Giornata mondiale delle password 2020: aumentiamo la sicurezza delle password

Pubblicato: 2020-05-13

Oggi è il World Password Day e volevamo condividere alcune risorse che puoi utilizzare per rivedere la sicurezza della tua password. Il World Password Day ci ricorda l'importanza di avere una solida strategia per le password per tutti i tuoi account online. Queste risorse si applicano alla sicurezza delle password in generale ma anche specificamente ai siti Web WordPress.

Ecco un rapido quiz sulla password di WordPress:

1. Hai usato di nuovo la password da qualche altra parte, per un account separato?
2. Stai usando "admin" come nome utente di WordPress?
3. La tua password è una parola del dizionario?
4. Hai condiviso la tua password con qualcun altro?
5. La tua password ha meno di 12 caratteri?
6. La tua password include numeri, simboli e lettere maiuscole e minuscole?
7. Stai utilizzando l'autenticazione a due fattori per il tuo accesso a WordPress?

Se hai risposto "sì" a una delle domande 1 - 5 o "no" alle domande 6 - 7, è il momento di rivedere la sicurezza della password di WordPress.

Non utilizzare queste password comuni!

Ecco un elenco delle password più comunemente utilizzate. Ne riconosci qualcuno?

1. 123456	10. 987654321	19. 555555
2. 123456789	11. qwertyuiop	20. 3rjs1la7qe
3. qwerty	12. mionob	21. google
4. 12345678	13. 123321	22. 1q2w3e4r5t
5. 111111	14. 666666	23. 123qwe
6. 1234567890	15. 18atcskd2w	24. zxcvbnm
7. 1234567	16. 7777777	25. 1q2w3e
8. password	17. 1q2w3e4r
9. 123123	18. 654321

Suggerimenti per la password di WordPress

Come minimo, la tua password di amministratore di WordPress dovrebbe soddisfare i seguenti requisiti.

Includi numeri, maiuscole, caratteri speciali (@, #, *, ecc.)
Essere lungo (12 caratteri – minimo; 50 caratteri – ideale)
Può includere spazi ed essere una passphrase (basta non usare la stessa password in più posti)
Cambiato ogni 90 giorni o 3 mesi

Come aumentare la sicurezza della password: 9 suggerimenti

Ecco alcune cose che puoi fare oggi per proteggere te stesso e il tuo sito Web WordPress rafforzando la tua password.

Ottieni semplici suggerimenti per una migliore sicurezza di WordPress. Scarica il nuovo ebook: WordPress Security Pocket Guide

Scarica ora

1. Inizia a utilizzare un gestore di password

Inizieremo qui, con i gestori di password, perché la più grande lamentela che sentiamo sull'adozione della sicurezza delle password è quanto possa essere scomodo tenere traccia di così tante password complesse. Capiamo. Ed è qui che entrano in gioco i gestori di password.

Siamo grandi sostenitori dell'utilizzo di un gestore di password come LastPass o 1Password.

Un gestore di password ti consente di generare una password complessa e complessa per tutti gli accessi al tuo sito Web e quindi di archiviare in modo sicuro le tue informazioni di accesso. È quindi possibile installare l'estensione del browser per il gestore di password in modo da poter compilare facilmente automaticamente le informazioni di accesso.

Utilizzando un gestore di password, l'adozione del resto di queste best practice per la sicurezza delle password diventa molto più semplice.

Con i gestori di password, devi ricordare solo una password: la tua password principale. Ecco di più sul motivo per cui dovresti usare un gestore di password.

Suggerimento: poiché la password principale per il tuo account di gestione delle password è così importante, non dimenticare di abilitare l'autenticazione a due fattori per il tuo account!

Suggerimenti per l'utilizzo di LastPass

Guarda il webinar: Iniziare con LastPass

Una delle cose più importanti che puoi fare per la sicurezza web è avere una password forte e univoca per ogni sito che usi. LastPass può renderlo realtà. In questo webinar, Nathan illustrerà le funzionalità di questo gestore di password gratuito e dimostrerà i vantaggi del suo utilizzo.

2. Non utilizzare la stessa password più di una volta, mai

Come best practice per la sicurezza online, devi avere una password lunga, complessa e univoca per ogni account web che utilizzi. Se utilizzi lo stesso indirizzo e-mail e le stesse password per più siti Web a cui accedi, cosa succede quando uno di questi siti Web viene violato? Il tuo indirizzo e-mail e la password sono ora in un elenco che verrà utilizzato per provare ad accedere ad altri siti Web su Internet. Se utilizzi lo stesso indirizzo email e la stessa password per tutti i tuoi siti web, ora l'hacker sarà in grado di accedere a tutti i tuoi account contemporaneamente.

Una volta che la tua password è stata compromessa, ora hai la sfida di aggiornare le tue informazioni individualmente su ogni singolo sito web che ha le stesse informazioni di accesso. Te li ricordi anche tutti? Se utilizzi di nuovo la stessa e-mail e password su ciascuna di esse, probabilmente dovrai ripetere questa procedura in futuro.

3. Non utilizzare il nome utente "amministratore" di WordPress

"Admin" era il nome utente predefinito per WordPress, quindi un sacco di persone avevano lo stesso nome utente. Se hai WordPress da un po', potresti ancora utilizzare admin come nome utente. Questo è un no-no per la sicurezza di WordPress.

Un modo semplice per combattere gli accessi vulnerabili è non utilizzare nomi utente predefiniti.

Quindi, se stai ancora utilizzando "admin" come nome utente, cambialo ora! Le versioni più recenti di WordPress non lo consentono e il plug-in iThemes Security può cambiarlo per te.

Suggerimento: utilizza lo strumento del plug-in iThemes Security per modificare il tuo nome utente "admin" senza problemi.

4. Richiedi/applica password WordPress efficaci per gli utenti privilegiati

Se disponi di un sito Web con più utenti a livello di amministratore, come minimo, dovresti anche richiedere a quegli utenti di avere anche password complesse. Sebbene tu possa avere una password complessa, se qualcun altro non lo fa, il tuo sito web è ancora a rischio. Ecco perché è una buona idea applicare password complesse per tutti gli utenti nei tuoi sforzi per la sicurezza delle password di WordPress.

Suggerimento: obbliga gli utenti a utilizzare password complesse come valutato dal misuratore di password di WordPress. Puoi abilitare questa impostazione utilizzando un plug-in di sicurezza di WordPress come il plug-in iThemes Security Pro.

5. Semplifica la generazione di password complesse

Non cercare di inventare password lunghe, uniche e complesse da solo. Approfitta dei generatori di password per fare il lavoro per te. Usa il tuo gestore di password per generare una password complessa o il plug-in iThemes Security.

Suggerimento: dopo aver abilitato l'imposizione di password complesse dalla dashboard di iThemes Security, visita qualsiasi pagina del profilo utente. Nella sezione Gestione account, puoi generare una password complessa con un solo clic.

6. Cambia le tue password frequentemente

Se non hai cambiato la password negli ultimi 4 mesi, cambiala ora. Imposta un promemoria per cambiare la password ogni 120 giorni.

Suggerimento: con il plug-in iThemes Security Pro, puoi abilitare la scadenza della password per il tuo sito Web WordPress. Con questa impostazione, puoi obbligare gli utenti a modificare le loro password dopo un certo numero di giorni.

Guarda il webinar: Sicurezza delle password – Una chat sulla sicurezza di WordPress con Aaron Campbell

7. Proteggi il tuo sito Web WordPress da attacchi di forza bruta

Gli attacchi di forza bruta si riferiscono a un metodo di prova ed errore utilizzato per scoprire combinazioni di nome utente e password al fine di violare un sito Web. Il metodo di attacco a forza bruta sfrutta la forma più semplice per ottenere l'accesso a un sito: cercando di indovinare nomi utente e password, più e più volte, finché non hanno successo.

Quindi è una buona idea limitare il numero di tentativi di accesso falliti consentiti per utente con la protezione dalla forza bruta di WordPress. Se qualcuno sta cercando di indovinare la tua password, verrà bloccato dopo alcuni tentativi.

Suggerimento: abilita la protezione dalla forza bruta all'interno del plug-in iThemes Security per limitare il numero di tentativi di accesso.

Scarica l'ebook: una guida agli attacchi di forza bruta di WordPress

Cosa sono gli attacchi di forza bruta di WordPress e perché dovrebbe interessarti? In questo ebook spieghiamo come funzionano gli attacchi di forza bruta e perché i siti WordPress sono a rischio. Offriamo anche suggerimenti su come proteggere il tuo sito web.

In questo ebook imparerai:

Cosa sono gli attacchi di forza bruta di WordPress?
Come funzionano gli attacchi di forza bruta?
Stai invitando attacchi di forza bruta?
Perché i siti WordPress sono a rischio
5 modi per prevenire gli attacchi di forza bruta di WordPress
Suggerimenti per proteggere il tuo sito per utenti, amministratori e sviluppatori
Come può aiutare un plugin di sicurezza di WordPress

8. Abilita l'autenticazione a due fattori di WordPress

Abbiamo tenuto questo suggerimento per ultimo, ma è probabilmente il più importante. L'autenticazione a due fattori, nota anche come verifica in due passaggi, è uno dei modi migliori per proteggere il tuo accesso. L'autenticazione a due fattori di WordPress aggiunge un ulteriore livello di sicurezza di WordPress per verificare che sei effettivamente tu ad accedere e non qualcuno che ha ottenuto l'accesso (o addirittura indovinato) la tua password.

Con l'autenticazione a due fattori, gli utenti devono inserire sia una password CHE un codice secondario inviato a un dispositivo secondario come uno smartphone o un tablet. Sia la password che il codice sono necessari per accedere con successo a un account utente.

Suggerimento: è facile aggiungere l'autenticazione a due fattori sul tuo sito Web WordPress utilizzando un plug-in come iThemes Security Pro. Quindi puoi configurare la tua scelta del metodo di autenticazione: app mobili come Google Authenticator o Authy o e-mail.

9. Semplifica la sicurezza di WordPress con gli accessi senza password

In realtà, le password diventeranno presto una reliquia del passato, motivo per cui tutte le principali aziende tecnologiche cercano di eliminare le password. È qui che entrano in gioco gli accessi senza password, un nuovo modo per semplificare il processo di accesso con maggiore sicurezza. Ora puoi aggiungere accessi senza password al tuo sito WordPress con il plug-in iThemes Security Pro.

Scopri di più su come iniziare con gli accessi senza password. Scarica il nuovo ebook: Iniziare con l'accesso senza password

Scarica ora

Scopri di più su come iniziare con l'accesso senza password per il tuo sito Web WordPress.

In questo ebook imparerai:

Il futuro senza password
Diversi metodi di accesso senza password
Aggiunta di accesso senza password al tuo sito Web WordPress
Come funziona il metodo di accesso senza password

Guarda il webinar: Il futuro senza password di WordPress

Conclusione: Giornata mondiale delle password

Una password sicura è il primo passo per proteggere il tuo sito Web WordPress e il World Password Day è un ottimo momento per rivedere le tue password.

Ottieni iThemes Security Pro, il nostro plug-in di sicurezza per WordPress, con oltre 30 modi per proteggere e proteggere il tuo sito Web WordPress.

Scarica iThemes Security Pro ora

Michael Moore

Ogni settimana, Michael mette insieme il Rapporto sulla vulnerabilità di WordPress per aiutare a mantenere i tuoi siti al sicuro. In qualità di Product Manager di iThemes, ci aiuta a continuare a migliorare la gamma di prodotti iThemes. È un nerd gigante e ama imparare tutto ciò che è tecnologico, vecchio e nuovo. Puoi trovare Michael che esce con sua moglie e sua figlia, leggendo o ascoltando musica quando non lavora.