: per rendere meno leggibile il mio captcha alla fine l’ho reso persino human proof: persino io che lo conosco non lo capisco!!! Ahi ahi ahi! :-)

    Grazie ancora del tuo contributo,
    luca

  4. Ciao, un certo MrPaparosse ha bucato il mio sito, cancellando gli utenti, cambiando le pagine e il tema. Adesso ho ripristinato il tutto e installato alcuni di questi plug-in. In questo caso me ne sono accorto perchè il sito era rovinato, come faccio ad accorgermi di modifiche subdole e non visibili?

Lascia un Commento

L'indirizzo email non verrà pubblicato.

È possibile utilizzare questi tag ed attributi XHTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">