Come bloccare i tentativi di accesso falliti su WordPress

Gli accessi non riusciti possono verificarsi per una serie di motivi. Spesso è semplicemente il risultato di un utente che ha davvero dimenticato la propria password. Succede al meglio di noi in modo da non giudicare troppo duramente. A volte, tuttavia, potrebbe succedere qualcosa di più grave: qualcuno sta cercando di entrare.

L'arte della risoluzione dei problemi di accesso non riuscito

Come tutti gli altri problemi di WordPress, la risoluzione dei problemi (ovvero andare a fondo delle cose) è il primo passo che dobbiamo intraprendere. Questo ci aiuterà ad assicurarci di avere a che fare con il problema reale e non con il suo sintomo. Fortunatamente, c'è un modo semplice per avviare questo processo: guarda i dati. In sostanza, dovresti vedere una delle due cose:

• Nome utente errato e combinazioni di password errate

Combinazioni errate di nome utente e password possono verificarsi per uno dei due motivi. O qualcuno o qualcosa sta cercando di indovinare una combinazione nome utente/password per ottenere l'accesso, oppure è un attacco mirato. Nel caso della prima opzione, questo è un evento abbastanza comune. Altrimenti, potrebbe essere un attacco mirato al tuo sito web per ottenere l'accesso o per sovraccaricare il tuo sito web (DoS/DDoS).

• Nome utente corretto e combinazioni di password errate

Combinazioni di nome utente corretto e password errate possono significare una di queste due cose. O si tratta di un vero caso in cui qualcuno ha dimenticato la password o qualcuno ha scoperto un nome utente reale registrato sul tuo WordPress e ora sta cercando di indovinare la password.

Un'altra cosa che dovresti ricordare di guardare è la frequenza. Un numero elevato di tentativi in ​​un breve periodo è solitamente il segno di un attacco automatizzato. D'altra parte, una sequenza temporale lenta e irregolare è un segno rivelatore di una persona che non ha ancora bevuto il caffè.

I pericoli di troppi tentativi di accesso falliti

Gli attacchi per indovinare le password sono piuttosto diffusi. Troppi tentativi di accesso a WordPress falliti sono generalmente indicativi di questo tipo di attacchi. Senza un modo per gestirlo, potresti lasciare il tuo sito esposto ad attacchi e interruzioni. Fortunatamente, gestire questo rischio è molto semplice e richiede uno sforzo amministrativo minimo.

WordPress non offre alcuna funzionalità per limitare o intraprendere azioni evasive in caso di tentativi di accesso falliti. Un utente può continuare a provare fino alla nausea finché non lo fa bene. Sebbene si possa sostenere che dare alle persone ulteriori possibilità sia la cosa etica da fare, l'imposizione di limiti e controlli può fare molto per garantire la sicurezza e l'integrità del tuo sito Web WordPress.

Come prevenire tentativi di accesso falliti su WordPress

L'implementazione di una politica di accesso fallito di WordPress è più facile di quanto sembri. Ci sono principalmente due opzioni tra cui scegliere, di cui parleremo ora.

Limita manualmente gli accessi non riusciti

Se stai cercando di limitare gli accessi non riusciti a WordPress senza un plug-in, puoi modificare il file function.php del tema attivo e aggiungere il codice pertinente. Esistono diversi modi per aggiungere codice personalizzato ai siti Web WordPress; tuttavia, ciò richiede una buona comprensione di PHP e di come funziona WordPress.

Installa un plugin

C'è un'altra e più pratica opzione: utilizzare un plug-in. I plug-in sono disponibili in tutte le forme e dimensioni, compresi quelli che limitano i tentativi di accesso e quelli che consentono di applicare una politica di sicurezza delle password su WordPress per un controllo e una sicurezza ancora più rigorosi.

WPassword è uno di questi plugin per WordPress. Offre agli amministratori un maggiore controllo su come vengono utilizzate e gestite le password sui loro siti Web WordPress. Include la possibilità di impostare una politica che si occupa in modo esplicito dei tentativi di accesso non riusciti, tra le sue molte altre funzionalità.

Altre cose da considerare

Un'altra opzione degna di nota è CAPTCHA. Plugin come Advanced noCaptcha e invisible Captcha sono ottimi per aiutarti a fermare gli attacchi automatici. Poiché un CAPTCHA deve essere completato prima che venga effettuato un tentativo di registrazione, i bot dietro tali attacchi non superano il test e non eseguiranno un solo tentativo di accesso.

Un'altra opzione che tende a emergere nelle conversazioni sulle politiche di accesso non riuscite è quella di bloccare gli IP. Attraverso questa opzione, l'IP incriminato viene inserito nella lista nera, impedendogli in primo luogo di accedere al tuo sito web. Sebbene ciò sia tecnicamente corretto, un attore malintenzionato persistente può semplicemente utilizzare un IP diverso, cosa che può fare con facilità. Per questo motivo, la strategia di bloccare gli IP spesso finisce per essere un gioco del gatto e del topo.

Un'opzione migliore è utilizzare una CDN (Content Delivery Network) e lasciare che si occupino del blocco degli IP offensivi. Questo può farti risparmiare tempo prezioso, che puoi investire in cose produttive.

Come progettare una politica di accesso fallito di WordPress

Prima di iniziare ad applicare una politica di accesso non riuscito su un sito Web WordPress, ci sono alcune cose a cui dobbiamo pensare. Come tutti gli altri problemi relativi alla sicurezza, la gestione dei tentativi di accesso non riusciti risente del paradosso sicurezza/usabilità. Più qualcosa è sicuro, meno diventa utilizzabile. È altrettanto vero il contrario. Non consentire a nessuno di accedere è molto sicuro ma difficilmente utilizzabile. Dare agli utenti possibilità illimitate di registrazione può compromettere la sicurezza ma aumenta l'usabilità.

Quello che devi capire è quanto margine di manovra sei disposto a dare ai tuoi utenti. Tradizionalmente, tre tentativi sono considerati sia adeguati che ragionevoli. Alcuni non sono d'accordo con questa nozione e collocano il numero massimo di tentativi di accesso consentiti a dieci. In ogni caso, offrire tentativi di accesso illimitati non è una buona strategia e può avere ripercussioni negative.

La verità è che non esiste una risposta giusta o sbagliata. Tre è un numero sicuro, ma aumenterà il carico amministrativo. Dieci potrebbero avere spese amministrative inferiori ma comportano maggiori rischi.

Pertanto, potresti voler iniziare limitando il numero di tentativi di accesso a tre e quindi valutare la situazione. Quando si utilizza WPassword, è molto facile modificare questo numero. Pertanto, puoi adattare molto facilmente la politica ai tuoi utenti e alle circostanze.

Sarebbe meglio se pensassi anche a cosa succede quando un account viene bloccato. L'account dovrebbe sbloccarsi automaticamente dopo un intervallo di tempo preconfigurato o un amministratore dovrebbe sbloccarlo manualmente? Questa domanda soccombe allo stesso problema di prima: devi decidere tra usabilità e sicurezza. Un altro aspetto essenziale che potrebbe influenzare questa parte della politica è la posizione dei tuoi utenti. Se le persone accedono dall'altra parte del mondo, sei felice di svegliarti alle due del mattino per sbloccare un account? E in caso negativo, quanto tempo deve attendere un utente prima di poter accedere nuovamente? Ciò influirà sulla loro produttività o sui tuoi profitti?

Scegliere i plugin (e la politica) giusti per gestire gli accessi non riusciti di WordPress

Una volta compreso come vorresti che fosse la tua password e la politica di accesso non riuscito, devi iniziare a lavorare sull'implementazione. In precedenza abbiamo menzionato WPassword come candidato principale. Offre molte opzioni di configurazione, consentendo un ampio margine di manovra durante la configurazione e l'implementazione della politica delle password.

Dopo aver abilitato la politica di accesso non riuscito per WordPress, puoi scegliere quanti tentativi hanno gli utenti prima che il loro account venga bloccato. Puoi anche decidere come viene sbloccato e se vuoi costringere gli utenti a cambiare le loro password o meno, come spiegato di seguito.

Passaggio 1: installa e attiva WPassword

Installare WPassword è facile. Puoi scaricare il plug-in per la sicurezza della password direttamente dal sito Web di WP White Security e quindi caricarlo sul tuo sito Web WordPress.

Una volta installato il plug-in, fai clic su Plugin dal menu laterale di WordPress, individua il plug-in e fai clic su Attiva . Ciò aggiungerà una nuova opzione di menu chiamata Politiche password , su cui è necessario fare clic.

Passaggio 2: abilitare il criterio di accesso non riuscito

Seleziona la casella di controllo accanto a Abilita criteri di accesso non riuscito per limitare i tentativi di accesso non riusciti sul tuo sito Web WordPress. Immettere il Numero di tentativi di accesso non riusciti prima di bloccare un utente, con 3 – 5 generalmente considerato un buon inizio.

Altre opzioni di configurazione includono cosa succede una volta bloccato un account e se gli utenti bloccati devono reimpostare la password allo sblocco. Per ulteriori informazioni, fare riferimento all'articolo della Knowledge Base sulla politica per gli accessi non riusciti di WordPress.

Passaggio 3: adottare ulteriori misure di sicurezza

CAPTCHA

Abbiamo anche accennato al CAPTCHA, l'onnipresente test presente in molti accessi e moduli progettato per consentire agli esseri umani di passare bloccando i bot e altre forme di attacchi automatici. Plugin come Advanced no Captcha e invisibile Captcha rendono l'implementazione di tali test estremamente semplice offrendo compatibilità universale e supporto per diverse versioni.

Autenticazione a due fattori

Per aumentare la sicurezza dei processi di accesso, l'autenticazione a due fattori è un must. Attraverso questo processo, gli utenti devono autenticarsi una seconda volta inserendo un passcode monouso fornito tramite il proprio smartphone. Impiegando 2FA, che puoi facilmente eseguire tramite plug-in come WP 2FA, puoi assicurarti che anche se le password vengono compromesse, a meno che la persona non abbia il telefono collegato a quell'account utente, non sarà in grado di accedere.

Passaggio 4: fare un ulteriore passo avanti (facoltativo)

Con la password e le politiche di accesso non riuscito, CAPTCHA e autenticazione a due fattori in atto, dovresti essere ben coperto.

Tuttavia, se il tuo sito Web presenta ancora grandi volumi di tentativi di accesso non riusciti, dovresti prendere in considerazione l'utilizzo di un servizio CDN. Potresti parlare con il tuo provider di hosting web per assisterti nell'implementazione di una soluzione adatta per attacchi su larga scala.

La sicurezza delle password di WordPress richiede un approccio a 360 gradi

Come abbiamo visto in tutto l'articolo, è necessario considerare diversi fattori quando si implementa una politica per le password. Sebbene il blocco degli accessi WordPress falliti sia un buon primo passo (e necessario per quello), adottando un approccio a 360 gradi, puoi essere molto più sicuro. Questo non solo ti aiuta a coprire tutte le tue basi, ma può anche aiutarti a ispirare più fiducia e sicurezza nel tuo sito Web WordPress.

Un approccio a 360 gradi esamina diversi fattori, inclusi plugin e temi, hosting, TLS, core di WordPress e altri. In questo modo, puoi assicurarti che la sicurezza di WordPress sia in perfetta forma.