7 suggerimenti per proteggere gli utenti di WordPress nel 2021

Il modo migliore per proteggere i tuoi utenti WordPress nel 2021 è utilizzare una password complessa e l'autenticazione a due fattori. Sembra abbastanza semplice, vero? La realtà è che la sicurezza degli utenti di WordPress è un po' più sfumata.

Ogni volta che parliamo di sicurezza degli utenti, spesso sentiamo domande del tipo, ogni utente di WordPress dovrebbe avere gli stessi requisiti di sicurezza e quanta sicurezza è troppa sicurezza?

Non preoccuparti. Rispondiamo a tutte queste domande. Ma prima, parliamo dei diversi tipi di utenti di WordPress.

Quali sono i diversi tipi di utenti di WordPress?

Esistono 5 diversi utenti WordPress predefiniti.

1. Amministratore
2. Editor
3. Autore
4. Collaboratore
5. Abbonato

Ogni utente ha capacità diverse. Le funzionalità determinano cosa possono fare una volta che accedono alla dashboard. Ulteriori informazioni sui ruoli e le autorizzazioni degli utenti di WordPress.

Il potenziale danno di diversi utenti WP hackerati

Prima di poter capire come proteggere i nostri utenti di WordPress, dobbiamo prima comprendere il livello di minaccia di ciascun tipo di utente compromesso. Il tipo e il livello di danno che un utente malintenzionato può infliggere varia notevolmente a seconda dei ruoli e delle capacità dell'utente che viene hackerato.

Amministratore – Livello di minaccia alto

Gli utenti amministratori hanno le capacità per quello che vogliono.

• Crea, rimuovi e modifica utenti.
• Installa, rimuovi e modifica plugin e temi.
• Crea, rimuovi e modifica tutti i post e le pagine.
• Pubblica e annulla la pubblicazione di post e pagine.
• Aggiungi e rimuovi contenuti multimediali.

Se un hacker riesce a mettere le mani su uno degli amministratori del tuo sito, potrebbe trattenere il tuo sito web per ottenere un riscatto. Il ransomware si riferisce a quando un hacker prende il controllo del tuo sito Web e non te lo rilascerà a meno che tu non paghi loro una tariffa pesante.

Il tempo medio di inattività di un attacco ransomware è di 9,5 giorni. Quanto ti costerebbero 10 giorni di NESSUNA vendita?

Editor – Livello di minaccia alto

L' editore gestisce tutti i contenuti del sito web. Questi utenti hanno ancora un bel po' di potere.

• Crea, elimina e modifica tutti i post e le pagine.
• Pubblica e annulla la pubblicazione di tutti i post e le pagine.
• Carica file multimediali.
• Gestisci tutti i link.
• Gestire i commenti.
• Gestire le categorie.

Se un utente malintenzionato ha preso il controllo dell'account di un editore, potrebbe modificare una delle tue pagine per utilizzarla in un attacco di phishing. Il phishing è un tipo di attacco utilizzato per rubare i dati dell'utente, comprese le credenziali di accesso e i numeri di carta di credito.

Il phishing è uno dei modi più sicuri per far inserire il tuo sito web nella lista nera di Google. Ogni giorno, 10.000 siti vengono inseriti nella blocklist di Google per vari motivi.

Autore – Livello di minaccia medio

L' autore è stato progettato per creare e gestire i propri contenuti.

• Crea, elimina e modifica i propri post e pagine.
• Pubblicare e annullare la pubblicazione dei propri post.
• Carica file multimediali

Se un utente malintenzionato dovesse ottenere il controllo dell'account di un autore, potrebbe creare pagine e post che indirizzano i visitatori del tuo sito a siti Web dannosi.

Collaboratore e abbonato – Livello di minaccia basso

Contributor è la versione lite del ruolo utente Autore. Non hanno potere editoriale.

• Crea e modifica i propri post.
• Elimina i propri post non pubblicati.

L' abbonato può leggere le cose pubblicate dagli altri utenti.

Sebbene gli hacker con un ruolo di collaboratore o abbonato non possano apportare modifiche dannose, possono rubare qualsiasi informazione sensibile archiviata nell'account dell'utente o nella pagina del profilo.

7 suggerimenti per proteggere i tuoi utenti di WordPress

Ok, queste sono cose piuttosto sgradevoli che gli hacker possono fare sui nostri siti web. La buona notizia è che la maggior parte degli attacchi ai tuoi account utente di WordPress può essere prevenuta con un piccolo sforzo da parte tua.

Diamo un'occhiata alle cose che puoi fare per proteggere i tuoi utenti di WordPress. La verità è che questi metodi di sicurezza aiuteranno a proteggere ogni tipo di utente di WordPress. Ma, mentre esaminiamo ciascuno dei metodi, ti faremo sapere quali utenti dovresti richiedere per utilizzare il metodo.

1. Dai alle persone solo le capacità di cui hanno bisogno

Il modo più semplice per proteggere il tuo sito Web è fornire ai tuoi utenti solo le funzionalità di cui hanno bisogno e non altro. Se l'unica cosa che qualcuno farà sul tuo sito web è creare e modificare i propri post sul blog, non è necessaria la capacità di modificare i post di altre persone.

2. Limitare i tentativi di accesso

Gli attacchi di forza bruta si riferiscono a un metodo di prova ed errore utilizzato per scoprire combinazioni di nome utente e password per hackerare un sito web. Per impostazione predefinita, non c'è nulla di integrato in WordPress per limitare il numero di tentativi di accesso falliti che qualcuno può fare.

Senza un limite al numero di tentativi di accesso falliti che un utente malintenzionato può fare, può continuare a provare un numero infinito di nomi utente e password finché non hanno successo.

La funzione iThemes Security Pro Local Brute Force Protection tiene traccia dei tentativi di accesso non validi effettuati da indirizzi IP e nomi utente. Una volta che un IP o un nome utente hanno effettuato troppi tentativi di accesso consecutivi non validi, verranno bloccati e non potranno più effettuare altri tentativi di accesso.

3. Proteggi gli utenti di WordPress con password complesse

Più è forte la password dell'account utente di WordPress, più è difficile da indovinare. Ci vogliono 0,29 millisecondi per decifrare una password di sette caratteri. Ma un hacker ha bisogno di due secoli per decifrare una password di dodici caratteri!

Idealmente, una password complessa è una stringa alfanumerica di dodici caratteri. La password deve contenere lettere maiuscole e minuscole e altri caratteri ASCII.

Sebbene tutti possano trarre vantaggio dall'utilizzo di una password complessa, potresti voler forzare solo le persone con capacità a livello di Autore e superiori ad avere password complesse.

La funzione Requisito password di iThemes Security Pro ti consente di obbligare utenti specifici a utilizzare una password complessa.

4. Rifiuta le password compromesse

Anche se il 91% delle persone sa che riutilizzare le password è una pratica scorretta, il 59% delle persone riutilizza ancora le proprie password ovunque! Molte di queste persone stanno ancora utilizzando password che sanno essere apparse in un dump del database.

Gli hacker usano una forma di attacco di forza bruta chiamata attacco del dizionario. Un attacco a dizionario è un metodo per violare un sito Web WordPress con password di uso comune che sono apparse nei dump del database. La “Collezione #1? La violazione dei dati ospitata su MEGA ospitata includeva 1.160.253.228 combinazioni univoche di indirizzi e-mail e password. Sono miliardi con la b. Questo tipo di punteggio aiuterà davvero un attacco al dizionario a restringere le password WordPress più comunemente usate.

È necessario impedire agli utenti con capacità a livello di autore e superiori di utilizzare password compromesse. Potresti anche pensare di non consentire ai tuoi utenti di livello inferiore di utilizzare password compromesse.

È completamente comprensibile e incoraggiato a rendere la creazione di un nuovo account cliente il più semplice possibile. Tuttavia, il tuo cliente potrebbe non sapere che la password che sta utilizzando è stata trovata in un dump di dati. Faresti un ottimo servizio ai tuoi clienti avvisandoli del fatto che la password che stanno utilizzando è stata compromessa. Se stanno usando quella password ovunque, potresti salvarli da alcuni grossi grattacapi lungo la strada.

La funzione iThemes Security Pro Refuse Compromise Passwords costringe gli utenti a utilizzare password che non sono apparse in nessuna violazione della password tracciata da Have I Been Pwned.

5. Proteggi gli utenti di WordPress con l'autenticazione a due fattori

L'autenticazione a due fattori è un processo di verifica dell'identità di una persona che richiede due metodi di verifica separati. Google ha condiviso sul suo blog che l'utilizzo dell'autenticazione a due fattori può bloccare il 100% degli attacchi bot automatizzati. Mi piacciono molto quelle probabilità.

Per lo meno, dovresti richiedere ai tuoi amministratori ed editori di utilizzare l'autenticazione a due fattori.

La funzione di autenticazione a due fattori di iThemes Security Pro offre una grande flessibilità durante l'implementazione di 2fa sul tuo sito web. Puoi abilitare due fattori per tutti o alcuni dei tuoi utenti e puoi forzare i tuoi utenti di alto livello a utilizzare 2fa ad ogni accesso.

6. Limitare l'accesso del dispositivo alla dashboard di WP

Limitare l'accesso alla dashboard di WordPress a un insieme di dispositivi può aggiungere un forte livello di sicurezza al tuo sito web. Se un hacker non si trova sul dispositivo corretto per un utente, non sarà in grado di utilizzare l'utente compromesso per infliggere danni al tuo sito web.

Dovresti limitare l'accesso al dispositivo solo ai tuoi amministratori ed editor.

La funzione Dispositivi attendibili di iThemes Security Pro identifica i dispositivi che tu e altri utenti utilizzate per accedere al tuo sito WordPress. Quando un utente ha effettuato l'accesso su un dispositivo non riconosciuto, Trusted Devices può limitare le proprie capacità a livello di amministratore. Ciò significa che se un utente malintenzionato fosse in grado di entrare nel backend del tuo sito WordPress, non avrebbe la possibilità di apportare modifiche dannose al tuo sito web.

7. Proteggi gli utenti di WordPress dal dirottamento della sessione

WordPress genera un cookie di sessione ogni volta che accedi al tuo sito web. E supponiamo che tu abbia un'estensione del browser che è stata abbandonata dallo sviluppatore e non rilascia più aggiornamenti di sicurezza. Sfortunatamente per te, l'estensione del browser trascurata ha una vulnerabilità. La vulnerabilità consente ai malintenzionati di dirottare i cookie del browser, incluso il cookie di sessione di WordPress menzionato in precedenza. Questo tipo di hack è noto come dirottamento di sessione . Quindi, un utente malintenzionato può sfruttare la vulnerabilità dell'estensione per eseguire il piggyback del tuo accesso e iniziare a apportare modifiche dannose con il tuo utente WordPress.

Dovresti disporre di una protezione contro il dirottamento della sessione per i tuoi amministratori ed editori.

La funzione Dispositivi attendibili di iThemes Security Pro rende il dirottamento di sessione un ricordo del passato. Se il dispositivo di un utente cambia durante una sessione, iThemes Security disconnetterà automaticamente l'utente per impedire qualsiasi attività non autorizzata sull'account dell'utente, come la modifica dell'indirizzo e-mail dell'utente o il caricamento di plug-in dannosi.

Avvolgendo

La popolarità di WordPress lo rende un bersaglio per gli hacker di tutto il mondo. Come abbiamo discusso, un utente malintenzionato può causare danni hackerando anche il livello più basso dell'utente WordPress. La buona notizia è che mentre non c'è modo di prevenire gli attacchi ai tuoi utenti di WordPress, con un piccolo sforzo da parte nostra, possiamo impedire che gli attacchi abbiano successo.

Michael Moore

Ogni settimana, Michael mette insieme il Rapporto sulla vulnerabilità di WordPress per aiutare a mantenere i tuoi siti al sicuro. In qualità di Product Manager di iThemes, ci aiuta a continuare a migliorare la gamma di prodotti iThemes. È un nerd gigante e ama imparare tutto ciò che è tecnologico, vecchio e nuovo. Puoi trovare Michael che esce con sua moglie e sua figlia, leggendo o ascoltando musica quando non lavora.