WP Cerber deriva dal nome Cerberus, dalle mitologie greche e romane, in cui Cerberus è un cane a molte teste con coda di serpente e artigli di leone, e nessuno potrebbe aggirare questo cane sempre arrabbiato.
Installazione di WP Cerber
La versione gratuita del plugin WP Cerber può essere scaricata qui . L’installazione avviene allo stesso modo degli altri plugin di WordPress: installa il plugin tramite Plugin> Aggiungere nuova> Scarica o decomprimi il pacchetto del plugin .
Questa estensione è compatibile con WooCommerce, modalità multisito WordPress, Cloudflare, bbPress e Wp Engine.
Presentazione
WP Cerber protegge il tuo sito WordPress da attacchi di forza bruta, spam, trojan e malware.
Questo plug-in mitiga gli attacchi di forza bruta limitando il numero di tentativi di accesso resi possibili tramite il modulo di accesso, le richieste API XML-RPC/REST o tramite l’uso di cookie di autenticazione.
WP Cerber tiene traccia delle attività degli utenti con attività dannose con notifiche e-mail. Blocca anche gli spammer utilizzando un motore anti-spam specializzato.
WP Cerber utilizza Google reCAPTCHA per proteggere i moduli di registrazione, contatto e feedback e limita l’accesso con elenchi di accesso IP, monitora l’integrità del sito Web con uno scanner di malware.
È inoltre possibile gestire più istanze di WP Cerber da un’unica dashboard, particolarmente utile nel caso in cui sia necessario garantire la sicurezza di più siti web.
Infine, il plug-in aumenta la sicurezza generale di WordPress con una serie di regole di sicurezza flessibili e algoritmi di sicurezza.
Limitazione dei tentativi di accesso
Per impostazione predefinita, WordPress consente tentativi di accesso illimitati tramite il modulo di accesso, rendendo relativamente facile decifrare le password tramite un attacco di forza bruta.
WP Cerber Security impedisce agli intrusi tramite IP o sottorete di effettuare ulteriori tentativi dopo il raggiungimento di un determinato limite di tentativi, rendendo impossibili gli attacchi di forza bruta o gli attacchi di forza bruta distribuita da botnet.
Sarai in grado di creare un elenco di accesso IP nero o un elenco di accesso IP bianco per bloccare o consentire connessioni da un particolare indirizzo IP, un intervallo di indirizzi IP o una sottorete di qualsiasi classe (A,B,C).
Inoltre, puoi creare la tua pagina di accesso personalizzata e dimenticare gli attacchi automatici contro il file wp-login.php predefinito, che attira l’attenzione e consuma molte risorse del server. Se un utente malintenzionato tenta di accedere a wp-login.php, verrà bloccato e riceverà una risposta di errore 404.
Scansione malware
WP Cerber Security Scanner è uno strumento estremamente potente che scansiona in profondità ogni cartella e ispeziona ogni file su un sito Web alla ricerca di tracce di malware, trojan, backdoor, file modificati e nuovi file.
Maggiori dettagli sulle opzioni di configurazione della scansione qui .
Verifica dell’integrità di cartelle e file di WordPress
Lo scanner di WP Cerbercontrolla se tutte le cartelle e i file di WordPress corrispondono a ciò che è nel repository principale ufficiale di WordPress, confronta i tuoi plugin e temi con ciò che è nel repository ufficiale di WordPress e ti avvisa di eventuali modifiche. Simile alla scansione di plug-in e temi gratuiti, lo scanner esegue la scansione e controlla i plug-in e i temi commerciali installati manualmente.
Scansioni pianificate con recupero automatico dei file
Lo scanner di WP Cerber consente di impostare facilmente un programma per la scansione ricorrente automatizzata. Una volta configurata la pianificazione, lo scanner esegue automaticamente la scansione del sito Web, rimuove il malware e recupera i file WordPress modificati e infetti. Dopo ogni scansione, puoi ricevere un rapporto facoltativo via e-mail con i risultati della scansione.
Autenticazione a due fattori
L’autenticazione a due fattori (2FA) fornisce un ulteriore livello di sicurezza che richiede un secondo fattore di identificazione oltre a nome utente e password. Quando 2FA è abilitato su un sito Web, l’utente deve fornire un codice di verifica aggiuntivo durante l’accesso al sito Web. Questo codice di verifica viene generato automaticamente e inviato all’utente tramite e-mail.
È interessante notare che questa funzione 2FA è compatibile con la gestione di più istanze WP Cerber da un’unica dashboard.
Protezione antispam e antibot
Grazie a WP Cerber è possibile beneficiare di una buona protezione anti-spam e anti-bot per contatti, registrazioni, commenti e altri moduli. Il motore di rilevamento anti-spam e bot ora protegge tutti i moduli su un sito web. Prova con Gravity Forms, Caldera Forms, HappyForms, Contact Form 7, Ninja Forms, Formidable Forms, Fast Secure Contact Form, Contact Form di WPForms.
Questo modulo ti consente di beneficiare di un reCaptcha invisibile sul modulo di accesso di WordPress, sul modulo di registrazione di WordPress, sul modulo di password persa di WordPress e, infine, sul modulo di commento di WordPress.
Questa funzione è ufficiale anche per WooCommerce (Modulo di accesso WooCommerce, Modulo di registrazione WooCommerce, Modulo WooCommerce Lost Password).
Prima di attivare il reCAPTCHA invisibile, è necessario ottenere chiavi separate per la versione invisibile. Maggiori dettagli qui .
Se desideri testare la funzionalità di WP Cerber, fallo su un altro computer (o una finestra del browser in incognito) e rimuovi l’indirizzo IP o la rete del computer dall’elenco di accesso bianco.
WP Cerber Firewall “Ispettore del traffico”
È importante notare che, secondo WP Cerber, il firewall non rallenta le prestazioni di WordPress. Inoltre, non influisce sul posizionamento SEO del tuo sito web. WP Cerber, infatti, non blocca automaticamente le richieste ordinarie provenienti dalle pagine dei tuoi visitatori, e quindi non disturba l’indicizzazione dei motori di ricerca.
Verranno analizzate e bloccate solo le richieste dannose e potenzialmente pericolose, come ad esempio: invii di moduli, richieste con parametri GET e POST, richieste a script PHP. WP Cerber bloccherà quindi l’indirizzo IP e invierà una risposta 403 “Accesso negato”. Gli eventi di s verranno registrati nel registro attività. Maggiori dettagli qui .
Integrazione con Cloudflare
Uno speciale componente aggiuntivo Cloudflare per WP Cerber sincronizza l’elenco di indirizzi IP bloccati con le regole di accesso IP di Cloudflare.
Se il tuo sito è dietro il servizio proxy Cloudflare e il tuo WordPress è protetto dal plugin WP Cerber, ci sono due cose che devi fare per farli funzionare bene insieme.
1) Abilita l’opzione “Il mio sito è dietro un proxy inverso” nella pagina Impostazioni principali.
2) Nel caso in cui tu abbia configurato l’URL di accesso personalizzato, devi escluderlo dalla memorizzazione nella cache dai server di Cloudflare. Per fare ciò, aggiungi una regola nella pagina delle impostazioni “Page Rules” (“Regole della pagina”) nelle impostazioni del tuo account Cloudflare, come descritto qui.
Se hai configurato l’URL di accesso personalizzato e stai utilizzando Cloudflare o un plug-in di cache W3 Total Cache o WP Super Cache, devi aggiungere il nuovo URL di accesso personalizzato all’elenco delle pagine da non memorizzare nella cache.
Altre utili misure di sicurezza di WP Cerber
I seguenti passaggi sono facoltativi ma aiutano a rafforzare la protezione del tuo WordPress.
- Regolate le impostazioni di limitazione dei tentativi di connessione rendendole più restrittive secondo necessità.
- Imposta l’URL di accesso personalizzato (il plug-in ti invierà un’e-mail con esso).
- Dopo aver configurato l’URL di accesso personalizzato, seleziona “Blocca IP immediatamente dopo qualsiasi richiesta a wp-login.php” e “Blocca l’accesso diretto a wp-login.php e restituisci errore HTTP 404 non trovato” . Smetti di usare wp-admin per accedere alla dashboard di WordPress.
- Se il tuo WordPress ha pochi utenti esperti, seleziona “Blocca immediatamente l’IP quando tenti di accedere con un nome utente inesistente” .
- Specificare l’elenco dei nomi utente vietati che gli utenti legittimi non utilizzeranno mai. Non sarà loro consentito effettuare il login o registrarsi.
Altri articoli relativi alla sicurezza del sito WordPress aqui.
