Le basi della sicurezza di WordPress: come gestire più tentativi di accesso non riusciti
Pubblicato: 2022-04-28Se stai gestendo un sito Web o semplicemente creandone uno, saprai che WordPress è uno dei migliori sistemi CMS utilizzati da molti in tutto il mondo, motivo per cui molti hacker lo prendono di mira.
Non pensare che solo i grandi siti web vengano hackerati; quelli piccoli sono altrettanto attraenti per gli hacker poiché memorizzano anche i dati dei clienti privati. Uno dei modi più comuni per attaccare un sito WordPress è in più tentativi di accesso. Questo è il motivo per cui spiegheremo perché è importante riconoscere e osservare più tentativi di accesso non riusciti e il modo per prevenirli.
Entreremo prima in maggiori dettagli sull'hosting. Ma in sostanza, un ottimo hosting è sempre la tua prima linea di difesa. L'hosting WPMU DEV spunta tutte le caselle. È conveniente, veloce, sicuro, completamente dedicato e l'host WordPress numero 1 su TrustPilot. Ottieni uno sconto del 20% su tutti i loro piani qui.
Tentativi di accesso falliti
Per utilizzare qualsiasi sito WordPress, devi avere un nome utente e una password, il che significa che devi accedere. C'è una linea sottile tra dimenticare una password e un bot che tenta di violare il tuo sito. Quindi è qui che il monitoraggio dei tentativi di accesso falliti entra in gioco come misura di sicurezza.
Quando il tuo sito visualizza il messaggio di errore "troppi tentativi di accesso non riusciti", controlla cosa sta succedendo. Non limitarti a liquidarlo come "ok. Qualcuno ha appena dimenticato la password" poiché attacchi mirati di forza bruta possono portare a DDoS e il tuo sito può bloccarsi.
Il primo ostacolo a questo attacco può essere che dopo che l'utente specifico ha tentato di accedere con le credenziali sbagliate, WordPress imposta il tempo di attesa che deve scadere, anche se lo stesso utente tenta di accedere nuovamente con il set di credenziali corretto.
È qui che la funzione di sicurezza di OWASP.org può aiutarti. Questo è un software open source che aiuta a bloccare gli attacchi di forza bruta.
Come gestire più tentativi di accesso non riusciti
Mantieni sempre aggiornato il tuo sito WordPress
WordPress rilascia aggiornamenti software in base a una pianificazione prestabilita, quindi non evitarli. Questi aggiornamenti si prendono cura delle prestazioni del tuo sito e ciò include impostazioni di sicurezza e privacy aggiornate. Continuando con gli aggiornamenti, consenti a WordPress di proteggere il tuo sito e questo è il passaggio numero due per proteggere il tuo sito.
Limita i tentativi di accesso
Per impostazione predefinita, WordPress consente tentativi di accesso illimitati, ma questo non significa che dovresti lasciarlo funzionare in quel modo. Limita i tentativi di accesso al tuo sito a tre (che di solito è il numero preferito di tentativi non riusciti consentiti). Ci sono due modi per ottenerlo, con un plugin o tramite un host WordPress.
I plugin gratuiti che ti permetteranno di limitare i tentativi di accesso non riusciti sono:
1. Limita i tentativi di accesso (Interrompi gli accessi falsi)
Limita i tentativi di accesso (Interrompi gli accessi falsi)
Questo plugin bloccherà automaticamente l'indirizzo IP che supera il limite di tentativi impostato. Questo plug-in consente di aggiungere manualmente l'indirizzo IP all'elenco di blocco, informare l'utente sui tentativi rimanenti e offre la possibilità di sbloccare gli utenti bloccati tramite e-mail o dashboard. Limiterà i tentativi di ripetizione per IP ed è compatibile con Google CAPTCHA.
2. Limita i tentativi di accesso
Limita i tentativi di accesso
Questo è un plug-in che limiterà i tentativi di accesso, aumenterà la sicurezza dell'accesso, la protezione dallo spam e fornirà al tuo sito una protezione dagli attacchi di forza bruta, bloccherà le registrazioni da utenti falsi e sarai in grado di ottenere rapporti e audit sulle attività sul tuo sito Web ( puoi anche esportare questi rapporti, se necessario). Questo è un software gratuito e open source.
Sicurezza dell'host web
Anche quando proteggi il tuo sito WordPress da accessi non autorizzati, non dimenticare che la sicurezza del tuo provider di hosting è importante quanto quella del tuo sito WordPress. Quindi dai un'occhiata alle funzionalità del tuo provider di host web.
Forse dovrai solo aggiornarlo a un piano più alto del tuo attuale provider, ma considerare anche la migrazione del tuo sito a un nuovo provider di hosting Web affidabile con aggiornamenti forti e frequenti nella sicurezza del software e dell'hardware del server.
Cercane uno che fornisca un team di supporto tecnico 24 ore su 24, 7 giorni su 7, in grado di risolvere i problemi di sicurezza del tuo sito e proteggere le tue informazioni. Anche un host che offre backup automatizzati del tuo sito Web completo è un'ottima scelta.
Come abbiamo già detto, la scelta migliore per questo è WPMU DEV. Ciò che amiamo di più dell'hosting WPMU DEV è che è ricco di funzionalità di hosting uniche e potenti che non troverai da nessun'altra parte (come 7 plug-in pro-WP integrati). Guarda tu stesso e ottieni il 20% di sconto su tutti i loro piani di hosting qui.
Aumenta la sicurezza dell'accesso
Utilizza un plug-in di sicurezza di WordPress che consentirà un processo di autenticazione in due passaggi come livello di sicurezza aggiuntivo. Ci sono diversi modi per farlo; codici inviati al telefono dell'utente, verifica e-mail, ecc. Qualunque cosa funzioni meglio per il tuo team.
1. Sicurezza di iThemes
iThemes Security (precedentemente Better WP Security)
Questo plug-in, tra le sue altre funzionalità, proteggerà il tuo accesso a WordPress con queste funzionalità: Autenticazione a due fattori (2FA) che richiederà all'utente di inserire un codice di sicurezza (insieme a una password), e-mail, codici di backup e autenticazione di Google.
2. Sicurezza del sito
Sicurezza del sito
Questo plug-in richiederà a tutti gli utenti amministratori di fornire un token generato dall'app di autenticazione di Google al momento dell'accesso.
3. Sicurezza WP tutto in uno
All In One WP Security & Firewall
Questo plugin ha regole di sicurezza classificate in regole "di base", "intermedie" e "avanzate". È gratuito al 100% e alcune delle sue funzionalità sono la sicurezza dell'account utente, la sicurezza dell'accesso utente che proteggerà il tuo sito dagli "attacchi di accesso di forza bruta" e la sicurezza della registrazione dell'utente.
Sicurezza della rete
La rete che stai utilizzando può anche rappresentare una minaccia per la sicurezza del tuo sito. Le reti pubbliche di solito non sono protette molto bene; stiamo parlando di luoghi come caffetterie, biblioteche, reti pubbliche nei centri commerciali, ecc.
Un'importante strategia di sicurezza per proteggerti su una rete Wi-Fi pubblica consiste nell'utilizzare una rete privata virtuale, una VPN. È anche un'ottima protezione quando si utilizza il Wi-Fi domestico per lavoro o qualsiasi altra cosa, quindi considera di controllare alcuni provider.
Sicurezza fuori sede
Questa è anche una caratteristica di sicurezza molto importante da tenere a mente per la protezione del tuo sito WordPress. Tutte le applicazioni e i database utilizzati in modalità offline rappresentano un potenziale rischio per la sicurezza, quindi assicurati che siano integrati in modo sicuro con il tuo sito WordPress.
Conclusione
Come costruttore di siti Web facile da usare, WordPress è utilizzato da milioni di persone. Per avere un sito sicuro, il primo passo è prevenire gli attacchi di forza bruta monitorando e gestendo correttamente tutti i tentativi di accesso falliti. Questo è un modo indispensabile di protezione per i siti Web e il tipo di attacco utilizzato dagli hacker troppo spesso.
Inoltre, tutti gli altri aspetti della sicurezza che abbiamo menzionato in questo articolo proteggeranno il tuo sito, quindi non sottovalutarli.