5 semplici regole per la sicurezza dell'accesso a WordPress

Pubblicato: 2020-09-25

Una strategia di sicurezza di WordPress di successo dovrebbe includere passaggi per rafforzare l'accesso a WordPress. In questo post, trattiamo le cinque semplici regole per una migliore sicurezza di accesso a WordPress.

La cosa grandiosa di WordPress è come rende la creazione di un sito Web accessibile a chiunque. Ma con quell'accessibilità arriva la prevedibilità. Chiunque abbia esperienza di lavoro con WordPress sa dove vengono apportate le modifiche al sito: tramite l'area wp-admin . Sanno persino dove devono andare per accedere a wp-admin , la pagina wp-login.php .

Per impostazione predefinita, l'URL di accesso di WordPress è lo stesso per ogni sito WordPress e non richiede autorizzazioni speciali per l'accesso. Ecco perché la pagina di accesso di WordPress è la parte più attaccata e potenzialmente vulnerabile di qualsiasi sito WordPress.

Sfortunatamente, creare un bot che vaghi per Internet commettendo attacchi di forza bruta non richiede molta abilità e qualsiasi hacker di livello principiante può crearne uno. Poiché gli attacchi alla pagina di accesso di WordPress hanno una bassa barriera di accesso, la sicurezza dell'accesso a WordPress è fondamentale per proteggere qualsiasi sito WordPress.

Seguendo queste regole e utilizzando le migliori pratiche di sicurezza di WordPress, puoi evitare di essere vulnerabile ai comuni errori di accesso degli utenti.

Sicurezza dell'accesso a WordPress

1. Usa password complesse

Ci sono molte informazioni confuse e contraddittorie sulle migliori pratiche per la sicurezza delle password su Internet. Nel tentativo di chiarire questa confusione, analizziamo le basi su come l'utilizzo di una password complessa migliora la sicurezza di WordPress.

Ogni volta che si crea una password, il primo elemento da considerare è la lunghezza della password. L'elenco seguente mostra il tempo stimato necessario per decifrare una password utilizzando un processore i5 a quattro core.

7 caratteri impiegheranno 0,29 millisecondi per decifrare.
8 caratteri impiegheranno 5 ore per decifrare.
9 personaggi impiegheranno 4 mesi per decifrare.
10 personaggi impiegheranno 1 decennio per decifrare
12 personaggi impiegheranno 2 secoli per decifrare.

Quindi, come puoi vedere, l'aggiunta di un singolo carattere alla tua password può aumentare significativamente la sicurezza del tuo accesso. Una password lunga almeno 12 caratteri, casuale e che includa un ampio pool di caratteri come " ISt8XXa!28X3 " renderà molto difficile decifrarla .

Sfortunatamente, alcuni hacker stanno sfruttando GPU e CPU più potenti per ridurre il tempo necessario per decifrare le password. Quindi, per rafforzare i tuoi accessi, tieni anche presente l'entropia della tua password. Maggiore è l'entropia della password, più difficile sarà decifrare la password.

Ad esempio, in base al solo requisito di lunghezza, una password come " abcdefghijkl " è di 12 caratteri, il che è fantastico e dovrebbe richiedere 200 anni per decifrarlo. Tuttavia, poiché la password utilizza stringhe di lettere sequenziali, rende la password molto più prevedibile rispetto a una password come " rfybolaawtpm " che ha caratteri casuali.

La randomizzazione dei caratteri riduce la prevedibilità e aumenta la sicurezza della password. Ma entrambe queste password hanno una cosa in comune che alla fine riduce l'entropia della password. Entrambi utilizzano solo lettere minuscole, limitando il pool di caratteri possibili a 26. Ecco perché è fondamentale includere lettere alfanumeriche, maiuscole e caratteri ASCII comuni per aumentare il pool di caratteri necessari per decifrare la password a 92.

Suggerimento: utilizza un gestore di password come LastPass per generare e archiviare facilmente le password in modo sicuro.

Suggerimento: come minimo, dovresti richiedere agli utenti che possono apportare modifiche a WordPress di utilizzare password complesse. L'utilizzo di un plug-in di sicurezza di WordPress come iThemes Security Pro per costringere gli utenti privilegiati a utilizzare password complesse contribuirà ad aumentare la sicurezza dell'accesso a WordPress.

2. Usa una password univoca per ogni account

Un'altra best practice per la sicurezza online è l'utilizzo di password univoche per ogni account e accesso al sito Web che possiedi. Questo è così importante che lo ripetiamo: dovresti usare una password diversa per ogni sito.

Perché il riutilizzo delle password è così importante? Se usi la stessa password per ogni sito e uno di quei siti è compromesso, stai usando una password compromessa per ogni account, su ogni sito. Gli hacker possono utilizzare dump di dati di password compromesse abbinate al tuo indirizzo e-mail o nome utente per accedere ai tuoi account. È meglio non correre nemmeno il rischio.

Più utenti hai che riutilizzano le password, più debole sarà la tua sicurezza di accesso a WordPress. In un elenco compilato da Splash Data, la password più comune inclusa in tutti i dump di dati era 123456. La sicurezza di accesso di WordPress del tuo sito è forte quanto l'anello più debole, quindi sii proattivo con requisiti di password complessi.

Suggerimento: proteggi WordPress da password compromesse

Puoi proteggere WordPress da password compromesse con un plugin come iThemes Security Pro. iThemes Security Pro sfrutta l'API HaveIBeenPwned per rilevare se una password è apparsa o meno in una violazione dei dati.

Suggerimento: incoraggia gli utenti a cambiare frequentemente le password

Le funzionalità Requisiti password di iThemes Security ti consentono di obbligare tutti i tuoi utenti a cambiare la password al prossimo accesso. Forzare gli utenti a creare una nuova password, consente a tutti di ricominciare da capo con una password forte e senza compromessi, che aumenterà il tuo accesso a WordPress sicurezza.

Suggerimento: usa un gestore di password

In definitiva, l'utilizzo di un gestore di password può aiutarti a tenere traccia dei tuoi accessi e delle password univoche. Con l'aiuto di un gestore di password, non devi ricordare le tue password.

3. Limitare i tentativi di accesso

Per impostazione predefinita, non c'è nulla di integrato in WordPress per limitare il numero di tentativi di accesso falliti che qualcuno può fare. Senza un limite al numero di tentativi di accesso falliti che un utente malintenzionato può effettuare, può continuare a provare un numero infinito di nomi utente e password finché non hanno successo.

Aumenta la sicurezza dell'accesso di WordPress installando un plug-in di sicurezza di WordPress come iThemes Security Pro per limitare il numero di tentativi di accesso non riusciti. La funzione iThemes Security Pro WordPress Brute Force Protection ti dà la possibilità di impostare il numero di tentativi di accesso falliti consentiti prima che un nome utente o un IP venga bloccato. Un blocco disabiliterà temporaneamente la capacità dell'attaccante di effettuare tentativi di accesso. Una volta che gli aggressori sono stati bloccati tre volte, sarà loro vietato persino di visualizzare il sito.

Nota: quando decidi quanto vuoi che siano rigide le regole per i tentativi di accesso falliti, tieni a mente gli utenti effettivi del tuo sito. Se rendi le regole di blocco troppo spietate, corri il rischio di bloccare inavvertitamente gli utenti reali.

4. Limitare i tentativi di autenticazione esterni per richiesta

Esistono altri modi per accedere a WordPress oltre a utilizzare un modulo di accesso. Utilizzando XML-RPC, un utente malintenzionato può effettuare centinaia di tentativi di nome utente e password in una singola richiesta HTTP. Il metodo di amplificazione della forza bruta consente agli aggressori di effettuare migliaia di tentativi di nome utente e password utilizzando XML-RPC in poche richieste HTTP. Quando sai che un utente malintenzionato può utilizzare i dump del database come punto di partenza e fare migliaia di ipotesi per richiesta, l'importanza della sicurezza dell'accesso a WordPress diventa molto più chiara.

Utilizzando le impostazioni di WordPress Tweaks di iThemes Security Pro, puoi bloccare più tentativi di autenticazione per richiesta XML-RPC. Limitare il numero di tentativi di nome utente e password a uno per ogni richiesta farà molto per proteggere il tuo accesso a WordPress.

Inoltre, quando stai sviluppando il tuo piano di sicurezza per l'accesso a WordPress, è importante sapere che l'API WordPress Rest aggiunge ulteriori modi per autenticare un utente WordPress. L'autenticazione dei cookie è un metodo di autenticazione quando accedi WordPress memorizza automaticamente un cookie in modo che i plug-in e i temi possano svolgere una funzione per tuo conto. L'autenticazione dei cookie trarrà vantaggio dalle protezioni che hai aggiunto a wp-login.php.

5. Usa l'autenticazione a due fattori

Ho salvato il metodo migliore per aumentare la sicurezza dell'accesso a WordPress per ultimo: l'autenticazione a due fattori di WordPress. L'autenticazione a due fattori richiede un codice aggiuntivo insieme al nome utente e alla password di WordPress per accedere.

Esistono molti metodi di autenticazione a due fattori, ma non tutti i metodi sono uguali. Se puoi, evita di utilizzare il testo per l'autenticazione a due fattori. Il National Institute of Standards and Technology non consiglia più di utilizzare SMS per inviare e ricevere codici di autenticazione.

Utilizzando un plug-in di sicurezza di WordPress, come iThemes Security Pro, dovresti abilitare il metodo a due fattori tramite e-mail o app mobile.

Tieni presente che molti siti richiedono l'utilizzo di un indirizzo email come nome utente. Se un utente malintenzionato hackera uno di questi siti, il passaggio successivo sarà provare ad accedere agli account di posta elettronica utilizzando i nuovi indirizzi e-mail e le password che ha rubato. Se uno dei tuoi utenti o clienti riutilizza le password compromesse su ogni sito, il suo account di posta elettronica, insieme ai suoi codici di posta elettronica a due fattori, sarà compromesso.

Il metodo dell'app mobile a due fattori farà di più per aumentare la sicurezza dell'accesso a WordPress. Il codice di autenticazione aggiuntivo necessario per accedere verrà inviato al telefono dell'utente. Quindi, anche se un utente malintenzionato ha accesso a WordPress e alle credenziali e-mail, non avrà comunque modo di accedere.

Riepilogo: un semplice elenco di controllo per la sicurezza dell'accesso a WordPress

La sicurezza dell'accesso a WordPress dovrebbe essere una priorità assoluta su ogni sito. Ora che sai come aumentare la sicurezza di accesso al tuo sito, puoi trarre vantaggio da questa efficace strategia di prevenzione degli attacchi.

1. Usa password complesse
2. Usa password uniche per ogni account
3. Limitare i tentativi di accesso
4. Limitare i tentativi di autenticazione
5. Usa l'autenticazione a due fattori

plugin di sicurezza per wordpress

Un plugin di sicurezza per WordPress può aiutarti a proteggere il tuo sito Web WordPress

iThemes Security Pro, il nostro plug-in di sicurezza per WordPress, offre oltre 30 modi per proteggere e proteggere il tuo sito Web dalle vulnerabilità di sicurezza comuni di WordPress. Con l'autenticazione a due fattori di WordPress, la protezione dalla forza bruta, l'imposizione di password complesse e altro, puoi aggiungere un ulteriore livello di sicurezza al tuo sito web.

Ottieni iThemes Security ora

Michael Moore

Ogni settimana, Michael mette insieme il Rapporto sulla vulnerabilità di WordPress per aiutare a mantenere i tuoi siti al sicuro. In qualità di Product Manager di iThemes, ci aiuta a continuare a migliorare la gamma di prodotti iThemes. È un nerd gigante e ama imparare tutto ciò che è tecnologico, vecchio e nuovo. Puoi trovare Michael che esce con sua moglie e sua figlia, leggendo o ascoltando musica quando non lavora.