Come proteggere la tua pagina di accesso a WordPress (Guida completa)

Un fattore critico nella gestione di un sito Web WordPress di successo è l'implementazione di misure di monitoraggio e sicurezza. Dopotutto, un sito hackerato può causare molti mal di testa, indipendentemente dal fatto che il tuo sito venga utilizzato per scopi aziendali o personali. Può influire sulle tue entrate, mettere a rischio le informazioni dei tuoi visitatori e rovinare la tua reputazione.

Un tipico punto di ingresso per gli hacker è la pagina di accesso di WordPress, che sarà il nostro obiettivo oggi. Quello che segue è una carrellata di 14 modi per rafforzare la sicurezza dell'accesso a WordPress in modo che gli attori malintenzionati non violeranno il tuo sito.

Perché proteggere la tua pagina di accesso a WordPress?

Prima di arrivare all'elenco dei suggerimenti per la sicurezza, discutiamo brevemente perché potresti voler proteggere la tua pagina di accesso di WordPress, da attacchi di forza bruta o altro, in primo luogo.

• WordPress è molto popolare, quindi i criminali informatici sono spesso alla ricerca di nuove vulnerabilità che possono sfruttare su un ampio numero di siti.
• Poiché gli hacker hanno familiarità con WordPress, sanno quando un sito Web è obsoleto e quali falle di sicurezza sono presenti in ciascuna versione.
• Per ottenere l'accesso tramite una pagina di accesso, gli hacker non hanno sempre bisogno di conoscenze di sviluppo avanzate o abilità speciali.

Mantenere una pagina di accesso WordPress sicura è essenziale per il successo a lungo termine e le prestazioni complessive del tuo sito web.

Come rafforzare la sicurezza dell'accesso a WordPress

Quindi sai perché è necessario creare un accesso sicuro a WordPress, ma come puoi realizzarlo? Abbiamo raccolto 14 modi per proteggere correttamente la tua pagina di accesso di WordPress in modo da non dover lasciare al caso la sicurezza dei tuoi dati o delle informazioni sui clienti.

1. Installa un plug-in di sicurezza per WordPress

Puoi gestire la maggior parte dei problemi di sicurezza in pochi minuti installando un plug-in di sicurezza WordPress di alta qualità. Mentre molti plugin sono specializzati nella protezione di aspetti specifici di un sito o contro determinati tipi di attacchi, un approccio più completo è il migliore per il sito medio. Un plug-in di sicurezza all-in-one includerà funzionalità come registri di controllo, scansioni di malware, firewall e strumenti di sicurezza dell'accesso in un'unica soluzione.

E in cima alla lista dei nostri consigli c'è Jetpack Security.

Jetpack Security funziona occupandosi automaticamente di numerose attività di sicurezza. E con funzionalità sia gratuite che a pagamento, un livello di protezione è disponibile per chiunque abbia un sito Web WordPress. Ha una vasta gamma di funzionalità che possono funzionare per prevenire violazioni della sicurezza, ma anche aiutarti a diagnosticare e recuperare da eventuali incidenti che si verificano. Questi includono:

• Protezione dagli attacchi di forza bruta
• Prevenzione dello spam
• Scansione malware
• Monitoraggio dei tempi di fermo
• Backup
• Registri delle attività
• Autenticazione a due fattori

Sebbene tu possa eseguire da solo il resto dei passaggi descritti qui, l'utilizzo di un plug-in come Jetpack Security semplificherà il processo di protezione dell'accesso.

2. Modifica e nascondi il tuo URL di accesso a WordPress

Un altro modo per rendere più sicura la tua pagina di accesso è nasconderla da occhi indiscreti. Per impostazione predefinita, l'indirizzo di accesso per tutti i siti WordPress è http://www.nomesitoweb.com/wp-admin, che è fondamentalmente come dare a un ladro il tuo indirizzo di casa. Quindi qualsiasi cosa tu possa fare per oscurare questo è una buona idea.

La modifica dell'URL di accesso di WordPress è un ottimo modo per mettere in atto barriere per rendere più difficile il lavoro dell'hacker. Puoi trovare un plug-in che lo faccia per te, ma puoi anche farlo da solo.

Per questo, avrai bisogno dell'accesso FTP al tuo sito web. Una volta ottenuto questo, segui le istruzioni nel nostro tutorial: URL di accesso a WordPress: come trovarlo, modificarlo e nasconderlo.

3. Usa una password complessa per accedere a WordPress

Puoi anche rafforzare la sicurezza del tuo sito aggiornandolo a una password più forte. L'implementazione di misure di password complesse rende molto meno probabile che un hacker o un bot siano in grado di "indovinarlo". Sebbene "fluffy21" possa essere facile da ricordare, è fin troppo facile da indovinare, specialmente se "Fluffy" è il nome di un amato animale domestico.

Invece di scegliere le password in base a nomi, età o animali domestici, è molto meglio crearne una che combini lettere e numeri, lettere maiuscole e minuscole e un paio di simboli. Puoi creare una password complessa in due modi:

• Uno strumento integrato per password complesse. WordPress ha uno strumento per password complesse che ti incoraggia a creare una password più forte di quella che potresti essere naturalmente incline a scegliere.
• Un generatore di password. Molti generatori di password semplificano lo sviluppo di una password complessa che non è intuitivamente intuibile.
• Un custode/gestore della password. L'unico problema con le password complesse è che sono difficili da ricordare. L'utilizzo di un gestore di password o di uno strumento di gestione elimina questo problema. Le opzioni popolari includono LastPass, DashLane e 1Password.
  

4. Proteggi con password la tua pagina di accesso

Per impostazione predefinita, chiunque può accedere alla pagina di accesso del tuo sito WordPress. E mentre puoi nascondere o modificare il tuo URL di accesso, come discusso in precedenza, gli hacker potrebbero essere in grado di trovarlo se la cartella wp-admin è ancora accessibile.

Ecco perché è una buona idea aggiungere un altro livello di protezione prima di accedere alla pagina di accesso. E puoi farlo proteggendo con password la cartella wp-admin . Se il tuo host web utilizza cPanel, questo processo è relativamente semplice.

Accedi al tuo account del provider di hosting, accedi al cPanel, quindi vai alla cartella Directory Privacy .

Durante la visualizzazione dei file del tuo sito, vai a public_html/wp-admin . Dovrebbe esserci una casella di controllo visibile che legge la protezione con password di questa directory . Selezionare la casella. Quindi crea un nuovo nome utente e password per accedere alla cartella wp-admin. Salva le modifiche.

Prova ad accedere al tuo sito come al solito. Ora dovresti inserire un altro set di credenziali prima di ottenere l'autorizzazione per accedere a WordPress.

Nota: questo processo sarebbe identico, anche se hai spostato la posizione della tua pagina di accesso. Proteggi con password la cartella in cui risiede la tua pagina di accesso, anche se non è wp-admin.

5. Limitare il numero di tentativi di accesso

Un'altra cosa che devi fare per proteggere la pagina di accesso di WordPress è limitare i tentativi di accesso. Gli hacker possono utilizzare i bot per effettuare ripetuti tentativi di accesso fino a quando non decidono di decifrare il codice, ad esempio per scoprire la tua password e ottenere l'accesso al tuo sito web. Sfortunatamente, WordPress consente accessi illimitati per impostazione predefinita.

Per prevenire questo potenziale punto di accesso, puoi limitare i tentativi di accesso. Un plugin è il modo migliore per farlo. In effetti, Jetpack Security offre la protezione dagli attacchi di forza bruta come parte della sua soluzione di sicurezza all-in-one.

Gli attacchi di forza bruta possono essere incredibilmente dirompenti per il funzionamento del tuo sito Web, anche prima che gli hacker ottengano l'accesso. Ad esempio, possono rallentare notevolmente il tuo sito o impedirgli di rispondere del tutto. Tentativi di accesso ripetuti possono eventualmente riuscire e l'hacker può quindi continuare a iniettare malware, inserire collegamenti o altrimenti causare caos. Questi attacchi possono anche mettere a rischio le tue informazioni personali.

La funzione Brute Force Attack Protection inclusa in Jetpack Security fornisce gli strumenti necessari per bloccare gli attacchi e impedire a hacker malintenzionati di accedere ai tuoi dati. Funziona bloccando gli IP dannosi prima che arrivino al tuo sito. Fornisce inoltre un conteggio degli attacchi totali e consente di inserire nella whitelist gli indirizzi IP noti.

6. Aggiungi una domanda di sicurezza al modulo di accesso di WordPress

Puoi anche estendere la sicurezza del tuo modulo di accesso aggiungendo una o due domande di sicurezza al processo di accesso. Quindi, invece di inserire solo un nome utente e una password, gli utenti devono anche rispondere a una domanda di sicurezza per ottenere l'accesso.

Questo singolo passaggio rende il tuo sito Web molto più difficile da hackerare. Ed è relativamente facile da implementare.

Il plug-in No-Bot Registration è un ottimo modo per farlo. Scaricalo andando su Plugin → Aggiungi nuovo, quindi digita il nome del plug-in. Una volta visualizzato, scaricalo e attivalo.

Una volta attivato, vai su Impostazioni dalla dashboard di WordPress. Qui puoi impostare il plug-in e configurare le regole per quando vengono utilizzate le domande di sicurezza (nelle pagine di registrazione, login o password dimenticata).

Questo è molto più intuitivo di un CAPTCHA, poiché richiede solo la risposta a una domanda semplice e logica.

7. Aggiungi l'autenticazione a due fattori a WordPress

Successivamente, puoi abilitare l'autenticazione a due fattori. Molti siti Web e app utilizzano questa popolare opzione di sicurezza, incluso Gmail. Funziona inviando un codice SMS al tuo telefono che dovrai inserire prima di poter completare la procedura di accesso.

Viene utilizzato per verificare la tua identità e garantire che l'accesso sia concesso solo agli utenti autorizzati. Ogni livello di autenticazione che aggiungi al processo rende molto più difficile per qualcuno hackerare il tuo sito. Anche se un cattivo attore ottiene l'accesso alle tue informazioni di accesso, è improbabile che sia in grado di contrastare il processo 2FA.

Il modo più semplice per aggiungere l'autenticazione a due fattori a WordPress è utilizzare un plug-in 2FA. Diversi plug-in di sicurezza includono questa funzionalità, ma ancora una volta Jetpack Security è estremamente efficace con l'autenticazione sicura.

L'autenticazione sicura ti consente di accedere utilizzando le tue credenziali standard di WordPress.com e anche di disabilitare o ignorare completamente il modulo di accesso predefinito. Inoltre, puoi scegliere di rendere l'autenticazione a due fattori un requisito per tutti gli utenti per fornire ulteriore protezione al tuo sito.

8. Installa un certificato SSL sul tuo sito WordPress

Un'altra via di protezione consiste nell'installare un certificato SSL. Ottenere un certificato SSL gratuitamente è facile, quindi è una misura di sicurezza che nessuno dovrebbe ignorare.

SSL è il modo in cui la maggior parte dei siti Web protegge i propri dati. E puoi sapere quando un sito è sicuro poiché "HTTP" nel campo URL avrà una "S" aggiunta, quindi si legge "HTTPS". I browser utilizzano spesso altre indicazioni visive, come l'icona di un lucchetto verde, per far sapere ai visitatori che il tuo sito ha un certificato SSL attivo.

Al di là delle implicazioni sulla sicurezza, i visitatori potrebbero non continuare a navigare nel tuo sito se vedono che non è protetto. Inoltre, i siti con certificati SSL tendono a classificarsi meglio nei motori di ricerca e alcuni browser visualizzeranno persino un avviso ai visitatori se non ne hai uno.

Non saltare questo passaggio. Scopri come ottenere un certificato SSL gratuito.

9. Disabilita i suggerimenti di accesso a WordPress dopo i tentativi di accesso falliti

I suggerimenti di accesso possono essere davvero utili per i veri utenti di WordPress, ma a volte possono fornire agli hacker troppe informazioni sul tuo nome utente e password. Quando tenti di accedere a un sito WordPress e sbagli il nome utente, viene visualizzato un errore che dice: "Il nome utente non è registrato su questo sito. Se non sei sicuro del tuo nome utente, prova invece il tuo indirizzo e-mail.

Qualcosa di simile accade se digiti il ​​nome utente o l'indirizzo e-mail corretto, ma la password errata.

Per rimuovere i suggerimenti di accesso, devi aggiungere alcune righe di codice al file functions.php del tuo sito.

 function no_wordpress_errors(){ return 'There is an error.'; } add_filter( 'login_errors', 'no_wordpress_errors' );

Quando qualcuno, reale o bot, inserisce un nome utente o una password errati, viene accolto con il messaggio "Si è verificato un errore" anziché con l'impostazione predefinita.

10. Mantieni aggiornati l'installazione e i plug-in di WordPress

Gli hacker trovano anche punti di ingresso nei siti WordPress tramite installazioni obsolete. Ogni volta che WordPress viene aggiornato, tutte le correzioni di bug e le falle di sicurezza che sono state riparate vengono pubblicate online. Se la tua installazione è obsoleta, gli hacker hanno un manuale di istruzioni per violare il tuo sito.

Quando vengono lanciati nuovi aggiornamenti core di WordPress, devi eseguire il backup del tuo sito e installare l'aggiornamento il più rapidamente possibile.

Ma non è tutto ciò di cui devi essere consapevole. Anche i software di terze parti, ovvero plug-in e temi, sono potenziali punti deboli. Sono ancora più essenziali per tenersi aggiornati poiché plugin e temi sono realizzati da varie società di sviluppo con standard e approcci diversi.

Questo è anche il motivo per cui devi essere selettivo riguardo ai plugin e ai temi che installi. Se il tuo plug-in di condivisione social non viene aggiornato da due anni, potrebbe essere il momento di trovarne uno che si aggiorni regolarmente.

11. Nascondi il tuo numero di versione di WordPress

Un modo rapido per migliorare la sicurezza della pagina di accesso è nascondere il numero di versione di WordPress. Per lo meno, questo farà sì che gli hacker guardino più a fondo per determinare quali falle di sicurezza sfruttare. E puoi rimuoverlo abbastanza facilmente.

Individua il file functions.php e (dopo aver eseguito il backup del tuo sito) aggiungi la seguente riga di codice al file:

 remove_action('wp_head', 'wp_generator');

12. Nascondi il tuo nome utente di accesso a WordPress

Un altro passaggio che puoi fare è nascondere il tuo nome utente di accesso a WordPress. La maggior parte delle volte, l'enfasi è sulla creazione di una password super sicura, il che è eccellente, ma devi anche pensare al tuo nome utente. Spesso è disponibile al pubblico, un'opportunità che gli hacker possono sfruttare.

Il modo più rapido per nascondere il tuo nome utente alla vista di occhi indiscreti è rimuoverlo dall'apparire nei post del blog e negli archivi degli autori.

Per rimuovere il tuo nome utente dai post del blog, devi semplicemente andare su Utenti → Profilo → Soprannome dopo aver effettuato l'accesso a WordPress. Da qui, puoi modificare il nickname in modo che il tuo nome utente non sia più visibile ai visitatori del sito. Quindi, invece di vedere "blogperson02", vedranno il tuo nome, nome e cognome o un altro soprannome che configuri.

Per rimuovere il tuo nome utente dall'apparire negli archivi degli autori, avrai bisogno di un plugin SEO come Yoast SEO.

Installa Yoast come qualsiasi altro plugin, quindi vai al menu SEO → Aspetto di ricerca → Archivi nella dashboard di WordPress. C'è un'opzione qui per disabilitare gli archivi degli autori. Fallo, quindi fai clic su Salva modifiche .

13. Riduci il timer di disconnessione automatica di WordPress

È comune rimanere connessi ai tuoi account quando li usi spesso. Ma questo può creare potenziali violazioni, soprattutto se diverse persone hanno account sul tuo sito. L'implementazione di un timer di disconnessione automatica è un ottimo modo per chiudere queste falle di sicurezza.

Quando una sessione viene lasciata incustodita, verrà disconnessa automaticamente. Per impostazione predefinita, WordPress disconnetterà gli utenti dopo 48 ore. Selezionando la casella "Ricordami" si mantiene l'accesso degli utenti per 14 giorni. Puoi modificare leggermente questi intervalli di tempo utilizzando un plug-in di terze parti. Uno dedicato a questa funzione è Logout inattivo.

Una volta installato, vai su Impostazioni → Logout inattivo → Gestione di base . Quindi seleziona la durata del tempo di inattività per cui desideri attivare una disconnessione.

14. Elimina gli account utente WordPress vecchi e non utilizzati

Infine, eliminare gli account non più in uso può anche aiutare a migliorare la sicurezza di WordPress. Avere diversi account aperti sul tuo sito significa che ognuno è un punto di accesso ai dati privati. E se non aggiorni regolarmente le password per questi account, potrebbero presentare punti deboli significativi.

Per evitare ciò, elimina gli account vecchi e non utilizzati. Rendilo parte del tuo normale piano di manutenzione del sito.

Dovresti anche fornire privilegi solo agli utenti che ne hanno bisogno. Non tutti gli utenti necessitano dei privilegi di Editor o Amministratore.

Allo stesso modo, tieni d'occhio gli account elencati. A volte, gli hacker creano un account falso. Se viene visualizzato, eliminalo immediatamente e rafforza il resto delle misure di sicurezza. Scopri cosa fare se il tuo sito Web WordPress è stato violato.

Proteggi la tua pagina di accesso a WordPress

Possedere un sito web significa assumersi un livello di responsabilità per i suoi contenuti e per gli utenti. Naturalmente, questo è doppiamente il caso se raccogli le informazioni sui clienti. Ma indipendentemente da come utilizzi il tuo sito WordPress, rafforzare la sicurezza intorno alla pagina di accesso è un ottimo modo per mantenere i tuoi dati al sicuro a lungo termine.

E i suggerimenti presentati qui dovrebbero aiutarti a diventare efficiente nella manutenzione della sicurezza di WordPress in pochissimo tempo.

Pronto a fare il primo passo? Inizia con Jetpack Security.