10 ottimi consigli per proteggere l'area di amministrazione di WordPress
Pubblicato: 2022-07-12Tra gli 8.000 siti Web infetti conosciuti da Sucuri, il 74% di essi è basato su WordPress, secondo il suo Rapporto sui siti Web compromessi per il 2016. Questa statistica seria ti aiuta in parte a renderti conto della preoccupazione costante e continua della sicurezza web sul tuo sito.
Terze parti dannose utilizzano vari metodi per attaccare il tuo sito Web WordPress. La dashboard di amministrazione sarebbe l'obiettivo più vulnerabile. È come l'hub del tuo sito contenente dati importanti. Una volta entrati nella dashboard dell'amministratore, intraprendono azioni pericolose che danneggeranno in modo significativo il tuo sito.
Per prevenire efficacemente attacchi sospetti, è necessario proteggere l'amministratore di WordPress. Il nostro articolo di oggi è incentrato su 10 modi per restringere la tua area di accesso. Prima di approfondire i dettagli, spieghiamo brevemente alcuni motivi per proteggere il tuo accesso amministratore.
Perché proteggere l'amministratore di WordPress
Quando si parla di exploit del sito Web, pensiamo sicuramente agli hacker che si intromettono nel tuo server utilizzando sofisticati sistemi informatici.
In effetti, il processo è molto più semplice di così. Possono semplicemente accedere al back-end del tuo sito Web e controllarlo. Quindi, subisci le conseguenze della perdita di dati, dell'affrontare problemi legali e della spesa per la pulizia del sito Web.
Nella maggior parte dei casi, gli hacker lasciano malware sul tuo sito per rubare i dati delle credenziali dei clienti come numeri di telefono o dettagli della carta di credito. Una volta che queste informazioni private vengono rubate, i tuoi clienti non solo perdono denaro e si disturbano, ma danneggiano anche la reputazione del tuo marchio.
Gli acquirenti non torneranno mai al tuo negozio online per acquistare poiché non sono sicuri che le loro informazioni siano completamente protette. Potresti essere trascinato in un contenzioso anche per non aver protetto accuratamente i dati dei clienti.
Inoltre, ripulire il sito Web a causa di un attacco informatico è costoso. Devi assumere i servizi di manutenzione di WordPress per far fronte a questo.
Esistono diverse tecniche che puoi applicare per proteggere l'amministratore di WordPress. Di seguito sono elencate le 10 soluzioni più semplici per qualsiasi proprietario di sito, da persone non tecnologiche a persone esperte di tecnologia.
#1 Modifica il nome utente amministratore predefinito
WordPress assegna l' amministratore ai nomi utente predefiniti di tutti i siti Web. E i criminali informatici lo sanno, di sicuro. Indovinano facilmente la tua password per accedere al tuo sito. Possono acquisirlo da qualche parte o tentare di attaccare con la forza bruta.
Dovresti prendere un altro nome utente anziché l' amministratore per proteggere l'accesso dell'amministratore. Fortunatamente, cambiare i nomi utente in WordPress è un gioco da ragazzi.
- Visita Utenti nel menu di amministrazione del tuo sito web
- Scegli Tutti gli utenti e apri il profilo amministratore
- Aggiorna il nome utente e la password
- Salva le modifiche
#2 Usa password complesse per proteggere l'amministratore di WordPress
Si stima che l'8% dei siti WordPress compromessi derivi da password deboli. Quindi tieni presente di utilizzare una password complessa per il tuo account. La password deve contenere almeno 8 caratteri, combinando lettere, numeri e caratteri speciali. Puoi inserire la nuova password direttamente nella pagina Utenti in cui modifichi il nome utente.
I generatori di password ti aiutano notevolmente nella creazione di password casuali e complesse. Scegli semplicemente gli elementi che desideri includere nella password e lascia che lo strumento gestisca il lavoro.
Tuttavia, memorizzare tutte le tue password è doloroso poiché possiedi tonnellate di password e account da gestire. Fortunatamente, hai app per la gestione delle password a portata di mano, che ti supportano per archiviare le tue password in modo sicuro senza preoccuparti di essere hackerato.
#3 Crea URL di accesso personalizzato
Oltre al nome utente, WordPress ti fornisce anche un link di accesso predefinito aggiungendo /wp-login.php al dominio del sito web. Ad esempio, www.example.com/wp-login.php . Se rimani sia l'URL di accesso che il nome utente predefiniti, gli hacker stanno ottenendo l'accesso all'amministratore del tuo sito a metà.
Sebbene tu possa creare un URL di accesso amministratore personalizzato modificando il file wp-login.php, ti consigliamo vivamente di utilizzare un plug-in. Non è necessario toccare il server o apportare modifiche a file e cartelle che potrebbero distruggere il sito Web.
Prendi in considerazione WPS Hide Login quando scegli un plug-in per personalizzare il link di accesso di WordPress. Il plugin guadagna la fiducia di oltre 1 milione di utenti in tutto il mondo e si rivela finora la soluzione più popolare in questa nicchia.
Segui i 4 passaggi seguenti per iniziare con il plugin.
- Installa e attiva WPS Hide Login sul tuo sito
- Vai su Impostazioni nel menu di amministrazione
- Seleziona WPS Nascondi accesso
- Immettere il nuovo collegamento di accesso nella casella URL di accesso
Ricordati di salvare le modifiche. Una volta fatto, solo gli utenti con il nuovo link di accesso e i dettagli dell'account corretti possono raggiungere la tua pagina di amministrazione.
#4 Protezione con password cartella wp-admin
La cartella wp-admin è costituita da file amministrativi vitali, che si trovano nella directory principale. Puoi creare un livello di sicurezza aggiuntivo per il tuo amministratore proteggendo con password questa cartella wp-admin.
- Accedi al tuo cPannel di hosting o connettiti con un client FTP
- Premi Directory di protezione con password o Privacy della directory
- Trova la cartella wp-admin nella directory /public_html/
- Abilita l'opzione Proteggi con password questa directory
- Fornisci un nome utente e una password
- Fare clic su Salva
Questo è ciò che gli utenti vedono ogni volta che cercano di ottenere la tua pagina di amministrazione di WordPress. Devono inserire il nome utente e la password corretti per passare il primo livello di autenticazione prima di inviare i dati delle credenziali di amministratore.
#5 Reimposta le password per tutti gli utenti
Un altro modo per proteggere l'amministratore di WordPress è costringere ogni utente a reimpostare le proprie password, in particolare sui siti Web multiutente. Per raggiungere rapidamente questo obiettivo, è necessario l'aiuto del plug-in di ripristino della password di emergenza.
Dopo l'attivazione, consentirà agli amministratori di reimpostare le password e inviare loro automaticamente il collegamento di reimpostazione tramite e-mail con un solo clic. Segui i passaggi seguenti:
- Installa il plug-in per la reimpostazione della password di emergenza
- Vai a Utenti → Ripristino password di emergenza
- Premi il pulsante Reimposta tutte le password
Questo è tutto!
# 6 Limita i tentativi di accesso
WordPress consente agli utenti di inserire le informazioni di accesso tutte le volte che vogliono fino a quando non ottengono correttamente l'accesso alla tua area di amministrazione. Tuttavia, questa opzione offre agli hacker la possibilità di attaccare il tuo sito con la forza bruta.
Questi utenti malintenzionati hanno spesso una libreria di password delle più comuni. Gli hacker utilizzeranno uno script automatico e passeranno attraverso migliaia di potenziali password.
Per ridurre il rischio, puoi limitare i tentativi di accesso con il plugin Wordfence Security. È più di un semplice plug-in per prevenire attacchi di forza bruta, che si occupa della sicurezza del sito e del firewall di WordPress. Discuteremo l'utilità di questo plugin nelle prossime sezioni.
- Installa e attiva il plugin Wordfence Security per il tuo sito
- Apri Wordfence e seleziona Tutte le opzioni
- Attiva Abilita protezione dalla forza bruta in Opzioni firewall
- Immettere l'ora in cui gli utenti possono inviare le informazioni di accesso non riuscite
Se possono accedere anche se hanno raggiunto il numero massimo di tentativi, il plug-in bloccherà immediatamente il loro indirizzo IP.
#7 Limita l'accesso all'accesso tramite indirizzi IP
Questo metodo è vantaggioso nel caso in cui tu abbia pochi utenti che hanno bisogno di accedere alla tua area di amministrazione. Richiede la modifica del file .htaccess tramite FTP (File Transfer Protocol) o il file manager del tuo host web.
Aggiungi il codice qui sotto al file:
AuthUserFile /dev/null AuthGroupFile /dev/null AuthName "Controllo accesso amministratore WordPress" AuthType di base <LIMITE OTTIENI> ordinare negare, consentire rifiutato da tutti # indirizzo IP nella lista bianca consentire da xx.xx.xx.xxx </LIMITE>
Sostituire xx.xx.xx.xxx con l'indirizzo IP reale.
Modificare il file .htaccess è seriamente pericoloso. Ricorda di creare un backup del tuo sito prima di modificare il file .htaccess. In questo modo, puoi invertire la versione precedente se succede qualcosa di sbagliato al sito.
# 8 Imposta l'autenticazione a due fattori
L'autenticazione a due fattori (2FA) ti consente di aggiungere un ulteriore livello di sicurezza al tuo amministratore di WordPress. Ad esempio, inserisci il codice di sicurezza inviato al tuo dispositivo mobile o utilizza il tuo Face ID.
Se hai installato il plug-in Wordfence che abbiamo introdotto sopra, puoi utilizzare questa funzione senza l'aiuto di alcuna soluzione aggiuntiva.
- Visita Wordfence e apri la sezione Sicurezza di accesso
- Scansiona i codici QR con la tua app di autenticazione
# 9 Disabilita i suggerimenti di accesso
Quando gli utenti non riescono ad accedere alla dashboard dell'amministratore, WordPress visualizzerà un messaggio di errore che li informa se il loro nome utente o password non erano corretti. Questo fornisce agli utenti suggerimenti sulle credenziali di accesso.
Prendi un esempio di hacker che utilizzano un nome utente e una password casuali per accedere alla pagina di amministrazione. Se conoscono uno dei dettagli, devono solo cercare l'altro giusto.
Puoi fermarlo modificando il file functions.php del tuo tema. Vai su Aspetto → Editor di temi → functions.php nel backend di WordPress. Quindi, inserisci il seguente codice nel tuo file functions.php.
funzione no_wordpress_errors(){ restituisce 'Qualcosa non va!'; } add_filter('login_errors', 'no_wordpress_errors');
# 10 Utilizzare un firewall per applicazioni Web
Un firewall non è mai una vecchia soluzione per proteggere il tuo amministratore di WordPress. Monitora il traffico del sito e blocca le richieste dannose dall'accesso al tuo sito. Alcuni plugin popolari che puoi provare includono Wordfence, iThemes Security e Sucuri.
Non solo tengono lontani gli utenti sospetti, ma questi plugin effettuano anche la scansione del malware. Ci sono un sacco di opzioni di protezione dell'accesso tra cui selezionare, dalla prevenzione degli attacchi di forza bruta, all'autenticazione a due fattori, CAPTCHA, ecc.
È ora di proteggere l'amministratore di WordPress
Le conseguenze degli exploit di WordPress sono devastanti. Perderai clienti, reputazione del marchio e denaro a causa dei crimini informatici di accesso dell'amministratore.
Prevenire è sempre meglio che curare. Hai esaminato i 10 migliori suggerimenti per proteggere la tua area di amministrazione di WordPress con e senza plug-in.
Ti bastano pochi clic per modificare il nome utente e la password dell'amministratore. Puoi installare plug-in per generare un URL di accesso personalizzato, limitare i tentativi di accesso, impostare 2FA e applicare un firewall. È necessario utilizzare il codice per proteggere con password la cartella wp-admin, limitare l'accesso tramite indirizzi IP e disabilitare i suggerimenti di accesso.
Quanti di questi metodi hai applicato? Condividi con noi nella sezione commenti qui sotto.