14 consigli vitali per proteggere la tua area amministrativa di WordPress (aggiornata)
Stai riscontrando un sacco di attacchi sulla tua area admin di WordPress? Proteggere l'area di amministrazione dall'accesso non autorizzato consente di bloccare molte comuni minacce alla sicurezza. In questo articolo, ti mostreremo alcuni dei consigli e degli hack fondamentali per proteggere la tua area amministrativa di WordPress.
1. Utilizzare un firewall per applicazioni Web
Un firewall per applicazioni Web o WAF monitora il traffico del sito Web e blocca le richieste sospette di raggiungere il tuo sito web.
Mentre ci sono diversi plugin per firewall WordPress, raccomandiamo l'uso di Sucuri. È un servizio di sicurezza e monitoraggio dei siti Web che offre un WAF basato sul cloud per proteggere il tuo sito web.
Tutto il traffico del tuo sito web passa prima attraverso il proxy cloud, dove analizzano ogni richiesta e bloccano quelli sospetti dal raggiungere il tuo sito web. Previene il tuo sito web da possibili tentativi di hacking, phishing, malware e altre attività dannose.
Per ulteriori dettagli, vedi come Sucuri ci ha aiutato a bloccare 450.000 attacchi in un mese.
2. Proteggi con password la directory di amministrazione di WordPress
L'area di amministrazione di WordPress è già protetta dalla password di WordPress. Tuttavia, l'aggiunta della protezione tramite password alla directory di amministrazione di WordPress aggiunge un ulteriore livello di sicurezza al tuo sito web.
Per prima cosa accedi al tuo dashboard di hosting cPanel di WordPress e poi fai clic su 'Password Protect Directories' o 'Directory Privacy' icon.
Successivamente, dovrai selezionare la tua cartella wp-admin, che normalmente si trova all'interno di / public_html / directory.
Nella schermata successiva, è necessario selezionare la casella accanto all'opzione 'Proteggi con password questa directory' e fornire un nome per la directory protetta.
Successivamente, fai clic sul pulsante Salva per impostare le autorizzazioni.
Successivamente, è necessario premere il pulsante Indietro e quindi creare un utente. Ti verrà chiesto di fornire un nome utente / password e quindi fare clic sul pulsante Salva.
Ora quando qualcuno cerca di visitare l'amministratore di WordPress o la directory wp-admin sul tuo sito web, gli verrà chiesto di inserire il nome utente e la password.
Per istruzioni più dettagliate, consulta la nostra guida su come proteggere con password la directory admin (wp-admin) di WordPress.
3. Usa sempre password complesse
Usa sempre password complesse per tutti i tuoi account online incluso il tuo sito WordPress. Ti consigliamo di utilizzare una combinazione di lettere, numeri e caratteri speciali nelle tue password. Ciò rende più difficile per gli hacker indovinare la tua password.
Spesso ai principianti viene chiesto come ricordare tutte quelle password. La risposta più semplice è che non è necessario. Ci sono alcune ottime app per la gestione delle password che puoi installare sul tuo computer e sui tuoi telefoni.
Per ulteriori informazioni su questo argomento, consulta la nostra guida sul modo migliore per gestire le password per i principianti di WordPress.
4. Utilizzare la verifica in due passaggi nella schermata di accesso di WordPress
La verifica in due passaggi aggiunge un altro livello di sicurezza alle tue password. Invece di utilizzare solo la password, ti chiede di inserire un codice di verifica generato dall'app Google Authenticator sul tuo telefono.
Anche se qualcuno è in grado di indovinare la tua password di WordPress, avrà comunque bisogno del codice di Google Authenticator per entrare.
Per istruzioni dettagliate passo passo, consulta la nostra guida su come impostare la verifica in due passaggi in WordPress utilizzando Google Authenticator.
5. Limitare i tentativi di accesso
Per impostazione predefinita, WordPress consente agli utenti di inserire le password tutte le volte che vogliono. Ciò significa che qualcuno può continuare a cercare di indovinare la tua password WordPress inserendo diverse combinazioni. Consente inoltre agli hacker di utilizzare script automatici per decifrare le password.
Per risolvere questo problema, è necessario installare e attivare il plugin LockDown di accesso. Dopo l'attivazione, vai a visitare Impostazioni "Login LockDown pagina per configurare le impostazioni del plugin.
Per istruzioni dettagliate, consulta la nostra guida sul perché è necessario limitare i tentativi di accesso in WordPress.
6. Limitare l'accesso all'accesso agli indirizzi IP
Un altro ottimo modo per proteggere l'accesso a WordPress consiste nel limitare l'accesso a specifici indirizzi IP. Questo suggerimento è particolarmente utile se voi o solo pochi utenti fidati avete bisogno di accedere all'area di amministrazione.
Basta aggiungere questo codice al tuo file .htaccess.
AuthUserFile / dev / null AuthGroupFile / dev / null AuthName "WordPress Admin Access Control" AuthType Ordine di base negare, consentire nega per tutti # whitelist L'indirizzo IP di Syed consentire da xx.xx.xx.xxx # whitelist L'indirizzo IP di David consente da xx.xx .xx.xxx
Non dimenticare di sostituire i valori xx con il tuo indirizzo IP. Se utilizzi più di un indirizzo IP per accedere a Internet, assicurati di aggiungerli.
Per istruzioni dettagliate, consulta la nostra guida su come limitare l'accesso all'amministratore di WordPress usando .htaccess.
7. Disabilitare i suggerimenti di accesso
In caso di tentativo di accesso fallito, WordPress mostra errori che indicano agli utenti se il loro nome utente è errato o la password. Questi suggerimenti di accesso possono essere utilizzati da qualcuno per tentativi dannosi.
Puoi nascondere facilmente questi suggerimenti di accesso aggiungendo questo codice al file functions.php del tuo tema o a un plug-in specifico del sito.
function no_wordpress_errors () return 'Qualcosa non va!'; add_filter ('login_errors', 'no_wordpress_errors');
8. Richiedere agli utenti di utilizzare password complesse
Se si esegue un sito WordPress multi-autore, questi utenti possono modificare il proprio profilo e utilizzare una password debole. Queste password possono essere violate e consentire a qualcuno di accedere all'area amministrativa di WordPress.
Per risolvere questo problema, puoi installare e attivare il plugin Force Strong Passwords. Funziona fuori dalla scatola e non ci sono impostazioni da configurare. Una volta attivato, impedirà agli utenti di salvare password più deboli.
Non controllerà la validità della password per gli account utente esistenti. Se un utente sta già utilizzando una password debole, sarà in grado di continuare a utilizzare la sua password.
9. Reimposta password per tutti gli utenti
Preoccupato per la sicurezza delle password sul tuo sito WordPress multiutente? Puoi facilmente chiedere a tutti i tuoi utenti di reimpostare le loro password.
Innanzitutto, è necessario installare e attivare il plug-in Ripristino password di emergenza. Dopo l'attivazione, vai a visitare Utenti »Ripristino password di emergenza pagina e fai clic sul pulsante 'Ripristina tutte le password'.
Per istruzioni dettagliate, consulta la nostra guida su come reimpostare le password per tutti gli utenti in WordPress
10. Mantenere aggiornato WordPress
WordPress rilascia spesso nuove versioni del software. Ogni nuova versione di WordPress contiene importanti correzioni di bug, nuove funzionalità e correzioni di sicurezza.
L'utilizzo di una versione precedente di WordPress sul tuo sito ti lascia aperti a exploit noti e potenziali vulnerabilità. Per risolvere questo problema, è necessario assicurarsi di utilizzare l'ultima versione di WordPress. Per ulteriori informazioni su questo argomento, consulta la nostra guida sul motivo per cui dovresti sempre utilizzare l'ultima versione di WordPress.
Allo stesso modo, i plugin WordPress vengono spesso aggiornati per introdurre nuove funzionalità o correggere problemi di sicurezza e altri. Assicurati che anche i tuoi plugin WordPress siano aggiornati.
11. Creare pagine di accesso e registrazione personalizzate
Molti siti WordPress richiedono agli utenti di registrarsi. Ad esempio, siti di appartenenza, siti di gestione dell'apprendimento o negozi online richiedono agli utenti di creare un account.
Tuttavia, questi utenti possono utilizzare i loro account per accedere all'area amministrativa di WordPress. Questo non è un grosso problema, in quanto saranno solo in grado di fare cose consentite dal loro ruolo e dalle loro capacità utente. Tuttavia, ti impedisce di limitare in modo adeguato l'accesso alle pagine di accesso e di registrazione in quanto hai bisogno di quelle pagine per consentire agli utenti di registrarsi, gestire il loro profilo e accedere.
Il modo più semplice per risolvere questo problema è creare pagine di accesso e di registrazione personalizzate, in modo che gli utenti possano registrarsi e accedere direttamente dal tuo sito web.
Per istruzioni dettagliate passo passo, consulta la nostra guida su come creare pagine di accesso e registrazione personalizzate in WordPress.
12. Informazioni su ruoli utente e permessi di WordPress
WordPress è dotato di un potente sistema di gestione degli utenti con diversi ruoli e funzionalità utente. Quando aggiungi un nuovo utente al tuo sito WordPress puoi selezionare un ruolo utente per loro. Questo ruolo utente definisce cosa possono fare sul tuo sito WordPress.
Assegnare un ruolo utente errato può dare alle persone più capacità del necessario. Per evitare ciò, è necessario capire quali funzionalità vengono fornite con diversi ruoli utente in WordPress. Per ulteriori informazioni su questo argomento, consulta la nostra guida per principianti ai ruoli utente e alle autorizzazioni di WordPress.
13. Limitare l'accesso al dashboard
Alcuni siti WordPress hanno determinati utenti che hanno bisogno di accedere alla dashboard e alcuni utenti che non lo fanno. Tuttavia, per impostazione predefinita possono tutti accedere all'area di amministrazione.
Per risolvere questo problema, è necessario installare e attivare il plug-in Rimuovi accesso dashboard. All'attivazione, vai a Impostazioni "Accesso al dashboard pagina e seleziona i ruoli degli utenti che avranno accesso all'area di amministrazione sul tuo sito.
Per istruzioni più dettagliate, consulta la nostra guida su come limitare l'accesso alla dashboard in WordPress.
14. Disconnettere gli utenti inattivi
WordPress non disconnette automaticamente gli utenti finché non si disconnettono esplicitamente o chiudono la finestra del browser. Questo può essere un problema per i siti WordPress con informazioni sensibili. Ecco perché i siti web e le app delle istituzioni finanziarie disconnettono automaticamente gli utenti se non sono stati attivi.
Per risolvere questo problema, è possibile installare e attivare il plug-in Logout utente inattivo. All'attivazione, vai a Impostazioni "Disconnetti utente inattivo pagina e inserire l'ora dopo la quale si desidera che gli utenti vengano disconnessi automaticamente.
Per maggiori dettagli, consulta il nostro articolo su come disconnettere automaticamente gli utenti inattivi in WordPress.
Speriamo che questo articolo ti abbia aiutato ad apprendere alcuni nuovi suggerimenti e hack per proteggere la tua area amministrativa di WordPress. Potresti anche voler vedere la nostra ultima guida passo passo alla sicurezza di WordPress per principianti.
Se questo articolo ti è piaciuto, ti preghiamo di iscriverti al nostro canale YouTube per le esercitazioni video di WordPress. Puoi anche trovarci su Twitter e Facebook.