Inizio
/
Tutorial WordPress
/
Tutorial sul Plugin Security Optimizer
/
Come utilizzare i Filtri Personalizzati di Security Optimizer

Come utilizzare i Filtri Personalizzati di Security Optimizer

Questo tutorial riguarda i seguenti argomenti:

Nell’ambito della gestione dei siti web, la sicurezza è fondamentale. Noi di SiteGround lo capiamo e offriamo quindi un potente strumento di sicurezza all-inclusive. Questo plugin supporta filtri personalizzati che ti consentono di migliorare la sicurezza del tuo sito web WordPress in una miriade di modi.

Se hai bisogno di ripristinare un URL di accesso personalizzato al suo valore predefinito, rimuovere gli indirizzi IP consentiti, estendere l’Autenticazione a due fattori a utenti aggiuntivi, o mettere in whitelist degli script specifici, i filtri personalizzati di SiteGround sono a tua disposizione.

In questo articolo, ti mostreremo come sfruttare questi filtri personalizzati per rafforzare la sicurezza del tuo sito web e garantire un’esperienza sicura per i tuoi utenti.

Ripristinare un URL di accesso personalizzato al suo valore predefinito

Ci sono diversi casi in cui potrebbe essere necessario ripristinare un URL di accesso WordPress personalizzato al suo valore predefinito. Ad esempio, se hai dimenticato l’URL personalizzato, ripristinare l’URL di accesso standard di WordPress può aiutarti a ottenere nuovamente accesso al pannello di amministrazione. Alcuni plugin potrebbero anche entrare in conflitto con un URL di accesso personalizzato, causando problemi di funzionalità. In questi casi, tornare all’URL di accesso predefinito può aiutare nella risoluzione dei problemi.

Ripristina il tipo di accesso predefinito utilizzando il seguente snippet.

add_action( 'init', 'remove_custom_login_url' );

function remove_custom_login_url() {

update_option( 'sg_security_login_type', 'default' );

}

Cancellare indirizzi IP consentiti per riottenere l’accesso al pannello di amministrazione

Se sei bloccato fuori dal tuo pannello di amministrazione, aggiungi la seguente opzione al file functions.php del tuo tema, ricarica il sito e riotteni l’accesso. Una volta effettuato l’accesso, puoi rimuovere prontamente l’opzione appena aggiunta. Tuttavia, tieni presente che questa azione rimuoverà anche tutti gli indirizzi IP a cui era precedentemente consentito l’accesso alla pagina. Pertanto, sarà necessaria una riconfigurazione per ripristinare i controlli di accesso per gli indirizzi IP desiderati:

add_action( 'init', 'remove_login_access_data' );

function remove_login_access_data() {

update_option( 'sg_login_access', array() );

}

Estendere l’autenticazione a due fattori ad altri utenti

Puoi anche estendere la protezione dell’Autenticazione a due fattori a ruoli utente aggiuntivi. Una volta abilitata, applica facilmente questa misura di sicurezza avanzata utilizzando il seguente filtro nella tua configurazione:

add_filter( 'sg_security_2fa_roles', 'add_user_roles_to_2fa' );
function add_user_roles_to_2fa( $roles ) {

$roles[] = 'your_role';

return $roles;

}

Cambiare la posizione del file della chiave di crittografia della 2FA

Puoi modificare la posizione del file della chiave di crittografia della 2FA utilizzando la costante SGS_ENCRYPTION_KEY_FILE_PATH definita nel file wp-config.php. Assicurati di utilizzare il percorso completo del file. Esempio:

// Percorso personalizzato al file della chiave di crittografia di SG Security.
define ( 'SGS_ENCRYPTION_KEY_FILE_PATH', '/home/fullpathtofile/sgs_encrypt_key.php');

Cancellare i dati degli indirizzi IP bloccati

Nel caso in cui tu ti blocca involontariamente fuori dal pannello di amministrazione, puoi aggiungere la seguente opzione al file functions.php del tuo tema e ricaricare il sito. Puoi rimuovere il codice appena aggiunto una volta che hai riottenuto l’accesso. Tieni in considerazione che questa azione rimuoverà anche il blocco IP per i tentativi di accesso non riusciti da tutti gli indirizzi IP:

add_action( 'init', 'remove_unsuccessfull_attempts_block' );

function remove_unsuccessfull_attempts_block() {

update_option( 'sg_security_unsuccessful_login', array() );

}

Mettere in whitelist uno script specifico nella funzione Blocca e proteggi le cartelle di sistema

Blocca e proteggi le cartelle di sistema consente di bloccare l’esecuzione di script dannosi o non autorizzati nelle cartelle di sistema delle tue applicazioni.
Se l’opzione Blocca e proteggi le cartelle di sistema blocca uno script utilizzato da un altro plugin sul sito web, puoi facilmente inserire nella whitelist lo script specifico utilizzando gli snippet forniti di seguito.

  • Usa questo comando per mettere in whitelist un file nella cartella wp_includes:
add_filter( 'sgs_whitelist_wp_includes' , 'whitelist_file_in_wp_includes' );

function whitelist_file_in_wp_includes( $whitelist ) {

$whitelist[] = 'file_name.php';

$whitelist[] = 'another_file_name.php';

return $whitelist;

}
  • Usa questo per inserire in whitelist un file nella cartella wp_uploads:
add_filter( 'sgs_whitelist_wp_uploads' , 'whitelist_file_in_wp_uploads' );

function whitelist_file_in_wp_uploads( $whitelist ) {

$whitelist[] = 'file_name.php';

$whitelist[] = 'another_file_name.php';

return $whitelist;

}
  • Utilizza lo snippet di seguito per inserire in whitelist un file nella cartella wp_content:
add_filter( 'sgs_whitelist_wp_content' , 'whitelist_file_in_wp_content' );

function whitelist_file_in_wp_content( $whitelist ) {

$whitelist[] = 'file_name.php';

$whitelist[] = 'another_file_name.php';

return $whitelist;

}

Impostare una durata del registro personalizzato

Per tua comodità, ti forniamo anche un filtro che consente di impostare una durata dei log personalizzata (in giorni). Questo ti dà la flessibilità per personalizzare il periodo di conservazione dei log in base alle tue esigenze specifiche:

add_filter( 'sgs_set_activity_log_lifetime', 'set_custom_log_lifetime' );

function set_custom_log_lifetime() {

return 'your-custom-log-lifetime-in-days';

}
  • Disabilitare il registro attività

Se hai bisogno di disabilitare il registro attività, è possibile utilizzare il seguente filtro. Tieni presente che questo disabiliterà anche le email dei report settimanali.

add_action( 'init', 'deactivate_activity_log' );

function deactivate_activity_log() {

update_option( 'sg_security_disable_activity_log', 1 );

}
  • Risolvere il problema con i log che non venivano cancellati in tempo

Nel caso tu abbia disabilitato il Cron Job nativo di WordPress, e stia utilizzando invece UNIX cron setup, puoi aggiungere la seguente regola al file wp-config.php del tuo sito web in modo da cancellare i log in tempo:

define( 'SG_UNIX_CRON', true );

Riepilogo

Questa guida dettagliata approfondisce i vari filtri personalizzati offerti dalla soluzione di sicurezza all-in-one Security Optimizer per migliorare la sicurezza del tuo sito web WordPress. Ti abbiamo mostrato come ripristinare un URL di accesso personalizzato al suo valore predefinito e cancellare gli indirizzi IP consentiti per il ripristino dell’accesso.

Inoltre, la guida spiega come estendere l’autenticazione a 2 fattori ai ruoli utente, inserire in whitelist script specifici o impostare una durata dei log personalizzata. Ogni sezione include frammenti di codice per una facile implementazione. Sfruttando questi filtri personalizzati, puoi rafforzare efficacemente la sicurezza del tuo sito web, fornendo una piattaforma sicura e affidabile per i tuoi utenti.

Domande frequenti sulla soluzione di sicurezza all-inclusive di SiteGround

È possibile includere altri ruoli utente nell’autenticazione a due fattori?

Sì, è possibile forzare l’autenticazione a due fattori anche per altri ruoli utente. Una volta abilitata la funzione, puoi aggiungere un filtro utilizzando il seguente frammento di codice:

add_filter( 'sg_security_2fa_roles', 'add_user_roles_to_2fa' );

function add_user_roles_to_2fa( $roles ) {

$roles[] = 'your_role';

return $roles;

}

È possibile aggiungere campi aggiuntivi se si desidera proteggere più ruoli. Devi solo sostituire “your_role” con il ruolo utente esatto che desideri utilizzare.

Ho abilitato l’URL di accesso personalizzato e una pagina di accesso per i  clienti reindirizza a 404

Questo di solito accade se la pagina di accesso del cliente reindirizza ancora a wp-login.php. Quando viene impostato un URL di accesso personalizzato, cambia gli URL di accesso di WordPress predefiniti (/wp-admin, /wp-login.php) con l’URL personalizzato di tua scelta. Quindi tutte le richieste agli indirizzi di accesso predefiniti verranno reindirizzate a 404 Not found. Per risolvere il problema, è necessario modificare il link alla pagina di accesso del cliente in modo che corrisponda all’URL di accesso personalizzato.

Condividi questo articolo