14 consigli per proteggere l’area admin WordPress

Proteggere l’area di amministrazione dall’accesso non autorizzato consente di bloccare molte delle minacce più comuni alla sicurezza di un sito WordPress.

In questo articolo, ti mostreremo alcuni dei consigli e degli hack fondamentali per proteggere la tua area amministrativa di WordPress.

Argomenti trattati in questo articolo
1. Utilizzare un Firewwall
2. Proteggi con password la directory di amministrazione di WordPress
3. Usa sempre password complesse
4. Utilizzare la verifica in due passaggi nella schermata di accesso di WordPress
5. Limitare i tentativi di accesso
6. Limitare l’accesso all’accesso agli indirizzi IP
7. Disabilitare i suggerimenti di accesso
8. Richiedere agli utenti di utilizzare password complesse
9. Reimposta password per tutti gli utenti
10. Mantenere aggiornato WordPress
11. Creare pagine di accesso e registrazione personalizzate
12. Informazioni su ruoli utente e permessi di WordPress
13. Limitare l’accesso al dashboard
14. Disconnettere gli utenti inattivi

1. Utilizzare un firewall

Un firewall per applicazioni Web o WAF ( Web Application Firewall) monitora il traffico del sito Web e blocca le richieste sospette verso il tuo sito web.

Ci sono diversi plugin per firewall WordPress. Tuttavia ti raccomandiamo l’uso di Sucuri.
Sucuri è un servizio di sicurezza e monitoraggio di siti Web che offre un WAF basato su cloud per proteggere il tuo sito web.

Una volta installato Sucuri , tutto il traffico del tuo sito web passerà attraverso il proxy cloud, dove viene analizzato  ogni richiesta e bloccate quelle sospette o potenzialmente dannose per il tuo sito web.

Previene da possibili tentativi di hacking, phishing, malware e altre attività dannose.

Anche Wp solution utilizza Sucuri.

2. Proteggi con password la directory di amministrazione di WordPress

L’area di amministrazione di WordPress è già protetta dalla password di WordPress.

Tuttavia, l’aggiunta della protezione tramite password alla directory di amministrazione di WordPress aggiunge un ulteriore livello di sicurezza al tuo sito web.

Per prima cosa accedi al tuo dashboard di hosting cPanel di WordPress e fai clic su ‘Password Protect Directories’ o ‘Directory Privacy’.

Successivamente, dovrai selezionare la tua cartella wp-admin, che normalmente si trova all’interno di / public_html / directory.

Nella schermata successiva, è necessario selezionare la casella accanto all’opzione ‘Proteggi con password questa directory’ , fornendo un nome per la directory protetta.

Fai clic sul pulsante Salva per impostare le autorizzazioni.

A questo punto è necessario premere il pulsante Indietro e quindi creare un utente.
Ti verrà chiesto di fornire un nome utente / password e quindi fare clic sul pulsante Salva.

Ora quando qualcuno cerca di visitare l’amministratore di WordPress o la directory wp-admin sul tuo sito web, gli verrà chiesto di inserire il nome utente e la password.

Per istruzioni più dettagliate, consulta la nostra guida su come proteggere con password la directory admin (wp-admin) di WordPress.

3. Usa sempre password complesse

Usa sempre password complesse per tutti i tuoi account online incluso il tuo sito WordPress.
Ti consigliamo di utilizzare una combinazione di lettere, numeri e caratteri speciali nelle tue password.
Ciò rende più difficile per gli hacker indovinare la tua password.

Per ulteriori informazioni su questo argomento, consulta la nostra guida sul modo migliore per gestire le password  di WordPress.

4. Impostare la verifica in due passaggi per l’accesso a WP

La verifica in due passaggi aggiunge un altro livello di sicurezza al tuo sito WordPress.
Invece di utilizzare solo la password, ti chiede di inserire un codice di verifica generato dall’app Google Authenticator sul tuo telefono.

Anche se qualcuno riuscisse ad indovinare la tua password di WordPress, avrà comunque bisogno del codice di Google Authenticator per entrare.

Per istruzioni dettagliate passo passo, consulta la nostra guida su come impostare la verifica in due passaggi su WordPress utilizzando Google Authenticator.

5. Limitare i tentativi di accesso

Per impostazione predefinita, WordPress consente agli utenti di inserire la password un numero illimitato di volte. Ciò significa che qualcuno potrebbe cercare di indovinare la tua password WordPress inserendo diverse combinazioni.
Consente inoltre agli hacker di utilizzare script automatici per decifrare le password.

Per risolvere questo problema, è necessario installare e attivare il plugin LockDown di accesso. Dopo l’attivazione, visita Impostazioni »Accedi LockDown pagina per configurare le impostazioni del plugin.

Per istruzioni dettagliate, consulta la nostra guida sul perché è necessario limitare i tentativi di accesso in WordPress.

6. Limitare l’accesso a determinati indirizzi IP

Un altro ottimo modo per proteggere l’accesso a WordPress consiste nel limitare l’accesso a specifici indirizzi IP. Questo suggerimento è particolarmente utile se voi o solo pochi utenti fidati avete bisogno di accedere all’area di amministrazione.

Basta aggiungere questo codice al tuo file .htaccess.

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "WordPress Admin Access Control"
AuthType Basic
order deny,allow
deny from all
# whitelist Syed's IP address
allow from xx.xx.xx.xxx
# whitelist David's IP address
allow from xx.xx.xx.xxx

Non dimenticare di sostituire i valori xx con il tuo indirizzo IP. Se utilizzi più di un indirizzo IP per accedere a Internet, assicurati di aggiungerli.

Per istruzioni dettagliate, consulta la nostra guida su come limitare l’accesso all’amministratore di WordPress usando .htaccess.

7. Disabilitare i suggerimenti di accesso

In caso di tentativo di accesso fallito, WordPress mostra errori che indicano agli utenti se il loro nome utente è errato o la password. Questi suggerimenti di accesso possono essere utilizzati da qualcuno per tentativi dannosi.

Puoi nascondere facilmente questi suggerimenti di accesso aggiungendo questo codice al file functions.php del tuo tema.

function no_wordpress_errors(){
return 'Something is wrong!';
}
add_filter( 'login_errors', 'no_wordpress_errors' );


8. Richiedere agli utenti di utilizzare password complesse

Se si sta gestendo un sito WordPress multi-autore, gli utenti possono modificare il proprio profilo e utilizzare una password debole.
Queste password possono essere violate e consentire agli hacker di accedere all’area amministrativa di WordPress.

Per risolvere questo problema, puoi installare e attivare il plugin Force Strong Passwords.
Funziona senza impostazioni da configurare.
Una volta attivato, impedirà agli utenti di salvare password deboli.

Attenzione però – non controllerà la validità della password per gli account esistenti.
Quindi se un utente sta già utilizzando una password debole, sarà in grado di continuare a utilizzare la sua password.

9. Reimposta password per tutti gli utenti

Preoccupato per la sicurezza delle password sul tuo sito WordPress multi-autore?
Puoi facilmente chiedere a tutti i tuoi utenti di reimpostare le loro password.

Innanzitutto, è necessario installare e attivare il plugin Ripristino password di emergenza.

Dopo l’attivazione, visita la pagina Utenti »Ripristino password di emergenza e fai clic sul pulsante ‘Ripristina tutte le password’.
Per istruzioni dettagliate, consulta la nostra guida su come reimpostare le password per tutti gli utenti in WordPress

10. Mantenere aggiornato WordPress

WordPress rilascia spesso nuove versioni del software. Ogni nuova versione di WordPress contiene importanti correzioni di bug, nuove funzionalità e correzioni di sicurezza.

L’utilizzo di una versione precedente di WordPress sul tuo sito ti lascia aperti a exploit noti e potenziali vulnerabilità. Per risolvere questo problema, è necessario assicurarsi di utilizzare l’ultima versione di WordPress. Per ulteriori informazioni su questo argomento, consulta la nostra guida su come aggiornare WP.

Allo stesso modo, i plugin WordPress vengono spesso aggiornati per introdurre nuove funzionalità o correggere problemi di sicurezza e altri. Assicurati che anche i tuoi plugin WordPress siano aggiornati.

11. Creare pagine di accesso e registrazione personalizzate

Molti siti WordPress richiedono agli utenti di registrarsi. Ad esempio, siti di appartenenza, siti di gestione dell’apprendimento o negozi online richiedono agli utenti di creare un account.

Tuttavia, questi utenti possono utilizzare i loro account per accedere all’area amministrativa di WordPress. Questo non è un grosso problema, in quanto saranno solo in grado di fare cose consentite dal loro ruolo e dalle loro capacità utente. Tuttavia, ti impedisce di limitare in modo appropriato l’accesso alle pagine di accesso e di registrazione in quanto hai bisogno di quelle pagine per consentire agli utenti di registrarsi, gestire il loro profilo e accedere.

Il modo più semplice per risolvere questo problema è creare pagine di accesso e di registrazione personalizzate, in modo che gli utenti possano registrarsi e accedere direttamente dal tuo sito web.

Per istruzioni dettagliate passo passo, consulta la nostra guida su come creare pagine di accesso e registrazione personalizzate in WordPress.

12. Informazioni su ruoli utente e permessi di WordPress

WordPress è dotato di un potente sistema di gestione degli utenti con diversi ruoli e funzionalità utente. Quando aggiungi un nuovo utente al tuo sito WordPress puoi selezionare un ruolo utente per loro. Questo ruolo utente definisce cosa possono fare sul tuo sito WordPress.

Assegnare un ruolo utente errato può dare alle persone più capacità del necessario. Per evitare ciò, è necessario capire quali funzionalità vengono fornite con diversi ruoli utente in WordPress. Per ulteriori informazioni su questo argomento, consulta la nostra guida per principianti ai ruoli utente e alle autorizzazioni di WordPress.

13. Limitare l’accesso al dashboard

Alcuni siti WordPress hanno determinati utenti che hanno bisogno di accedere alla dashboard e alcuni utenti che non lo fanno. Tuttavia, per impostazione predefinita possono tutti accedere all’area di amministrazione.

Per risolvere questo problema, è necessario installare e attivare il plug-in Rimuovi accesso dashboard. Dopo l’attivazione, vai su Impostazioni »Pagina Accesso al cruscotto e seleziona i ruoli degli utenti che avranno accesso all’area di amministrazione del tuo sito.

Per istruzioni più dettagliate, consulta la nostra guida su come limitare l’accesso alla dashboard in WordPress.

14. Disconnettere gli utenti inattivi

WordPress non disconnette automaticamente gli utenti finché non si disconnettono esplicitamente o chiudono la finestra del browser. Questo può essere un problema per i siti WordPress con informazioni sensibili. Ecco perché i siti web e le app delle istituzioni finanziarie disconnettono automaticamente gli utenti se non sono stati attivi.

Per risolvere questo problema, è possibile installare e attivare il plugin Logout utente inattivo. Dopo l’attivazione, vai su Impostazioni »Pagina di disconnessione utente inattiva e inserisci l’ora dopo la quale vuoi che gli utenti vengano disconnessi automaticamente.

Per maggiori dettagli, consulta il nostro articolo su come disconnettere automaticamente gli utenti inattivi in WordPress.

In conclusione

Speriamo che questo articolo ti abbia aiutato ad apprendere alcuni nuovi suggerimenti e hack per proteggere la tua area amministrativa di WordPress.
E tu quali strategie stai utilizzando per proteggerel’area di amministrazione WordPress?