5 semplici regole per la sicurezza dell'accesso a WordPress

Pubblicato: 2022-07-12

Una strategia di sicurezza di WordPress di successo dovrebbe includere passaggi per rafforzare l'accesso a WordPress. In questo post, trattiamo le cinque semplici regole per una migliore sicurezza dell'accesso a WordPress.

La cosa grandiosa di WordPress è il modo in cui rende la creazione di un sito Web accessibile praticamente a chiunque. Ma con quell'accessibilità arriva la prevedibilità. Chiunque abbia esperienza di lavoro con WordPress sa dove vengono apportate le modifiche al sito: tramite l'area wp-admin. Sanno anche dove devono andare per accedere a wp-admin, la pagina wp-login.php.

Per impostazione predefinita, l'URL di accesso di WordPress è lo stesso per ogni sito WordPress e non richiede autorizzazioni speciali per l'accesso. Ecco perché la pagina di accesso di WordPress è la parte più attaccata e potenzialmente vulnerabile di qualsiasi sito WordPress.

Sfortunatamente, la creazione di un bot che vagherà in Internet commettendo attacchi di forza bruta non richiede molta abilità e qualsiasi hacker di livello principiante può crearne uno. Poiché gli attacchi alla pagina di accesso di WordPress hanno una bassa barriera di accesso, la sicurezza dell'accesso a WordPress è fondamentale per proteggere qualsiasi sito WordPress.

Seguendo queste regole e utilizzando le migliori pratiche di sicurezza di WordPress, puoi evitare di essere vulnerabile ai comuni errori di accesso degli utenti.

1. Usa password complesse

Ci sono molte informazioni confuse e contraddittorie sulle migliori pratiche di sicurezza delle password su Internet. Nel tentativo di chiarire questa confusione, analizziamo le basi di come l'utilizzo di una password complessa migliora la sicurezza di WordPress.

Ogni volta che crei una password, il primo elemento che vorrai considerare è la lunghezza della password. L'elenco seguente mostra il tempo stimato necessario per decifrare una password utilizzando un processore i5 a quattro core.

7 caratteri impiegheranno 0,29 millisecondi per decifrare.
8 caratteri impiegheranno 5 ore per decifrare.
9 caratteri impiegheranno 5 giorni per decifrare.
10 caratteri impiegheranno 4 mesi per decifrare
11 caratteri impiegheranno 1 decennio per decifrare
12 personaggi impiegheranno 2 secoli per decifrare.

Quindi, come puoi vedere, l'aggiunta di un singolo carattere alla tua password può aumentare notevolmente la sicurezza del tuo accesso.

Una password lunga almeno 12 caratteri, casuale e che includa un ampio pool di caratteri come " ISt8XXa!28X3 " renderà molto difficile decifrare.

Sfortunatamente, alcuni hacker stanno sfruttando GPU e CPU più potenti per ridurre la quantità di tempo necessaria per decifrare le password. Quindi, per rafforzare i tuoi accessi, fai attenzione anche all'entropia della tua password. Maggiore è l'entropia della password, più difficile sarà decifrare la password.

Ad esempio, in base al solo requisito di lunghezza, una password come "abcdefghijkl" è di 12 caratteri, il che è fantastico e dovrebbe richiedere 200 anni per essere decifrata. Tuttavia, poiché la password utilizza stringhe di lettere sequenziali, rende la password molto più prevedibile rispetto a una password come "rfybolaawtpm" che ha caratteri casuali.

La randomizzazione dei caratteri diminuisce la prevedibilità e aumenta la forza della password. Ma entrambe queste password hanno una cosa in comune che alla fine riduce l'entropia della password. Entrambi usano solo lettere minuscole, limitando il pool di caratteri possibili a 26. Ecco perché è fondamentale includere caratteri alfanumerici, maiuscoli e caratteri ASCII comuni per aumentare il pool di caratteri necessari per decifrare la password a 92.

Suggerimento: utilizza un gestore di password come LastPass per generare e archiviare facilmente le password in modo sicuro.

Suggerimento: come minimo, dovresti richiedere agli utenti che possono apportare modifiche a WordPress di utilizzare password complesse. L'utilizzo di un plug-in di sicurezza di WordPress come iThemes Security Pro per costringere gli utenti privilegiati a utilizzare password complesse aiuterà ad aumentare la sicurezza dell'accesso a WordPress.

2. Usa una password univoca per ogni account

Un'altra procedura consigliata per la sicurezza online è l'utilizzo di password univoche per ogni account e accesso al sito Web di cui disponi. Questo è così importante, lo ripeto: dovresti usare una password diversa per ogni sito.

Perché il riutilizzo delle password è così importante? Se utilizzi la stessa password per ogni sito e uno di quei siti è compromesso, ora stai utilizzando una password compromessa per ogni account, su ogni sito. Gli hacker possono utilizzare dump di dati di password compromesse abbinate al tuo indirizzo e-mail o nome utente per accedere ai tuoi account. È meglio non correre nemmeno il rischio.

Più utenti hai che stanno riutilizzando le password, più debole sarà la tua sicurezza di accesso a WordPress.

In un elenco compilato da Cybernews, la password più comune nel 2022 era 123456. La sicurezza dell'accesso a WordPress del tuo sito è forte quanto l'anello più debole, quindi sii proattivo con requisiti di password elevati.

Suggerimento: proteggi WordPress da password compromesse

Puoi proteggere WordPress da password compromesse con un plug-in come iThemes Security Pro. iThemes Security Pro sfrutta l'API HaveIBeenPwned per rilevare se una password è apparsa o meno in una violazione dei dati.

Suggerimento: incoraggia gli utenti a modificare frequentemente le password

Le funzionalità Requisiti password di iThemes Security ti consentono di forzare tutti i tuoi utenti a modificare la password al successivo accesso. Forzare gli utenti a creare una nuova password, consente a tutti di ricominciare da capo con una password forte e senza compromessi, che aumenterà il tuo accesso a WordPress sicurezza.

Suggerimento: usa un gestore di password

In definitiva, l'utilizzo di un gestore di password può aiutarti a tenere traccia dei tuoi accessi e password univoche. Con l'aiuto di un gestore di password, non devi ricordare le tue password.

3. Limita i tentativi di accesso

Per impostazione predefinita, non c'è nulla di integrato in WordPress per limitare il numero di tentativi di accesso falliti che qualcuno può fare. Senza un limite al numero di tentativi di accesso falliti che un utente malintenzionato può fare, può continuare a provare un numero infinito di nomi utente e password finché non hanno successo.

Aumenta la sicurezza dell'accesso a WordPress installando un plug-in di sicurezza per WordPress come iThemes Security Pro per limitare il numero di tentativi di accesso non riusciti. La funzione di protezione dalla forza bruta di WordPress di iThemes Security Pro ti dà il potere di impostare il numero di tentativi di accesso non riusciti consentiti prima che un nome utente o un IP venga bloccato. Un blocco disabiliterà temporaneamente la capacità dell'attaccante di effettuare tentativi di accesso. Una volta che gli aggressori sono stati bloccati tre volte, gli sarà vietato persino di visualizzare il sito. Nota: quando decidi quanto vuoi che siano rigide le tue regole per i tentativi di accesso non riusciti, tieni a mente gli utenti effettivi del tuo sito. Se rendi le regole di blocco troppo spietate, corri il rischio di bloccare inavvertitamente utenti reali.

4. Limitare i tentativi di autenticazione esterna per richiesta

Esistono altri modi per accedere a WordPress oltre a utilizzare un modulo di accesso. Utilizzando XML-RPC, un utente malintenzionato può eseguire centinaia di tentativi di nome utente e password in una singola richiesta HTTP. Il metodo di amplificazione della forza bruta consente agli aggressori di eseguire migliaia di tentativi di nome utente e password utilizzando XML-RPC in poche richieste HTTP. Quando sai che un utente malintenzionato può utilizzare i dump del database come punto di partenza e fare migliaia di ipotesi per richiesta, rende molto più chiara l'importanza della sicurezza dell'accesso a WordPress. Utilizzando le impostazioni di WordPress Tweaks di iThemes Security Pro, puoi bloccare più tentativi di autenticazione per richiesta XML-RPC. Limitare il numero di tentativi di nome utente e password a uno per ogni richiesta farà molto per proteggere il tuo accesso a WordPress.

Inoltre, quando sviluppi il tuo piano di sicurezza dell'accesso di WordPress, è importante essere consapevole del fatto che l'API Rest di WordPress aggiunge ulteriori modi per autenticare un utente di WordPress. L'autenticazione dei cookie è un metodo di autenticazione quando accedi WordPress memorizza automaticamente un cookie in modo che plug-in e temi possano eseguire una funzione per tuo conto. L'autenticazione dei cookie beneficerà delle protezioni che hai aggiunto a wp-login.php.

5. Utilizzare l'autenticazione a due fattori

Ho salvato il metodo migliore per aumentare la sicurezza dell'accesso a WordPress per ultimo: l'autenticazione a due fattori di WordPress. L'autenticazione a due fattori richiede un codice aggiuntivo insieme al nome utente e alla password di WordPress per accedere.

Esistono molti metodi di autenticazione a due fattori, ma non tutti i metodi sono creati uguali. Se puoi, evita di utilizzare gli SMS per l'autenticazione a due fattori. Il National Institute of Standards and Technology non consiglia più di utilizzare SMS per inviare e ricevere codici di autenticazione.

Utilizzando un plug-in di sicurezza di WordPress, come iThemes Security Pro, dovresti abilitare il metodo e-mail o l'app mobile a due fattori.

Tieni presente che molti siti richiedono l'utilizzo di un indirizzo e-mail come nome utente. Se un utente malintenzionato viola uno di questi siti, il passaggio successivo sarà provare ad accedere agli account e-mail utilizzando i nuovi indirizzi e-mail e password che ha rubato. Se uno dei tuoi utenti o clienti sta riutilizzando password compromesse su ogni sito, il suo account e-mail, insieme ai codici e-mail a due fattori, sarà compromesso. Il metodo dell'app mobile a due fattori farà il massimo per aumentare la sicurezza dell'accesso a WordPress. Il codice di autenticazione aggiuntivo necessario per accedere verrà inviato al telefono dell'utente. Quindi, anche se un utente malintenzionato ha accesso a WordPress e alle credenziali e-mail, non ci sarà comunque modo per lui di accedere.

Riepilogo: una semplice lista di controllo per la sicurezza dell'accesso a WordPress

La sicurezza dell'accesso a WordPress dovrebbe essere una priorità assoluta su ogni sito. Ora che sai come aumentare la sicurezza dell'accesso al tuo sito, puoi sfruttare questa efficace strategia di prevenzione degli hack.

1. Usa password complesse
2. Usa password univoche per ogni account
3. Limita i tentativi di accesso
4. Limitare i tentativi di autenticazione
5. Utilizzare l'autenticazione a due fattori

Ottieni il contenuto bonus: una guida alla sicurezza di WordPress

Clicca qui

Il miglior plugin di sicurezza per WordPress per proteggere e proteggere WordPress

WordPress attualmente alimenta oltre il 40% di tutti i siti Web, quindi è diventato un facile bersaglio per gli hacker con intenzioni dannose. Il plug-in iThemes Security Pro elimina le congetture dalla sicurezza di WordPress per rendere facile proteggere e proteggere il tuo sito Web WordPress. È come avere un esperto di sicurezza a tempo pieno nel personale che monitora e protegge costantemente il tuo sito WordPress per te.

Ottieni iThemes Security Pro

Kristen Wright

Kristen scrive tutorial per aiutare gli utenti di WordPress dal 2011. In qualità di direttore marketing di iThemes, si dedica ad aiutarti a trovare i modi migliori per creare, gestire e mantenere siti Web WordPress efficaci. A Kristen piace anche scrivere nel diario (dai un'occhiata al suo progetto parallelo, The Transformation Year !), fare escursioni e campeggiare, fare aerobica, cucinare e avventure quotidiane con la sua famiglia, sperando di vivere una vita più presente.