Protezione con password di WordPress: una guida completa

Questa è una guida "definitiva" o completa alla protezione con password di WordPress per gli amministratori e i proprietari di siti Web aziendali. È scritto per coloro che gestiscono o sono gli amministratori di siti Web WordPress.

Ruoli a parte, la prossima sicurezza del sito Web WordPress più vulnerabile e facilmente rafforzabile è l'uso delle password, secondo WordPress e i fornitori di software di sicurezza. Armato di credenziali di accesso, qualcuno potrebbe potenzialmente accedere al tuo sito Web e a tutte le configurazioni e ai dati disponibili dalla dashboard di WordPress. Un utente che ha effettuato l'accesso potrebbe impersonare te, aggiungere, modificare o eliminare elementi, deturpare il tuo sito Web e rovinare la tua attività.

Questo post del blog fornisce una serie di linee guida sulle migliori pratiche per aiutarti a stabilire una protezione sicura con password di WordPress in tutta la tua organizzazione e istruire i tuoi utenti sul loro utilizzo.

Sommario

• Stabilire una solida politica di sicurezza delle password
  • • • Che aspetto ha una password complessa?
      • Ruoli utente di WordPress e relative implicazioni sulla sicurezza
      • Installa gli strumenti e i plug-in per la sicurezza delle password di WordPress corretti
      • Dai il buon esempio per la protezione con password di WordPress
• Impiega un gestore di password
  • • I vantaggi dell'utilizzo di un gestore di password
• Abilita l'autenticazione a due fattori o a più fattori
• Educa i tuoi utenti alla protezione con password di WordPress
  • • • Parla delle violazioni dei dati degne di nota
      • Applica la tua politica per le password complesse
        • • Attività di amministratore per la sicurezza delle password di WordPress
      • Sottolinea i vantaggi di riduzione dello stress e risparmio di tempo dell'utilizzo di un gestore di password
      • Sottolinea l'utile investimento in una forte sicurezza delle password di WordPress
• Stabilire altre salvaguardie pertinenti

Stabilire una solida politica di sicurezza delle password

In qualità di amministratore di un sito Web WordPress, hai l'opportunità e la responsabilità di imporre una forte politica di password ai tuoi utenti. In tal modo, proteggerai la tua organizzazione, i suoi siti Web, i dati, il personale e altri utenti da una serie di attacchi.

• Nel caso di un'azienda e dei suoi dipendenti interni, i dipendenti del marketing dovranno accedere al sito Web WordPress per creare e modificare le pagine del sito Web e i post del blog, mentre altri avranno solo bisogno dell'accesso per moderare e rispondere ai commenti. D'altra parte, i dipendenti della gestione degli account dei clienti o del servizio clienti avranno bisogno di vari livelli di accesso agli account dei clienti, per rispondere ai ticket di supporto. In questo caso, la maggior parte degli utenti interni del personale non avrà bisogno di accedere agli account dei clienti, anche se alcuni lo faranno. Coloro che lavorano nel supporto IT potrebbero aver bisogno di accedere ad alcuni aspetti degli account dei clienti, anche se non a tutti.
• Pensiamo all'altro punto di vista, quello degli utenti esterni su un sito ecommerce WordPress. Potrebbe essere necessario accedere per gestire il proprio account, effettuare un acquisto, tenere traccia dello stato di una consegna o di un reso o contattare l'assistenza clienti. Agli stessi utenti non dovrebbe essere concesso l'accesso per creare o eliminare pagine Web, ad esempio, o essere in grado di visualizzare l'account e i dettagli finanziari di altri clienti. In alcuni casi, i siti Web di e-commerce non richiedono agli utenti che sono clienti di creare un account e di accedere, poiché a volte può essere un ostacolo per ottenere una vendita.

Perché è necessaria tutta questa considerazione? Gli utenti non sanno già come creare e utilizzare password sicure?

L'utente medio di computer non è ben istruito sulla protezione della password di WordPress o sulla sicurezza della password di WordPress in generale. È probabile che avranno un atteggiamento lassista nei confronti dei propri dati online e troveranno stressante la gestione delle credenziali di accesso (di cui parleremo più avanti), e le annoteranno su note adesive e le attaccheranno ai loro monitor!

Inoltre:

• I robot per indovinare le password stanno diventando sempre più sofisticati
• Gli hacker dannosi usano ancora la forza bruta e gli attacchi del dizionario

Le attività dannose diventano molto più facili per gli hacker malintenzionati se dispongono già di informazioni personali come nomi reali, che potrebbero far parte di una password debole.

Che aspetto ha una password complessa?

• Password più lunghe : come regola generale, più breve è la password, più è suscettibile a un attacco di forza bruta o dizionario. Il miglior consiglio attuale è impostare una lunghezza minima di 16 caratteri per la tua password e lasciare spazio agli spazi. Alcuni generatori di password consentono agli utenti di personalizzare la lunghezza della password sicura e casuale che creano.
• Password miste : utilizza una combinazione casuale di caratteri (sia maiuscoli che minuscoli), numeri e caratteri speciali. Questo proteggerà la tua password dagli attacchi del dizionario. Evita le parole del dizionario e gli schemi di lettere o numeri, sostituendo le lettere con i numeri ("@" invece di "a", "0" invece di "O" comprese le sequenze di tastiera (qwerty).
• Password casuali : mantieni le tue password non correlate a te. Non utilizzare nessuna parte del tuo nome, né quello di un animale domestico, di un bambino o di un altro parente. Non utilizzare il tuo DOB, indirizzo postale o qualsiasi altra informazione pubblica che un hacker malintenzionato potrebbe facilmente connetterti. Inoltre, evita di utilizzare informazioni che un collega o un conoscente potrebbe indovinare, come i soprannomi.
• Modifica delle password : reimposta le password regolarmente (si consiglia ogni tre mesi). Ciò riavvia l'orologio su qualsiasi tentativo di forza bruta e ti tiene al passo con i progressi nella tecnologia di hacking non etica.
• Password diverse – Avere una password diversa per ogni sito web. In questo modo, se uno viene violato, gli altri sono ancora al sicuro. Utilizza un gestore di password ogni giorno per archiviarle, aggiornarle e utilizzarle.
• Password salvate : non utilizzare la configurazione del browser, i laptop o le cartelle condivise per salvare le password nel caso in cui il computer venga violato o rubato. Ecco a cosa serve un gestore di password!

Ruoli utente di WordPress e relative implicazioni sulla sicurezza

La configurazione dei ruoli ha enormi implicazioni nella sicurezza del sito Web di WordPress. Come regola generale, la sicurezza di WordPress dovrebbe aumentare in proporzione diretta al livello di informazioni sensibili contenute o scambiate sul sito web.

Per prima cosa, diamo un'occhiata ai ruoli di amministratore:

• Super amministratori : assegnato ai proprietari di più siti che utilizzano la rete multisito di WordPress, ti dà le stesse identiche autorizzazioni del ruolo di amministratore
• Amministratore : assegnato automaticamente al proprietario/creatore di un sito Web al momento dell'installazione, ti dà il pieno controllo su un sito Web inclusa l'eliminazione, può: installare, modificare ed eliminare temi e plug-in; eseguire aggiornamenti e aggiornamenti; creare, modificare ed eliminare pagine e post di blog; aggiungere, modificare ed eliminare utenti inclusi altri amministratori; e aggiungere, modificare ed eliminare media

Tutti gli altri ruoli utente, elencati in ordine decrescente di autorizzazione sono:

• Editor : può aggiungere, modificare ed eliminare nuove pagine, post di blog, media; creare categorie e tag; pubblicare contenuti scritti da loro stessi e da altri; e commenti moderati
• Autore : può aggiungere, modificare e pubblicare solo i propri contenuti; caricare media; e assegna categorie e tag esistenti ai post del blog
• Collaboratore : può aggiungere e modificare solo i propri contenuti; e assegnare categorie e tag esistenti ai propri post del blog
• Abbonato : può aggiornare solo il proprio profilo utente; leggere il contenuto di altri; e aggiungi commenti

Seguendo il principio del privilegio minimo, quando imposti i ruoli per delegare attività all'interno di WordPress, evita di concedere a chiunque altro l'accesso (Super) amministratore a meno che non debba avere questo livello di controllo su un sito Web, le sue funzionalità e gli utenti. Poiché i lettori possono vedere il "pubblicato da" (nome utente) sul tuo sito Web, gli amministratori, come ulteriore livello di precauzione, dovrebbero configurare un utente Editor aggiuntivo per se stessi e accedere con l'account (Super) Administrator solo quando devono eseguire questi compiti di livello superiore. Ciò significa che gli hacker malintenzionati hanno ancora meno informazioni su cui fare affidamento se stanno contemplando un attacco di forza bruta.

Per ulteriori informazioni, vedere Come utilizzare i ruoli utente di WordPress per migliorare la sicurezza di WordPress.

Installa gli strumenti e i plug-in per la sicurezza delle password di WordPress corretti

Un modo per applicare password WordPress complesse ai tuoi utenti è utilizzare il plug-in WPassword per:

• Applica password complesse sui tuoi siti Web WordPress in pochi secondi
• Fornire suggerimenti per aiutare gli utenti a trovare password complesse (piuttosto che dover indovinare)
• Configura le policy delle password su aspetti vitali della protezione delle password, come la complessità, la cronologia e l'età delle password
• Configura i criteri delle password in base al ruolo dell'utente per soddisfare ruoli specialistici personalizzati o escludere utenti specifici da criteri particolari.
• Reimposta immediatamente tutte le password se viene rilevato un attacco
• Implementare una politica per gli utenti dormienti, per rimuovere la minaccia pubblicata da account utente inattivi che sono stati impostati prima che la politica fosse adottata

Dai il buon esempio per la protezione con password di WordPress

Ti consigliamo di utilizzare credenziali sicure e di incoraggiare anche i tuoi utenti a farlo.

• Combina la tua password complessa (vedi Che aspetto ha una password complessa?) con un nome utente sicuro.
• In qualità di amministratore, evita nomi utente predefiniti ovvi e deboli come admin, default, password o guest
• Non rendere così facile per i cattivi attori che hanno solo una credenziale rimasta da scoprire

Ricorda che se fai affidamento sulle misure di sicurezza delle password di WordPress, devi anche applicare password complesse utilizzando un plug-in. WordPress non ha un'imposizione di password complesse incorporata o predefinita.

Impiega un gestore di password

Un gestore di password è un servizio online o un client software che archivia e gestisce in modo sicuro le credenziali dell'utente su più siti Web e servizi. È possibile accedere a queste informazioni con un'unica password principale e opzioni per l'autenticazione a più fattori. Esempi popolari includono 1Password e KeePass. Ma, anche se ci sono molti gestori di password online, questo non sostituisce i backup solidi e l'affidabilità.

I vantaggi dell'utilizzo di un gestore di password

• Non dovranno ricordare quali sono le loro password per ciascun sito Web, uno dei maggiori punti deboli sul posto di lavoro che viene "risolto" da una pratica pigra e folle di utilizzare le stesse credenziali su molti servizi online.
• Non saranno tentati di archiviare le credenziali di accesso in forma scritta che violano le normative sulla protezione dei dati o in file online che possono essere compromessi.
• Consentirà agli utenti di utilizzare password complesse e diverse. Molti gestori di password hanno un generatore di password integrato con un suggerimento popup del browser comodo e veloce che registra istantaneamente anche un nuovo record.
• Non lasceranno il loro account o sito Web aperto a hacker malintenzionati e bot automatizzati.
• I gestori di password spesso monitorano gli indirizzi e-mail e avvisano gli utenti in seguito alla loro comparsa sul dark web. Inoltre, possono anche consigliare di modificare le password riutilizzate o altrimenti deboli.

Abilita l'autenticazione a due o più fattori"

L'autenticazione a due o più fattori è un ulteriore livello di credenziali che deve essere inserito prima che un utente possa accedere a un sito Web o a un'app, oltre alla tradizionale combinazione di nome utente e password. Viene utilizzato quando qualcuno sta già utilizzando password complesse perché un approccio multifattoriale è il migliore per la sicurezza di WordPress. È possibile rubare combinazioni di password e nome utente complesse. Un codice monouso viene generato da un'app e ricevuto tramite e-mail o SMS inviati al dispositivo personale, all'account e-mail o al cellulare di un utente, è più difficile da aggirare per un hacker malintenzionato.

Esistono diverse alternative che rivendicano il posto dei migliori plugin di autenticazione a due fattori per WordPress. Dai un'occhiata a questi. Ma consigliamo vivamente il nostro prodotto: il plug-in WP 2FA. Non solo migliorerà l'autenticazione del tuo sito Web WordPress, ma è progettato pensando alla facilità d'uso e alla semplicità di configurazione. Consente inoltre di rendere obbligatoria la 2FA, con criteri 2FA completamente configurabili per diversi ruoli utente. La combinazione dei plug-in WPassword e WP 2FA rende i tuoi siti Web WordPress super sicuri.

Educa i tuoi utenti alla protezione con password di WordPress

Gli utenti del tuo sito web sanno già in un senso vago che è necessaria una forte sicurezza delle password. Ma spesso non riescono a fare nulla al riguardo.

Quindi, su cosa, in particolare, hai bisogno per educarli?

Parla delle violazioni dei dati degne di nota

Le password deboli sono una delle maggiori minacce alla sicurezza dei siti Web WordPress. Come mai? Perché le credenziali deboli, facilmente aggirabili con un attacco di forza bruta o con un dizionario, sono una delle principali cause delle violazioni dei dati di cui tutti leggiamo nelle notizie. Aggiungete a questo le perdite di dati facilitate dalle password predefinite o rubate, o le password prelevate da dispositivi smarriti o rubati, e il problema si moltiplica.

Cosa possono fare gli hacker malintenzionati e gli utenti non autorizzati quando accedono al tuo sito web?

• A livello di base, possono alterare le tue configurazioni o inserire malware
• Potrebbero anche reindirizzare il traffico lontano dal tuo sito Web o utilizzarlo per distribuire software piratato
• Negli attacchi più gravi, possono rubare e utilizzare in modo improprio dati sensibili, creare addebiti bancari fasulli o raccogliere informazioni finanziarie e di altro tipo da rivendere sul dark web
• Al di là di queste attività commerciali, gli hacktivist possono politicizzare o deturpare il tuo sito web con incitamento all'odio

Assicurati che gli utenti interni del tuo personale siano a conoscenza delle principali implicazioni a livello di organizzazione sulle informazioni aziendali interne e sui dati dei clienti esterni, nonché sulle sanzioni o sulle cancellazioni obbligatorie dell'azienda. Inoltre, ripeti gli stessi messaggi ai clienti del tuo sito Web per assicurarti che diano la priorità alla sicurezza dei propri dati personali, finanziari, sanitari e altri dati sensibili.

Gli impatti negativi che tali violazioni dei dati possono avere sulla tua organizzazione e sul tuo sito web sono enormi:

• Perdita di reputazione e fiducia nella tua organizzazione e nel tuo sito web
• Multe sostanziali da parte di organismi di regolamentazione, nonché altre sanzioni o dissociazioni da partner e clienti

Applica la tua politica per le password complesse

1. In primo luogo, istruisci i tuoi utenti su tutti gli elementi in Che aspetto ha una password complessa? e i vantaggi dell'utilizzo di un gestore di password? Ad esempio, assicurati che siano a conoscenza di formulazioni di password persistenti e seriamente insicure come thisismypassword, 123456789, [mykidsname] o [mypetsname]. E, invece, incoraggia l'uso di formule di password complesse (ad esempio vqO&V13@H%fF o @iGOuqk%W0xY ). Non condividere o utilizzare questi esempi specifici per nessuno dei tuoi servizi o utenti. Sono semplicemente esempi.
2. Ricordare regolarmente al personale interno la politica per l'impiego e/o la protezione dei dati che hanno firmato e le responsabilità legali personali che hanno nei confronti del datore di lavoro.
3. Ricordare regolarmente al personale interno che la politica di protezione dei dati e le dichiarazioni rilasciate dall'azienda a clienti e clienti si basano su di esse secondo le politiche aziendali e che hanno implicazioni legali, finanziarie, occupazionali e di contrasto potenzialmente gravi e permanenti.
4. Incoraggia gli utenti a creare le proprie password sicure utilizzando gestori di password che dispongono anche di strumenti per la generazione di password. La maggior parte dei software di gestione delle password avrà anche il proprio, il che è utile quando crei nuovi account per servizi online e altri.

Attività di amministratore per la sicurezza delle password di WordPress

1. Controlla la forza della password delle password dei tuoi utenti WordPress con uno scanner come WPScan.
2. Utilizza gli strumenti utilizzati dagli hacker malintenzionati per provare a "indovinare" le password dei tuoi utenti. Pianifica tu stesso gli attacchi di forza bruta e dizionario!
3. Blocca gli utenti che hanno password deboli e invia una richiesta per reimpostarle.
4. Organizza seminari su come utilizzare il gestore di password preferito.

Sottolinea i vantaggi di riduzione dello stress e risparmio di tempo dell'utilizzo di un gestore di password

Molti dei tuoi utenti potrebbero vedere la necessità di password complesse ma non sono disposti a usarle a causa della scarsa familiarità e delle difficoltà o dei costi percepiti nella pratica. È qui che puoi rafforzare la facilità ei vantaggi dell'utilizzo di un gestore di password, insieme al basso costo, all'affidabilità e alla facilità di conservazione dei backup delle credenziali.

È un enorme vantaggio solo dover ricordare una password anziché più password.

Dal punto di vista dell'utente, i punti salienti sono:

• Devono ricordare solo una password: beatitudine!
• Il gestore delle password fungerà da nuovo generatore di password, strumento di gestione delle password e una richiesta di immissione di credenziali sicure in loco

Sottolinea l'utile investimento in una forte sicurezza delle password di WordPress

Dobbiamo affrontare i fatti. Alcuni potenziali utenti saranno rimandati la registrazione al tuo sito Web se sono costretti a utilizzare password complesse e a cambiarle frequentemente. Inizialmente, queste procedure richiedono un po' di tempo e fatica. Alcuni lo considereranno una seccatura che non vogliono, mentre altri si lamenteranno del fatto che rovina la loro esperienza utente del tuo sito web.

Stabilire e applicare una solida politica di sicurezza delle password di WordPress, possibilmente utilizzando un plug-in che differenzia le politiche delle password e i livelli di sicurezza in base ai ruoli degli utenti, ridurrà al minimo il disturbo degli utenti.

Stabilire altre salvaguardie pertinenti

In qualità di proprietario di un sito Web o amministratore di WordPress, ecco alcuni suggerimenti conclusivi su problemi più grandi che devi considerare per la sicurezza della password di WordPress:

• Familiarizzare con i protocolli generali di protezione e rafforzamento della sicurezza di WordPress per WordPress. Ci sono ragioni specifiche per cui i siti Web WordPress vengono violati. È a tuo vantaggio come amministratore o proprietario sapere cosa sono e come gestirli. Sì, le password deboli sono un grosso problema, così come la mancanza di 2FA e dei registri delle attività. Ma lo sapevi che anche l'uso di core, plug-in e altri software obsoleti di WordPress è un problema serio?
• Impiega un plug-in per il registro delle attività di WordPress che ti consentirà di sapere se utenti non autorizzati hanno ottenuto l'accesso al tuo account e, in tal caso, quali danni hanno causato. Il nostro registro attività WP ti aiuta a identificare comportamenti sospetti nelle prime fasi e prevenire eventuali attacchi di hacking dannosi sul tuo sito web.
• Imposta una politica per gli utenti dormienti o inattivi per il tuo sito Web WordPress. Gli account utente trascurati sono un facile punto di accesso per gli hacker malintenzionati.
• Il tuo sito Web può essere violato anche se utilizzi password complesse e applichi politiche di password complesse ai tuoi utenti. È bene sapere immediatamente se il tuo sito web è stato violato. Questo è un servizio gratuito di notifica di violazione dei dati che ti consigliamo di controllare.

Hai domande sulla protezione della password di WordPress o su uno qualsiasi dei prodotti che abbiamo menzionato in questo post del blog? Facci sapere qui sotto! E ricorda le parole di Chris Pirillo:

"Le password sono come la biancheria intima: non la fai vedere alle persone, dovresti cambiarla molto spesso e non dovresti condividerla con estranei."

Ottieni una prova di 7 giorni di WPassword per sperimentarlo in azione e aiutare gli utenti del tuo sito Web a utilizzare password WordPress complesse