Usa l'indice dei contenuti
La pagina di accesso alla bacheca di WordPress, solitamente raggiungibile tramite l’URL https://miosito.com/wp-admin, è la pagina maggiormente presa di mira dagli hacker nel caso in cui volessero accedere al nostro sito web.
Solitamente, per poter accedere tramite questa pagina, gli hacker utilizzano degli attacchi chiamati brute force (forza bruta in italiano) che consistono nel tentare tutte le combinazioni possibili di nome utente e password fino a trovare quella corretta.
I backup sono essenziali per ogni sito web. Non farti trovare impreparato nel momento del bisogno, usa UpdraftPlus per i backup del tuo sito web!
Si tratta di una soluzione lenta e dispendiosa a livello di risorse, ma se un hacker ha intenzione di accedere al nostro sito web, potrebbe essere tranquillamente utilizzata.
In questo articolo vedremo come fare per mettere in sicurezza la pagina di login di WordPress sfruttando un paio di plugin e, ovviamente, seguendo alcune regole generali di buonsenso.
Limitare il numero di tentativi di login
La prima cosa che può essere fatta è quella di limitare il numero di tentativi di login, ossia impostare un numero di volte in cui è possibile sbagliare il login, dopodiché l’indirizzo IP verrà bannato dal sito e non potrà più effettuare tentativi per un certo numero di ore.
Uno dei plugin gratuiti più utilizzati per questo genere di operazioni è senza alcun dubbio Limit Login Attempts Reloaded con oltre 1 milione di installazioni attive in tutto il mondo.
Il funzionamento di questo plugin è semplice ed essenziale: una volta installato ed attivato, basterà entrare nelle impostazioni e iniziare a regolare i valori in base alle nostre necessità.
Potremo scegliere il numero massimo di tentativi che possono essere effettuati al login, il tempo di attesa tra un tentativo ed un altro, e le ore di ban se l’utente sbaglia login più di un certo numero di volte.
Avremo, inoltre, uno spazio dedicato agli indirizzi IP o ai nome utente che possiamo inserire direttamente in whitelist o blacklist a seconda delle necessità.
Cambiare indirizzo della pagina di login
Un altro metodo molto utilizzato dagli utenti per mettere in sicurezza la propria pagina di login, è quella di cambiare il classico indirizzo di WordPress.
Come molti di voi sapranno, infatti, WordPress permette di accedere alla bacheca tramite due principali indirizzi, tramite la pagina /wp-admin/ oppure tramite /wp-login.php.
Grazie al plugin WPS Hide Login, sarà possibile sostituire l’indirizzo di accesso al sito internet e rendere inaccessibili le classiche pagine di login di WordPress.
In questo modo, un eventuale hacker, non saprà più dove si trova la pagina per effettuare il login.
Una volta installato e attivato il plugin, sarà sufficiente andare in “Impostazioni-> Generali” e scorrere la pagina fino in fondo.
Troveremo un nuovo box con la possibilità di scegliere il nome della pagina dove effettuare il login, e la pagina di redirect per tutti quegli utenti che tenteranno di accedere alla vecchia pagina di login.
Semplice ed estremamente efficace 🙂
Inserire un reCaptcha nella pagina di login
Il reCaptcha di Google è quel box che avrete sicuramente utilizzato decine di volte, quel piccolo box in cui c’è scritto “non sono un robot” e bisogna cliccarci sopra per attivarlo.
Bene, è possibile inserire il reCaptcha all’interno della pagina di login di WordPress, in questo modo eviteremo che eventuali bot provino ad effettuare tentativi di login al nostro sito in maniera automatica, quindi non umana.
Per fare ciò, è possibile utilizzare il plugin gratuito chiamato Login no Captcha reCaptcha che, tramite l’apposita pagina delle impostazioni, non farà altro che attivare il reCaptcha nella pagina di login di WordPress.
Regole generali di sicurezza
Oltre ai metodi visti in questa guida, possiamo ulteriormente aumentare la sicurezza della nostra pagina di login, seguendo delle semplici regole che dovrebbero essere sempre adottate, scopriamo quali sono:
- Non usare “admin” come nome utente amministratore. Essendo il nome utente predefinito quando si installa WordPress, spesso non lo si cambia e lo si lascia così, aiutando notevolmente un eventuale hacker.
Siccome non è possibile sostituire il nome utente amministratore di un sito già creato, il nostro consiglio è quello di creare un nuovo utente amministratore e, successivamente, cancellare quello precedente. - Usa password complesse. Non utilizzare mai delle password troppo corte, e sopratutto password di senso compiuto. Piuttosto utilizza password di 16 caratteri inserendo numeri e caratteri speciali al suo interno.
Se hai bisogno di una mano, puoi utilizzare il sito Passwords Generator.
Conclusioni
In questa breve guida abbiamo visto alcuni metodi per mettere in sicurezza la pagina di login di WordPress sfruttando l’utilizzo di specifici plugin, ma anche seguendo alcune semplici regolette di buonsenso.
E tu? Utilizzi qualche tecnica particolare per tenere in sicurezza la pagina di login di WordPress? Se si, faccelo sapere nei commenti qui in basso 🙂
Genera la privacy policy per il tuo sito web in 5 minuti con Iubenda. E con WP Special, il primo anno hai il 10% di sconto!