Come limitare i tentativi di accesso a WordPress
Pubblicato: 2023-06-22Vuoi limitare i tentativi di accesso a WordPress per proteggere l'area di amministrazione? Questo tutorial ti mostrerà il processo esatto per limitare i tentativi di accesso.
La popolarità di WordPress come CMS comporta anche la sua vulnerabilità a violazioni della sicurezza come attacchi di forza bruta e altro ancora. Poiché WordPress non limita i tentativi di accesso per impostazione predefinita, ci sono ancora più possibilità che questi attacchi possano avere successo e ostacolare il tuo sito web.
Ecco perché è essenziale aggiungere tentativi di accesso sul tuo sito Web WordPress. Ma limitare questi tentativi ha alcuni vantaggi in più oltre a evitare attacchi di forza bruta. Quindi diamo un'occhiata ai vantaggi di limitare i tentativi di accesso in WordPress prima di passare al processo vero e proprio.
Perché limitare i tentativi di accesso a WordPress?
È essenziale limitare i tentativi di accesso per il tuo sito Web WordPress. Ecco alcuni motivi per cui è importante:
- Prevenzione degli attacchi di forza bruta: gli attacchi di forza bruta dipendono dalla prova automatizzata e dall'errore di indovinare numerose combinazioni di nome utente e password. Continuano finché non vengono trovate le credenziali corrette. Pertanto, puoi ridurre significativamente le possibilità di successo per questi aggressori limitando i loro tentativi di accesso.
- Proteggi gli account utente: limitare i tentativi di accesso è molto importante se il tuo sito Web consente la registrazione degli utenti o include funzionalità di iscrizione. Stabilisci una protezione che aiuta a difendere gli account utente dall'accesso non autorizzato imponendo restrizioni sui tentativi di accesso. Ciò garantisce la protezione degli account utente associati al tuo sito WordPress e migliora la sicurezza generale del tuo sito web.
- Mantieni le prestazioni del sito Web: un attacco di forza bruta può mettere a dura prova le risorse del server del tuo sito Web quando l'attaccante tenta più nomi utente e password per ottenere l'accesso. Ogni tentativo di accesso fallito richiede potenza di elaborazione, memoria e altre risorse, il che può comportare una riduzione delle prestazioni del sito Web o persino tempi di inattività. Quindi puoi ridurre le possibilità che questi tentativi abbiano un impatto negativo sulle prestazioni del tuo sito Web limitando i tentativi di accesso.
- Migliora la sicurezza generale: l'implementazione delle limitazioni ai tentativi di accesso è una misura di sicurezza proattiva che rafforza la protezione del tuo sito WordPress. Aggiunge un ulteriore livello di difesa contro l'accesso non autorizzato, comprese altre misure di sicurezza essenziali come password complesse, autenticazione a due fattori e aggiornamenti regolari. Complessivamente, queste misure possono creare un solido sistema di difesa per salvaguardare il tuo sito da potenziali minacce.
Nella sezione successiva, ti mostreremo il processo passo dopo passo per limitare i tentativi di accesso a WordPress utilizzando un plug-in.
Come limitare i tentativi di accesso a WordPress
Il modo più semplice per limitare i tentativi di accesso in WordPress è utilizzare un plug-in . I plugin aumentano le funzionalità e le caratteristiche del tuo sito Web che non erano fornite nell'installazione o nei temi predefiniti di WordPress. E poiché WordPress non limita i tentativi di accesso per impostazione predefinita, dovrai utilizzare un plug-in per questo.
Molti plugin in WordPress ti consentono di limitare i tentativi di accesso al tuo sito web. Ma per questa dimostrazione utilizzeremo il plug-in Limit Login Attempts Reloaded .
È il plug-in più popolare di WordPress progettato per proteggere il tuo sito Web dagli attacchi di forza bruta limitando i tentativi di accesso. Il plug-in ha anche un'interfaccia semplice per configurare il numero massimo di tentativi di accesso e la durata dei blocchi. Fornisce anche registri dettagliati in modo da poter tenere traccia di ogni tentativo di accesso ed essere a conoscenza di eventuali minacce alla sicurezza correlate.
Ma per iniziare a utilizzare il plug-in, è necessario installarlo e attivarlo.
1) Installa e attiva il plug-in
Innanzitutto, vai su Plugin > Aggiungi nuovo dalla dashboard di WordPress e inserisci le parole chiave per il plug-in. Dopo aver visualizzato il plug-in nei risultati della ricerca, fai clic su Installa ora per installare il plug-in.
L'installazione richiederà solo pochi secondi. Attiva il plug-in non appena l'installazione è completata.
Puoi anche caricare e installare il plug-in se desideri utilizzarne uno non incluso nel repository ufficiale dei plug-in di WordPress. Puoi consultare la nostra guida completa sull'installazione manuale di un plug-in di WordPress se hai bisogno di aiuto.
2) Limita i tentativi di accesso utilizzando le impostazioni del plug-in
Dopo aver attivato il plug-in, ora puoi regolare il limite dei tentativi di accesso per il tuo sito Web WordPress utilizzando le impostazioni del plug-in. Per questo, vai su Impostazioni> Limita tentativi di accesso e apri la scheda Impostazioni .
Sarai in grado di vedere le impostazioni generali del plugin qui. Ma la prima cosa da fare è scorrere verso il basso fino alla sezione Impostazioni app per limitare i tentativi di accesso o i blocchi sul tuo sito Web WordPress. I blocchi si riferiscono a una funzione di sicurezza che blocca o limita temporaneamente l'accesso a un account o sistema dopo un certo numero di tentativi di accesso falliti.
Il plugin include alcune opzioni per il blocco dei tentativi di accesso. In primo luogo, puoi aggiungere il numero di tentativi di accesso che desideri fornire ai tuoi utenti nella casella del numero " tentativi consentiti ". Il numero che inserisci qui è il limite per i tentativi di accesso che desideri consentire agli utenti del tuo sito Web WordPress.
Allo stesso modo, puoi regolare il periodo sotto forma di minuti per i blocchi se un utente non riesce a inserire le credenziali corrette entro i tentativi consentiti. Ci sono anche altre opzioni di blocco, come aumentare il numero di blocco dopo un certo periodo e il periodo per reimpostare i tentativi.
Infine, puoi anche modificare l'opzione Origini IP attendibili. Tuttavia, si consiglia vivamente di non modificarlo e di lasciarlo così com'è per motivi di sicurezza. Dopo aver apportato tutte le modifiche necessarie, fai clic su Salva impostazioni .
Quindi, sarai in grado di vedere i tentativi di accesso quando ti disconnetti dalla dashboard di WordPress e prova ad accedere nuovamente quando viene inserito un nome utente o una password errati. Puoi anche aprire l'URL di accesso dalla modalità di navigazione in incognito per testarlo rapidamente. Se guardi lo screenshot seguente, ce ne sono solo 6 su 7 perché il primo tentativo includeva un nome utente o una password errati.
3) Regola le impostazioni aggiuntive del plug-in
Puoi anche regolare alcune impostazioni aggiuntive del plug-in dopo aver impostato le opzioni di blocco per limitare i tentativi di accesso per il tuo sito Web WordPress. Scorri verso l'alto fino alla sezione Impostazioni generali , dove la prima opzione che vedrai è impostare il plug-in come conforme a GDPR. Puoi anche aggiungere un messaggio GDPR se selezioni l'opzione.
Inoltre, il plug-in può avvisarti dopo un certo numero di blocchi direttamente all'e-mail selezionata. Puoi anche mostrare o nascondere la voce di menu di livello superiore, il badge di avviso e il widget del dashboard. Ma ricorda che il badge di avviso e la voce di menu di primo livello verranno visualizzati solo quando ricarichi le modifiche.
Non dimenticare di salvare le modifiche dopo aver apportato tutte le modifiche aggiuntive.
Inoltre, se apri la scheda Registri , qui potrai vedere anche il numero totale di blocchi. È inoltre possibile aggiungere indirizzi IP, intervalli IP o nomi utente all'area della lista sicura e della lista bloccata di conseguenza. Ancora una volta, è necessario salvare queste modifiche affinché questi indirizzi IP abbiano effetto sul tuo sito web.
Inoltre, puoi anche visualizzare una panoramica del numero di tentativi di accesso non riusciti nelle ultime 24 ore dalla scheda Dashboard . Ottieni anche un grafico del numero di tentativi di accesso falliti insieme alla data esatta dei tentativi falliti accanto ad esso. Se desideri più opzioni per i tentativi di accesso, puoi sempre eseguire l'upgrade alla versione premium.
Bonus: come modificare l'URL della pagina di accesso di WordPress
Se vuoi rendere il tuo sito web più sicuro per ridurre le possibilità di attacchi di forza bruta , puoi anche modificare l'URL di accesso di WordPress del tuo sito web. L'URL di accesso predefinito di WordPress è molto prevedibile e diretto. Di conseguenza, gli hacker possono facilmente trovare il tuo URL di accesso per attacchi di forza bruta.
Puoi trovare facilmente la pagina di accesso del tuo sito Web aggiungendo il percorso /wp-admin/ alla fine del tuo dominio. Quindi, verrai reindirizzato alla pagina di accesso di WordPress del tuo sito Web, da dove potrai accedere alla dashboard di WordPress. Se il percorso /wp-admin/ non funziona, puoi anche provare il percorso /wp-login/, /login/ o /admin/ .
Come puoi vedere, la tua pagina di accesso è accessibile a chiunque abbia familiarità con il web design e lo sviluppo, anche in minima parte. Ciò può portare a ulteriori minacce alla sicurezza sul tuo sito Web anche se limiti i tentativi di accesso a WordPress. Pertanto, è essenziale modificare anche l'URL di accesso del tuo sito Web WordPress.
Puoi modificare l'URL di accesso del tuo sito web senza problemi in pochi minuti. E proprio come limitare i tentativi di accesso, il modo più semplice per modificare l'URL di accesso in WordPress è utilizzare un plug-in. Quindi, per questa dimostrazione, utilizzeremo il plug-in WPS Hide Login .
1) Installa e attiva il plug-in
Per installare il plugin, vai di nuovo su Plugin > Aggiungi nuovo dalla dashboard di WordPress. Quindi, cerca le parole chiave del plug-in e fai clic su Installa ora, proprio come uno dei passaggi precedentemente menzionati in questo tutorial.
Ora tutto ciò che devi fare è attivare il plugin.
2) Modificare l'URL della pagina di accesso di WordPress
Dopo l'attivazione del plug-in, ora puoi iniziare a personalizzare le opzioni del plug-in da Impostazioni > WPS Nascondi accesso sulla dashboard di WordPress.
Qui, devi personalizzare due opzioni:
- URL di accesso
- URL di reindirizzamento
Nel campo URL di accesso , inserisci il nuovo percorso desiderato per la tua pagina di accesso. Abbiamo aggiunto " newlogin " per questo esempio. Quindi il tuo URL di accesso univoco diventa www.yourdomain.com/newlogin/ .
È importante notare che una volta apportata questa modifica, sarà necessario utilizzare il nuovo URL per accedere alla dashboard di amministrazione di WordPress. Quindi il precedente percorso /wp-admin/ o qualsiasi altro URL di accesso che stavi utilizzando non sarà più in grado di accedere alla pagina di accesso dopo. Pertanto, sarà necessario reindirizzare gli utenti dal vecchio URL di accesso a quello nuovo.
È qui che entra in gioco l' URL di reindirizzamento . Quando qualcuno inserisce il vecchio www.yourdomain.com/wp-admin/ nel proprio browser, verrà automaticamente reindirizzato all'URL di reindirizzamento.
Ma poiché vogliamo rendere il sito Web più sicuro dopo aver limitato i tentativi di accesso a WordPress, aggiungi 404 come URL di reindirizzamento. Ciò consentirà agli utenti di sapere che la pagina Web inserita non è disponibile.
Infine, salva tutte le modifiche .
Dopo aver aggiornato le nuove impostazioni, WordPress visualizzerà un avviso nella parte superiore della pagina che indica che la pagina di accesso è stata modificata. Si consiglia di aggiungere questo collegamento ai segnalibri e di fornirlo solo agli utenti amministrativi del sito web.
Se hai bisogno di maggiori informazioni sulla modifica degli URL, puoi anche consultare il nostro tutorial dettagliato su come modificare l'URL della pagina di accesso di WordPress.
Suggerimento: assicurati che la tua password di accesso sia sicura
Proprio come aggiungere un limite ai tentativi di accesso a WordPress e modificare l'URL di accesso, è anche essenziale assicurarsi che la password di accesso sia solida e non possa essere indovinata facilmente. Se non ne hai uno, puoi crearlo facilmente tramite la dashboard di amministrazione di WordPress. Quindi, come suggerimento bonus, ti guideremo attraverso l'aggiunta di una password complessa anche per il tuo account di accesso a WordPress.
Innanzitutto, vai su Utenti > Profilo dalla dashboard di WordPress e scorri verso il basso fino alla sezione Gestione account. Quindi, fai clic su Imposta nuova password . Genererà automaticamente una nuova password complessa per il tuo profilo utente WordPress.
Assicurati di salvare in modo sicuro la password copiandola e incollandola in un luogo sicuro per un uso o riferimento futuro. Infine, scorri verso il basso fino alla fine della pagina e fai clic su Aggiorna profilo per salvare le modifiche.
Conclusione
In questo modo puoi limitare i tentativi di accesso di WordPress sul tuo sito web. Limitare i tentativi di accesso è essenziale per aggiungere un ulteriore livello di sicurezza al tuo sito Web WordPress e anche il processo è semplice. Tutto quello che devi fare è installare un plug-in che ti consenta di limitare i tentativi di accesso e quindi regolare i blocchi e l'accesso si ritirerà di conseguenza utilizzando le impostazioni del plug-in.
A seconda del plug-in che utilizzi, ottieni anche alcune opzioni aggiuntive per i limiti di accesso. Inoltre, il plug-in può anche fornire statistiche e registri per i tentativi di accesso, come mostrato nell'esempio sopra in questo tutorial.
Allo stesso modo, ti abbiamo anche fornito un tutorial bonus sulla modifica dell'URL di accesso a WordPress come misura di sicurezza aggiuntiva. Puoi modificare l'URL di accesso utilizzando un plug-in dedicato, proprio come limitare i tentativi di accesso. Ma assicurati di avere una solida password di accesso per il tuo account utente WordPress per la massima sicurezza.
Quindi ora puoi limitare i tentativi di accesso in un sito Web WordPress? L'hai mai provato? Per favore fatecelo sapere nei commenti.
Nel frattempo, ecco alcuni altri articoli che potresti trovare utili per personalizzare ulteriormente il tuo sito Web WordPress:
- Come creare un login WordPress temporaneo: 3 metodi
- L'accesso a WordPress non funziona? Come sistemarlo
- Come aggiungere CAPTCHA al login WooCommerce