Sicurezza di accesso a WordPress: 5 semplici passaggi per proteggere la tua pagina di accesso

Ti chiedi se dovresti preoccuparti della sicurezza dell'accesso a WordPress?

WordPress è il CMS più popolare al mondo perché è molto facile creare un sito Web con esso. Sebbene sia un CMS gratuito, c'è un prezzo da pagare. WordPress è estremamente prevedibile, il che a volte lo rende un bersaglio facile.

Prendi, ad esempio, la pagina di accesso.

Ogni sito Web WordPress ha la stessa pagina di accesso (/wp-admin.com o /wp-login.php). Combina la prevedibilità con la propensione umana per l'utilizzo di credenziali deboli e la pagina diventa un bersaglio allettante per gli hacker.

Gli esperti di sicurezza affermano che la pagina di accesso è la pagina più vulnerabile di un sito web. Ogni giorno, gli hacker implementano bot per eseguire attacchi di forza bruta su quella pagina. Determinando le tue credenziali di accesso, possono facilmente accedere al tuo CMS. Quindi, devi fare tutto ciò che è in tuo potere per proteggerlo da questi ospiti indesiderati.

In questo articolo, ti mostreremo cinque metodi avanzati per migliorare la sicurezza dell'accesso a WordPress e prevenire gli hacker.

Come proteggere una pagina di accesso di WordPress nel 2022

Ci sono molti consigli scadenti nel regno della sicurezza informatica. La maggior parte ha lo scopo di indurre le persone nella paura e di farle cedere a scelte compulsive. Invece di aumentare il rumore, in questo articolo ti mostreremo metodi che funzionano davvero. Quelli sono:

Avrai notato che non abbiamo incluso l'applicazione di password complesse e l'installazione di certificati SSL. Questo perché è scontato. Ci auguriamo che tu li stia già utilizzando. Consulta le nostre altre guide su come farlo.

Nota: per eseguire le misure che abbiamo menzionato di seguito, dovrai installare uno o due plug-in. E sappiamo che anche i migliori plugin possono causare un guasto. Quindi fai un backup del tuo sito web prima di procedere ulteriormente.

Ora iniziamo:

1. Modifica l'URL della pagina di accesso

Come abbiamo detto all'inizio dell'articolo, la pagina di accesso predefinita di WordPress si presenta così:

• www.website.com/wp-admin/
• www.website.com/wp-login.php/

Lo sanno tutti, compresi gli hacker che progettano bot che prendono di mira le pagine di accesso di WordPress. E poiché il 59% degli americani [1] utilizza password deboli, è fin troppo facile hackerare un sito Web forzando brute la pagina di accesso .

Un modo per proteggere la tua pagina di accesso è modificare l'URL.

La creazione di un nuovo URL della pagina di accesso personalizzata è facile. Sono disponibili numerosi plug-in che ti consentono di farlo in un paio di clic.

Utilizzeremo il plug-in WPS Hide Login per dimostrare il processo, ma se preferisci uno degli altri plug-in, vai avanti. I passaggi saranno ugualmente facili e veloci.

Come modificare l'URL di accesso di WordPress

Installa e attiva WPS Hide Login. Vai a Impostazioni → WPS Nascondi accesso .

Scorri verso il basso nella parte inferiore della pagina, inserisci il nuovo URL nella sezione URL di accesso e premi Salva modifiche .

Prova ad accedere con il nuovo URL. Non dimenticare di condividerlo con i tuoi compagni di squadra.

Se hai bisogno di assistenza, ecco la nostra guida dedicata: come modificare l'URL della pagina di accesso di WordPress.

2. Implementare l'autenticazione a due fattori

Devi esserti imbattuto nell'autenticazione a due fattori durante l'utilizzo di Facebook e Gmail. I servizi in genere inviano un codice univoco al tuo numero di cellulare registrato ogni volta che tenti di accedere al tuo account. Questa misura di sicurezza viene implementata per assicurarsi che solo il proprietario dell'account possa accedervi. Anche se gli hacker potessero mettere le mani sulle tue credenziali, non c'è modo che possano rubare il codice univoco inviato al tuo numero di cellulare registrato.

L'autenticazione a due fattori può essere applicata anche al tuo sito Web WordPress. Aggiungerà un livello di sicurezza alla pagina di accesso. Tutto quello che devi fare è installare uno dei seguenti plugin:

• Google Authenticator di miniOrange
• Google Authenticator – Autenticazione a due fattori (2FA)
• WP 2FA di WP White Security

La configurazione di un plug-in di autenticazione a due fattori è molto semplice. Utilizzeremo Google Authenticator di miniOrange per mostrarti il ​​processo di configurazione.

Come implementare l'autenticazione a due fattori

Installa Google Authenticator di miniOrange sulla pagina di accesso di WordPress. Non appena si attiva il plug-in, viene visualizzato un widget di configurazione. Scegli la prima opzione, ovvero Google Authenticator .

Quindi, scarica l'app Google Authenticator sul tuo smartphone. Apri l'app e scansiona il codice QR .

L'app genera un codice . Inseriscilo nel widget di configurazione e premi Salva .

La sicurezza dell'accesso a WordPress 2FA è ora attiva nella tua pagina di accesso.

3. Limita i tentativi di accesso non riusciti

WordPress consente ai suoi utenti tentativi di accesso illimitati. Questo può sembrare innocuo, ma ad essere onesti, è un'evidente scappatoia di sicurezza.

Tentativi di accesso illimitati consentono agli hacker di eseguire attacchi di forza bruta. In questo tipo di attacco, gli hacker implementano i bot per trovare la giusta combinazione di nome utente e password. I bot falliscono più volte prima di imbattersi nelle giuste credenziali. Uno dei modi più efficaci per contrastare gli attacchi dei bot è limitare i tentativi di accesso.

I plugin seguenti ti aiuteranno a fare proprio questo:

• Limita i tentativi di accesso ricaricati
• Accesso limite WPS
• Tentativi di accesso al limite WP di Arshid

Come limitare i tentativi di accesso non riusciti

Installa il plug-in e quindi vai su Limita tentativi di accesso → Impostazioni → App locale . Qui puoi impostare quante volte i tentativi di accesso devono essere consentiti sul tuo sito web. E per quanto tempo qualcuno rimarrà bloccato dopo tale numero di tentativi di accesso.

4. Impedisci la scoperta del nome utente

In genere, il nome utente è considerato meno importante della password. È un record disponibile pubblicamente, ed è per questo che presumiamo che debba essere di basso valore. Non vero.

Il nome utente costituisce metà delle tue credenziali. Deve essere protetto, proprio come la password.

Su un sito Web WordPress, troverai nomi utente visualizzati sui post e sugli archivi degli autori. Per fortuna, c'è un modo per disabilitarli entrambi.

Come disabilitare gli archivi degli autori

Questo può essere fatto con l'aiuto di qualsiasi plugin SEO. Nel tutorial qui sotto, stiamo usando Yoast SEO per mostrarlo.

Vai su SEO → Aspetto di ricerca → Archivi e quindi disabilita gli archivi dell'autore. Premi Salva modifiche .

Come modificare il nome visualizzato

Il nome visualizzato viene visualizzato negli articoli e nei commenti pubblicati. Per impostazione predefinita, il nome visualizzato e il nome utente (quello utilizzato per accedere) sono gli stessi. Per impedire la scoperta del nome utente, puoi cambiare il nome visualizzato in qualcos'altro.

Vai a Utenti → Profilo → Soprannome . Non è possibile modificare direttamente il nome visualizzato. Invece, cambia il soprannome. Quindi seleziona il nuovo nickname dal menu a discesa sottostante.

5. Disconnessione automatica

La disconnessione automatica protegge i siti Web dai ficcanaso. Quando gli utenti lasciano le sessioni incustodite, i logout automatici terminano la sessione, proteggendo il sito Web.

Il comportamento predefinito di WordPress è di disconnettere l'utente 48 ore dopo la scadenza del cookie della sessione di accesso. E se l'utente ha selezionato la casella "Ricordami", rimarrai connesso per 14 giorni. Per terminare le sessioni a causa di un po' di tempo di inattività, è necessario installare un plug-in separato.

I plug-in seguenti ti aiutano a disconnetterti automaticamente per terminare le sessioni utente inattive:

• Disconnessione inattiva
• iThemes Sicurezza

Come abilitare la disconnessione automatica

Attiva il plugin e poi vai su Impostazioni → Logout inattivo → Gestione di base . Impostare l'orologio per un timeout di inattività. Sono disponibili anche opzioni per i timeout basati sui ruoli. Dai un'occhiata se ti piace.

Conclusione sulla sicurezza dell'accesso a WordPress

Anche se hai implementato misure per impedire agli hacker di forzare il tuo sito Web, gli intrusi possono comunque accedere tramite temi e plug-in vulnerabili. Pertanto, mantieni il tuo sito aggiornato 24 ore su 24.

Per proteggere ulteriormente il tuo sito Web, ti consigliamo vivamente di adottare tutte le misure di sicurezza trattate in questa guida: 10 suggerimenti chiave per la sicurezza di WordPress.

Se hai domande su come gestire la sicurezza dell'accesso a WordPress, faccelo sapere nei commenti qui sotto.