Una guida su come proteggere l'amministratore di WordPress - MalCare
Pubblicato: 2023-04-13Amministratore WordPress sicuro: sapevi che oltre 90.000 tentativi di hacking vengono effettuati sui siti Web WordPress ogni singolo minuto della giornata? Ciò implica che i tentativi di hacking sui tuoi siti Web sono imminenti indipendentemente dal fatto che il sito sia grande o piccolo. La sicurezza è una delle principali preoccupazioni per un sito web.
Gli hacker ricorrono a varie tecniche per hackerare un sito Web WordPress e l'attacco di forza bruta è una di queste tecniche. Si tratta di provare una combinazione di nome utente e password di uso comune nella pagina di accesso al sito web.
Un attacco di forza bruta riuscito ti dà accesso all'amministratore di WordPress. L'area di amministrazione di WordPress è il centro amministrativo di un sito Web basato su WordPress. Chiunque abbia pieno accesso all'amministratore avrà il pieno controllo del sito. Pertanto, è importante proteggere il tuo amministratore di WordPress dagli attacchi di forza bruta.
Come proteggere l'amministratore di WordPress?
Abbiamo escogitato una serie di tecniche che ti aiuteranno a proteggere l'amministrazione di WordPress del tuo sito dai tentativi di hacking.
1. Usa password complesse
Uno degli errori più comuni commessi dai proprietari di siti Web è l'utilizzo di password deboli. Nel corso degli anni, le tecniche di cracking delle password sono maturate. Le password facili da indovinare vengono violate in pochi minuti. Le password complesse aiutano a difendere il tuo sito dalle tecniche di cracking delle password. Ecco un eccellente articolo su come creare password davvero complesse per il tuo sito WordPress.
Tuttavia, ricordare password complesse può essere un problema. Questo post spiega come gestire password complesse di WordPress .
Un altro errore molto comune che molte persone commettono è quando usano la stessa password su più siti. Quando una password viene compromessa, tutti gli account associati alla password vengono compromessi. Pertanto, l'utilizzo di password diverse per gli account può aiutare a evitare questa situazione.
2. Evitare l'uso di nomi utente comuni
Proteggere la password di WordPress è un passo importante per proteggere le credenziali di accesso di WordPress. Il secondo componente di una credenziale di accesso è il nome utente. Se il tuo nome utente è facile da indovinare, l'hacker deve concentrarsi solo sulla password.
Uno dei nomi utente WordPress più comuni è "admin". Fino a pochi anni fa, WordPress suggeriva automaticamente "admin" come nome utente. Sebbene WordPress abbia smesso di consigliare "admin", molti proprietari di siti lo stanno ancora utilizzando. Diversi nuovi account utente vengono creati utilizzando "admin" come nome utente. Tutti questi siti web si stanno trasformando in un bersaglio facile.
Poiché WordPress non impone l'uso di nomi utente univoci, è necessario assicurarsi che nessuno dei propri utenti utilizzi nomi utente comuni e che non venga creato alcun nuovo account con "admin". Dai un'occhiata a questo elenco esaustivo del nome utente comunemente usato in modo da sapere quali nomi utente evitare.
3. Nascondi la tua pagina di accesso a WordPress
I siti Web WordPress funzionano in un modo predeterminato. Ad esempio, tutti i siti Web WordPress sono dotati di una pagina di accesso predefinita che assomiglia a questa"www.anysite.com/wp-admin".Ciò semplifica il lavoro di un hacker perché può lanciare un attacco automatico su diversi siti WordPress mirati contemporaneamente. Ma se nascondi la pagina di accesso modificandola, puoi prevenire questo tipo di attacchi sul tuo sito.
Esistono molti plug-in che puoi utilizzare per modificare la tua pagina di accesso e utilizzare un URL suggerito dal plug-in. È probabile che altri siti Web che utilizzano lo stesso plug-in utilizzino lo stesso URL. E se gli hacker conoscono il formato dell'URL, nascondere la tua pagina di accesso non servirà a nulla. Quindi, utilizza uno strumento che ti consenta di creare il tuo URL della pagina di accesso personalizzato.
4. Implementare l'autenticazione HTTP
Per proteggere l'amministratore di WordPress, puoi proteggere con password l'intera cartella wp-admin. La cartella wp-admin contiene i file amministrativi che alimentano la dashboard di WordPress. Chiunque abbia accesso a questa cartella può controllare l'intero sito. Se la tua password protegge l'intera cartella, ogni volta che qualcuno richiede la sezione admin il server avvia un processo di autenticazione. Il browser chiederà all'utente una password di autenticazione HTTP. Esistono molti strumenti che puoi utilizzare per implementare l'autenticazione HTTP sul tuo amministratore di WordPress come HTTP Auth , AskApache Password Protect , ecc.
5. Usa Google Authenticator
Con le tecniche di hacking dei siti Web che diventano sempre più sofisticate in questi giorni, è comune aggiungere un altro livello di protezione dell'accesso insieme alle forti credenziali dell'utente. Questa tecnica è chiamata autenticazione a due fattori (2FA). Il metodo prevede l'invio di un codice che solo tu puoi ricevere sul tuo smartphone. Prima che ti venga concesso l'accesso alla dashboard di WordPress, devi inserire il codice univoco sul tuo sito. I vantaggi di questo approccio sono che anche se gli hacker riescono a violare le tue credenziali, hanno comunque bisogno del codice inviato esclusivamente al tuo dispositivo.
Esistono molti plug-in di WordPress che puoi utilizzare per l'autenticazione a 2 fattori. Abbiamo abilitato 2FA sul nostro sito utilizzando Mini Orange per proteggere l'amministratore di WordPress e abbiamo scritto una guida sullo stesso.
6. Limitazione del numero di tentativi di accesso non riusciti
I siti Web sottoposti ad attacchi di forza bruta subiscono centinaia di tentativi di accesso falliti. Per prevenire questo assalto implacabile al tuo amministratore di WordPress, puoi limitare il numero di tentativi di accesso falliti effettuati sul tuo sito. Il plug-in di sicurezza MalCare impedisce agli utenti di provare ad accedere dopo 3 tentativi di accesso falliti. Devono risolvere un CAPTCHA prima di poter accedere nuovamente alla pagina di accesso di WordPress. Questo aiuta a determinare se l'utente è umano o un bot automatizzato che tenta di eseguire un attacco di forza bruta sul sito.
7. Installa il certificato SSL
Guarda l'URL del nostro sito web! Riesci a vedere un lucchetto verde con accanto la parola "Sicuro"? Il nostro sito ha un certificato SSL installato, il che significa che nessuno può curiosare e leggere le credenziali di accesso dei nostri utenti. Un sito Web senza un certificato SSL rischia di esporre inconsapevolmente le informazioni sensibili del sito.
Ai vecchi tempi, i certificati SSL erano per le pagine di pagamento o per le aree di amministrazione di WordPress. Ma ora il certificato SSL può aiutarti a proteggere l'intero sito. Nella sua spinta a rendere il Web un luogo più sicuro, Google ha affermato chiaramente che i certificati SSL sono un fattore di ranking . Puoi ottenere un certificato SSL da provider come Comodo , Let's Encrypt e il tuo host web ti aiuterà a impostare il certificato sul tuo sito.
8. Indirizzo IP dannoso nella lista nera
Chiunque utilizzi Internet ha un indirizzo IP. Anche l'hacker che lancia attacchi ai siti Web WordPress ha un indirizzo IP. Se mantieni un registro di questi indirizzi IP, puoi impedire loro di accedere al tuo sito. MalCare : uno dei migliori plug-in di sicurezza di WordPress in circolazione offre dettagli (indirizzi IP) dei tentativi di accesso falliti effettuati sul sito. Se noti che molti tentativi falliti vengono effettuati quasi regolarmente dagli stessi IP, puoi impedire a questi IP sospetti di accedere ai tuoi siti Web semplicemente inserendo i seguenti codici nel nostro file .htaccess:
ordine consentire, negare negare da 192.168.20.10 consentire da tutti
"192.168.20.10" è l'indirizzo IP che volevamo bloccare su uno dei nostri siti. Puoi sostituirlo con l'IP che desideri bloccare.
9. Modifica chiavi di sicurezza
Non devi inserire le tue credenziali di accesso ogni volta che devi accedere al tuo sito. Ti sei mai chiesto come il tuo browser memorizza queste credenziali? Dopo aver effettuato l'accesso al tuo account, le tue informazioni di accesso vengono memorizzate in modo crittografato nel cookie del browser. Le chiavi di sicurezza sono solo variabili casuali che aiutano a migliorare questa crittografia. Se il tuo sito viene violato, la modifica delle chiavi segrete invaliderà i cookie e costringerà ogni utente attivo a disconnettersi automaticamente. Una volta espulso, le perdite degli hacker accedono al tuo amministratore di WordPress.
A voi
Non esiste un modo per proteggere un amministratore di WordPress, quindi assicurati di utilizzare più metodi. Abbiamo condiviso con te alcuni dei modi più consigliati per proteggere l'amministratore di WordPress. Ma prima di implementare uno di questi metodi, devi eseguire il backup del tuo sito . Se qualcosa va storto, puoi semplicemente ripristinare un backup e rendere operativo il nostro sito in pochissimo tempo.
Oltre a queste, puoi adottare alcune misure di sicurezza in più come il blocco dell'IP, proteggere la pagina di accesso, proteggere il sito con wp-config.php, seguendo questa guida completa sulla sicurezza di WordPress e installando un plug-in di sicurezza di WordPress come MalCare.
MalCare ti aiuterà a implementare alcune delle misure che abbiamo menzionato sopra. Ad esempio, MalCare Security Plugin ti aiuterà a modificare le chiavi di sicurezza, a limitare il numero di tentativi di accesso falliti, a mantenere aggiornato il tuo sito web, tra le altre cose.
Prova subito il plug-in di sicurezza MalCare!