Come implementare le linee guida per la sicurezza delle password di WordPress

Pubblicato: 2022-12-22

La sicurezza del sito richiede la partecipazione degli utenti che vi accedono. Ad esempio, mentre devi proteggere la tua pagina di accesso di WordPress (poiché è un punto di accesso), anche le credenziali scelte dai tuoi utenti devono essere forti. Ciò rende quasi certo che un utente malintenzionato non otterrà un passaggio gratuito sul tuo sito.

Per questo tutorial, vedremo come implementare le linee guida per la sicurezza delle password di WordPress. Coprirà parte del terreno del nostro articolo complementare sulla protezione con password di WordPress. Tuttavia, parlerà anche di come assicurarsi che gli utenti seguano tali linee guida in linea con la propria politica di password complesse.

Perché la sicurezza delle password è così importante

In apparenza, questo dovrebbe essere semplice: password complesse significano che gli hacker e altri utenti malintenzionati avranno più difficoltà a penetrare nel tuo sito. Tuttavia, c'è altro da considerare qui:

  • Le password complesse sono solo un anello della catena. Tuttavia, senza di loro, le tue catene sicure si corroderanno rapidamente.
  • Puoi combattere falsi utenti o bot sul tuo sito attraverso la necessità di impostare una password complessa che cambia spesso.
  • WordPress è una piattaforma sicura. Tuttavia, la popolarità di WordPress significa che è un obiettivo comune. Una politica di sicurezza della password forte (e completa) proteggerà il sito nel suo insieme.

Nel complesso, una sicurezza delle password solida e sicura è vitale per il tuo sito web. In effetti, WordPress include funzionalità per aiutarti a impostare password più sicure per iscrizioni e registrazioni.

In che modo WordPress ti aiuta a implementare password complesse per tutti gli utenti

Il sito Web WordPress.org offre il proprio elenco di best practice per la password di WordPress, ma la piattaforma ora include modi per incoraggiare gli utenti a utilizzare password complesse. Puoi testarlo dalla pagina del tuo profilo utente sulla dashboard di WordPress:

Una pagina del profilo WordPress che mostra il campo della password.
Una pagina del profilo WordPress che mostra il campo della password.

La sezione Gestione account include due opzioni per impostazione predefinita, ma una è interessante qui. È possibile utilizzare il pulsante Imposta nuova password per aprire un campo che verrà compilato automaticamente con una password complessa e univoca. Tutto ciò che l'utente dovrà fare qui è copiare la password per memorizzarla (ne parleremo più avanti) e salvare le modifiche.

Impostazione di una nuova password complessa all'interno di WordPress.
Impostazione di una nuova password complessa all'interno di WordPress.

Tuttavia, se l'utente tenta di impostare una password debole, noterai che la finestra di dialogo e le opzioni cambiano per riflettere quanto segue:

Tentativo di impostare una password debole all'interno di WordPress.
Tentativo di impostare una password debole all'interno di WordPress.

In casi come questo, l'utente dovrà confermare che desidera utilizzare la password debole utilizzando una casella di controllo. Tuttavia, sebbene sia un passaggio aggiuntivo, la maggior parte degli utenti probabilmente farà clic sul pulsante e salverà le modifiche.

Questo non è l'ideale perché diventa una delle vulnerabilità del tuo sito. Invece, ti consigliamo di implementare una politica di sicurezza della password.

Perché hai bisogno di una solida politica di sicurezza delle password per il tuo sito e gli utenti

Parliamo delle politiche sulle password nella nostra guida completa alla protezione delle password di WordPress. Tuttavia, per riassumere, una politica di sicurezza della password complessa toglierà il processo dalle mani dell'utente per la maggior parte.

Pertanto, non dovranno preoccuparsi di sofisticati bot per il cracking delle password o attacchi di forza bruta. Invece, puoi fornire ai tuoi utenti una politica che si adatta alle tue linee guida e consentire loro di continuare a interagire con il tuo sito in modo sicuro.

Tuttavia, è importante sapere che aspetto ha una politica di password complessa. Parliamo di questo dopo.

Gli elementi di una politica di sicurezza delle password complesse

Uno dei principali vantaggi di una politica di sicurezza della password complessa è che puoi personalizzarla in base alle tue esigenze e a quelle dei tuoi utenti. Tuttavia, ci sono molte regole e politiche per la password di WordPress che puoi mettere in atto per rafforzare il tuo sito e proteggere gli utenti:

  • Potresti garantire una lunghezza minima per tutte le password.
  • Vorresti anche impostare anche i tempi di scadenza della password. Altrimenti, scoprirai che le password degli stessi utenti rimarranno in vigore per molto tempo, il che è rischioso. Forzare la scadenza offre agli utenti la possibilità di creare nuove password complesse.
  • Anche i ruoli utente di WordPress possono avere regole di password diverse. Ad esempio, un amministratore vorrà probabilmente una politica più rigorosa rispetto a un collaboratore.

Più avanti parleremo più approfonditamente di come implementare password complesse utilizzando un plug-in di policy dedicato per WordPress. Per prima cosa, però, esamineremo alcuni elementi essenziali della sicurezza delle password complesse.

Linee guida per la sicurezza della password di WordPress: una lista di controllo

Successivamente, parliamo di alcune delle principali linee guida per la sicurezza delle password che i tuoi utenti dovrebbero seguire e che dovresti implementare. È una breve lista di controllo perché, con un po' di attenzione e riflessione, non avrai bisogno di molti elementi affinché tutti gli utenti abbiano solide credenziali.

Inizieremo con uno dei fattori più basilari che puoi applicare.

1. Assicurati che la tua password sia lunga e sicura

Gran parte della discussione sulla scelta di una password complessa valorizza la varietà e gli elementi casuali. Ad esempio, i caratteri speciali possono essere importanti in una password generata a caso:

Generazione di una nuova password utilizzando uno strumento online.
Generazione di una nuova password utilizzando uno strumento online.

Tuttavia, se prendi questa stessa filosofia e la implementi nel modo sbagliato, probabilmente ti ritroverai con una scelta sbagliata della password:

Sostituzione delle lettere in una password con caratteri speciali, risultando in una password debole.
Sostituzione delle lettere in una password con caratteri speciali, risultando in una password debole.

Invece, ora sappiamo che la lunghezza della password è più importante per la sua forza rispetto alla varietà di caratteri. Questa filosofia si fa strada anche nei media popolari, come questo fumetto di password di XKCD:

Un cartone animato XKCD che mostra che la lunghezza della password è un aspetto più forte rispetto all'utilizzo di caratteri speciali.
Un cartone animato XKCD che mostra che la lunghezza della password è un aspetto più forte rispetto all'utilizzo di caratteri speciali.

Tuttavia, faresti bene a implementare anche caratteri e numeri speciali. Dopotutto, se combini lunghezza e varietà, avrai password ancora più efficaci.

2. Utilizza un gestore di password per archiviare le tue credenziali

Uno svantaggio dell'utilizzo di password lunghe è che possono essere difficili da ricordare, ed è probabilmente il motivo per cui i consigli tipici suggeriscono spesso di utilizzare un mix di caratteri. In passato non avevamo gli strumenti per creare, archiviare e richiamare le password. Tuttavia, la tecnologia moderna ha una serie di app per la gestione delle password tra cui scegliere.

Il logo dell'app 1Password.

Alcune delle scelte più popolari includono 1Password e LastPass. La maggior parte dei browser include ora la possibilità di creare e memorizzare anche le password. In effetti, i tre attori principali - Google Chrome, Apple Safari e Mozilla Firefox - possono tutti aiutare gli utenti a memorizzare le password. Tuttavia, questa non è una buona idea per una sicurezza ottimale.

Lo strumento di gestione delle password del browser Brave.
Lo strumento di gestione delle password del browser Brave.

In molti casi, questi browser avranno anche estensioni da integrare con app di terze parti. Per cominciare, manterrai i dati della tua password lontano da potenziali vulnerabilità del browser. Inoltre, avrai un ulteriore livello di sicurezza.

La maggior parte dei gestori di password di terze parti offrirà la crittografia dei tuoi dati, insieme all'autenticazione a due fattori (2FA). Inoltre, avrai una migliore qualità della vita rispetto al browser. Ad esempio, la maggior parte dei gestori di password monitorerà le tue credenziali e ti informerà se sono compromesse.

3. Aggiornare regolarmente la password

L'aggiornamento delle password è quasi un elemento non negoziabile della sicurezza delle password. Dopotutto, nessuna password è sicura al 100%, il che significa che esiste la possibilità che venga violata e trapelata sul Web, indipendentemente da quanto piccola possa essere.

Per questo motivo, la modifica delle password per tutti i tuoi accessi è un passaggio necessario per gli utenti del tuo sito WordPress per garantire che una password trapelata o violata non sia più valida. Consigliamo una modifica immediata della password in uno dei seguenti scenari:

  • Se il tuo sito o account WordPress viene violato, violato o trovi malware sul server.
  • Le violazioni dei dati a livello aziendale sono anche un momento in cui vorrai che gli utenti cambino le password. Sebbene tu possa concentrarti solo sugli account interessati, è meglio chiedere a tutti gli utenti di modificare le proprie password come precauzione.
  • Se scegli di rimuovere qualcuno dalla tua rete, è una buona idea cambiare almeno la password del suo account. Una volta finalizzato tutto, puoi eliminare del tutto l'account utente.

In alcuni altri casi, ti consigliamo di assicurarti di modificare una password in base a circostanze specifiche. Ad esempio, molte prese Wi-Fi pubbliche offriranno solo una rete non protetta per navigare sul Web. Se gestisci informazioni sensibili, potresti non rispettare i requisiti legali per proteggere i dati in queste situazioni. Per questo motivo, e per il fatto che l'utilizzo del Wi-Fi pubblico non è comunque una buona pratica, vorrai sempre cambiare la password se dovessi trovarti a dover utilizzare una rete non protetta.

Il modo migliore per implementare password complesse per il tuo sito Web WordPress

La funzionalità di sicurezza della password di WordPress è buona come metodo di base per aiutare a proteggere gli utenti, ma presenta delle carenze. Invece, i plug-in di WordPress possono colmare il divario e aggiungere le utili funzionalità di cui avrai bisogno per implementare una politica e una sicurezza per le password complesse.

Un plug-in di sicurezza di WordPress è vitale per qualsiasi sito Web, ma potrebbe non includere sempre tutto ciò di cui hai bisogno per implementare la sicurezza della password di WordPress. Questo è il motivo per cui WPassword sarà una buona aggiunta alle tue attuali misure di sicurezza.

Il plugin WPassword.

Una volta installato e attivato WPassword, individuerai facilmente il plug-in nella dashboard di WordPress. La schermata WPassword > Criteri password ti offre la tua prima attività: attivare la funzionalità dei criteri di base. Una volta fatto questo, vedrai tutta una serie di opzioni:

Attivazione/disattivazione dei criteri per le password all'interno del plug-in WPassword.
Attivazione/disattivazione dei criteri per le password all'interno del plug-in WPassword.

L'editor dei criteri per le password è potente e contiene tutte le funzionalità necessarie per applicare password complesse sul tuo sito:

  • È possibile specificare una lunghezza minima per le password e determinare se la password deve contenere numeri, caratteri maiuscoli e minuscoli, caratteri speciali e persino bloccare determinati caratteri.
  • C'è un semplice campo per implementare i tempi di scadenza della password in base alle proprie esigenze e desideri. Hai anche una funzione con un clic per reimpostare le password in blocco.
  • Potrai anche impostare intervalli di tempo per gli utenti inattivi, a quel punto verranno bloccati automaticamente.

WPassword include anche più funzionalità per aiutarti a implementare la tua politica di sicurezza della password di WordPress. Ad esempio, puoi scegliere di non consentire l'utilizzo di password precedenti. Ancora meglio, la configurazione di ciascuna di queste opzioni utilizza l'interfaccia WordPress predefinita di caselle di controllo e menu a discesa, senza codice richiesto.

Avvolgendo

Se gli utenti del tuo sito WordPress non utilizzano password complesse, ovviamente, potresti rischiare una violazione della sicurezza. Questo può avere conseguenze irreparabili. Pertanto, ti consigliamo di personalizzare una politica di password dedicata utilizzando WPassword.

Il plug-in ti consente di creare una politica di password complessa e la applica anche. I tuoi utenti non dovranno muovere un dito, ma ti assicurerai che la sicurezza del tuo sito WordPress sia molto più forte di prima.

Hai domande su come implementare le linee guida di sicurezza di WordPress sul tuo sito? Chiedi via nella sezione commenti qui sotto!