Come Installare e Configurare Sucuri Security su WordPress

La sicurezza di un sito WordPress non è un optional: è una necessità assoluta. Ogni giorno migliaia di siti vengono compromessi da attacchi automatizzati, malware e tentativi di intrusione. Sucuri Security è uno dei plugin più affidabili e completi per proteggere la tua installazione WordPress, offrendo scansione malware, firewall, monitoraggio dell’integrità dei file e molto altro. In questa guida completa vedremo passo dopo passo come installare e configurare Sucuri Security per ottenere il massimo livello di protezione.

Perché Scegliere Sucuri Security

Sucuri è un’azienda specializzata in sicurezza web che offre sia un plugin gratuito per WordPress sia soluzioni premium con firewall cloud (WAF) e CDN. Il plugin gratuito fornisce già un eccellente livello di protezione, incluse funzionalità di scansione remota, hardening del core WordPress, monitoraggio dell’integrità dei file e un registro dettagliato delle attività. La versione a pagamento aggiunge il Web Application Firewall (WAF) che filtra il traffico malevolo prima che raggiunga il tuo server, riducendo drasticamente il carico e bloccando attacchi DDoS, SQL injection e cross-site scripting.

A differenza di altri plugin che si limitano alla scansione locale, Sucuri utilizza un approccio ibrido: il motore SiteCheck esegue scansioni remote per verificare la presenza del sito nelle blocklist più importanti (Google Safe Browsing, Norton, McAfee, Sucuri Labs), mentre il modulo lato server monitora le modifiche ai file core di WordPress. Questa doppia strategia garantisce una copertura molto più ampia rispetto ai competitor che operano solo localmente.

Requisiti Preliminari

Prima di procedere con l’installazione, assicurati di avere:

• Un sito WordPress funzionante con versione 5.0 o superiore (consigliata l’ultima release stabile)
• Accesso come amministratore alla bacheca di WordPress
• PHP 7.4 o superiore (consigliato PHP 8.2+)
• Un backup recente del sito e del database (fondamentale prima di qualsiasi modifica)
• Un indirizzo email valido per ricevere le notifiche di sicurezza

È inoltre buona pratica verificare che il tuo hosting supporti le connessioni in uscita necessarie per le API di Sucuri. Alcuni hosting economici bloccano le chiamate esterne, il che impedirebbe al plugin di funzionare correttamente.

Installazione del Plugin

L’installazione di Sucuri Security segue la procedura standard dei plugin WordPress. Accedi alla bacheca del tuo sito, vai su Plugin > Aggiungi nuovo e cerca “Sucuri Security”. Il plugin ufficiale è sviluppato da Sucuri Inc. e ha oltre 900.000 installazioni attive. Clicca su Installa ora e poi su Attiva.

Dopo l’attivazione, noterai una nuova voce Sucuri Security nel menu laterale della bacheca. Il plugin creerà automaticamente una directory di lavoro in wp-content/uploads/sucuri/ dove salverà i log e i file di configurazione. È importante che questa directory sia scrivibile dal web server.

Generare la API Key

Il primo passo dopo l’attivazione è generare la chiave API gratuita. Vai su Sucuri Security > Dashboard e clicca sul pulsante per generare la API Key. Dovrai inserire l’indirizzo email dell’amministratore principale del sito e accettare i termini di servizio. La chiave API è necessaria per:

• Ricevere le notifiche di sicurezza via email
• Accedere ai log di audit nel cloud di Sucuri (protezione anti-manomissione)
• Utilizzare la funzionalità di scansione remota SiteCheck
• Sincronizzare i dati con la dashboard online di Sucuri

La API Key viene inviata via email e salvata automaticamente nelle impostazioni del plugin. Conservala in un luogo sicuro: se dovessi reinstallare il plugin, potrai reinserirla manualmente per recuperare lo storico dei log.

Configurazione della Scansione

Vai su Sucuri Security > Impostazioni > Scanner per configurare la frequenza e la profondità delle scansioni. Il motore di scansione di Sucuri opera su due livelli:

Scansione remota (SiteCheck): verifica il sito dall’esterno, come farebbe un visitatore o un motore di ricerca. Controlla la presenza di malware visibile nel codice HTML, iframe sospetti, redirect malevoli e inclusione in blocklist. Puoi impostare la frequenza da ogni 3 ore a una volta al giorno.

Scansione locale (Integrity Check): confronta i file core di WordPress con le versioni originali nel repository ufficiale. Rileva file modificati, file aggiunti e file mancanti. Questa scansione è fondamentale per individuare backdoor e web shell nascoste nei file di sistema.

Per un sito di medie dimensioni, consigliamo di impostare la scansione remota ogni 12 ore e quella locale ogni 24 ore. Siti ad alto traffico o e-commerce dovrebbero aumentare la frequenza a ogni 3-6 ore. Tieni presente che scansioni troppo frequenti possono impattare leggermente sulle prestazioni del server.

Configurare le Notifiche Email

Le notifiche sono il cuore del sistema di allerta di Sucuri. Vai su Sucuri Security > Impostazioni > Alerts per personalizzare quali eventi devono generare una notifica email. Gli eventi configurabili includono:

• Tentativi di login falliti (con soglia personalizzabile)
• Login riusciti (utile per monitorare accessi sospetti)
• Modifiche ai file core di WordPress
• Installazione o disattivazione di plugin e temi
• Creazione o eliminazione di utenti
• Modifiche alle impostazioni del sito
• Aggiornamenti di WordPress, plugin e temi

Consigliamo di attivare tutte le notifiche nella fase iniziale e poi ridurle progressivamente una volta compreso il volume normale di attività del sito. Imposta un limite massimo di email per ora (ad esempio 5) per evitare di essere sommerso da notifiche durante un attacco brute force.

Applicare le Misure di Hardening

La sezione Sucuri Security > Hardening offre una serie di misure di sicurezza che puoi applicare con un clic. Queste includono:

• Verifica versione WordPress: assicura che stai usando l’ultima versione
• Blocco editor PHP: disabilita l’editor di file integrato nella bacheca (previene la modifica di file tramite il pannello admin in caso di compromissione dell’account)
• Blocco esecuzione PHP in uploads: impedisce l’esecuzione di script PHP nella directory uploads, una delle tecniche più comuni usate dagli attaccanti
• Blocco esecuzione PHP in wp-content: simile al precedente ma per l’intera directory wp-content
• Blocco esecuzione PHP in wp-includes: protegge i file core di WordPress
• Rimozione versione WordPress: nasconde il numero di versione dal codice sorgente

Applica tutte le misure di hardening disponibili. In rari casi, alcuni plugin potrebbero smettere di funzionare dopo il blocco dell’esecuzione PHP in wp-content: in tal caso, dovrai creare un’eccezione specifica per quel plugin.

Configurare il Post-Hack

La sezione Post-Hack contiene strumenti da utilizzare se il sito è stato compromesso, ma è utile configurarla preventivamente. Le opzioni includono:

• Reset Secret Keys: rigenera le chiavi di sicurezza in wp-config.php, invalidando tutte le sessioni attive
• Reset User Passwords: forza il cambio password per tutti gli utenti
• Reset Plugin: reinstalla tutti i plugin dalla versione originale nel repository
• Update Available Plugins: aggiorna tutti i plugin all’ultima versione

Familiarizza con queste opzioni così da poterle utilizzare rapidamente in caso di emergenza.

Integrazione con il Firewall (WAF)

Se hai sottoscritto un piano a pagamento di Sucuri, puoi configurare il Web Application Firewall direttamente dal plugin. Vai su Sucuri Security > Firewall (WAF) e inserisci la tua API Key del firewall. Il WAF richiede una modifica ai record DNS del dominio per instradare il traffico attraverso la rete Sucuri prima che raggiunga il tuo server. Questa configurazione offre:

• Protezione da attacchi DDoS
• Blocco di SQL injection e XSS
• Virtual patching per vulnerabilità note
• CDN con caching per migliorare le prestazioni
• Certificato SSL gratuito

Anche senza il firewall a pagamento, il plugin gratuito fornisce già un eccellente livello di protezione. Tuttavia, per siti critici come e-commerce o portali aziendali, il WAF è un investimento altamente consigliato.

Verifica della Configurazione

Dopo aver completato la configurazione, esegui una verifica completa:

1. Vai su Dashboard e verifica che tutte le sezioni mostrino lo stato verde
2. Lancia una scansione manuale cliccando su Scan Site
3. Controlla che le email di notifica arrivino correttamente (prova a fare un login/logout)
4. Verifica nella sezione Hardening che tutte le misure siano applicate
5. Controlla i log di audit per assicurarti che vengano registrati correttamente

Se tutto è configurato correttamente, il tuo sito WordPress ha ora un solido strato di protezione aggiuntivo. Ricorda però che la sicurezza è un processo continuo: mantieni sempre aggiornati WordPress, i plugin e i temi, utilizza password robuste e abilita l’autenticazione a due fattori per tutti gli account amministratore.

Conclusioni

Sucuri Security è uno strumento potente e versatile che ogni proprietario di un sito WordPress dovrebbe considerare. L’installazione richiede pochi minuti, ma la protezione che offre è duratura e completa. La combinazione di scansione remota, monitoraggio dell’integrità dei file, hardening automatizzato e notifiche in tempo reale crea un ecosistema di sicurezza difficile da battere.

Nel prossimo articolo della serie approfondiremo la scansione malware e il monitoraggio dell’integrità dei file, esplorando come Sucuri rileva e segnala le minacce al tuo sito.

Se hai bisogno di assistenza professionale per la configurazione di Sucuri Security o per mettere in sicurezza il tuo sito WordPress, contatta il team di G Tech Group: i nostri esperti sono a tua disposizione.