12 migliori consigli e tecniche per proteggere l'area amministrativa di WordPress

Pubblicato: 2023-05-01

In questo blog, discuteremo delle migliori tecniche per proteggere efficacemente l'area di amministrazione dei tuoi siti Web WordPress.

Le persone spesso pensano che il loro sito web sia troppo piccolo perché gli hacker possano interessarsene. Ma sarebbe un grosso errore. Qualsiasi sito Web può essere vulnerabile a minacce informatiche come spam, malware, attacchi bruti, iniezioni SQL, ecc. Inoltre, gli hacker potrebbero persino utilizzare il tuo sito Web per diffondere malware ad altri siti Web.

Ovviamente, non vorrai svegliarti un giorno e scoprire che il tuo sito web è stato violato e tutti i tuoi dati sensibili sono trapelati. Quindi, sarebbe meglio rafforzare l'area di amministrazione del tuo sito Web WordPress con alcuni strumenti affidabili.

Sommario mostra
  • I migliori suggerimenti e tecniche per proteggere l'area di amministrazione dei tuoi siti Web WordPress
    • 1. Aggiornamento della versione di WordPress
    • 2. Plugin di sicurezza
    • 3. Modificare il nome utente e la password dell'amministratore
    • 4. Crea un URL di accesso personalizzato
    • 5. Limita i tentativi di accesso
    • 6. Proteggi la pagina di accesso e l'area di amministrazione con un certificato SSL
    • 7. Proteggi la directory wp-admin con una password
    • 8. Includere un captcha nella pagina di accesso
    • 9. Rimuovere il messaggio di errore dalla pagina di accesso
    • 10. Consenti l'accesso a IP specifici
    • 11. Aggiungi un ulteriore livello tramite l'autenticazione a due fattori
    • 12. Password monouso (OTP)
  • Finalmente!

I migliori suggerimenti e tecniche per proteggere l'area di amministrazione dei tuoi siti Web WordPress

WordPress-lavoro-laptop-scrivania-ufficio

Questi suggerimenti per la sicurezza sono molto importanti per proteggere i siti web da vulnerabilità come:

  • Attacco DDoS (Distributed Denial-of-Service): DDoS immobilizza il tuo sito Web sommergendolo con connessioni ridondanti, bloccandolo.
  • SQL injection (SQLi): esegue forzatamente query SQL dannose sul sistema per manipolare i dati.
  • Inclusione di file locali (LFI): LFI forza il sito a elaborare file dannosi posizionati sul server web.
  • Falsificazione di richieste tra siti (CSRF): può costringere gli utenti Web a eseguire azioni indesiderate in un'applicazione Web affidabile.
  • Bypass dell'autenticazione: questa minaccia alla sicurezza consente agli hacker di accedere a risorse sensibili del tuo sito Web senza verifica dell'autenticità.
  • Cross-site scripting (XSS): XSS inietta codice dannoso per trasportare malware attraverso il tuo sito web.

Per assicurarti che il tuo sito web non sia vulnerabile a queste minacce alla sicurezza, assicurati di implementare i suggerimenti e le tecniche menzionate di seguito:

Consigliato per te: 10 motivi per cui il tuo sito Web WordPress ha bisogno di manutenzione.

1. Aggiornamento della versione di WordPress

sync sincronizzazione aggiornamento sincronizzato

Un modo semplice per rafforzare la sicurezza del tuo sito Web è aggiornare WordPress e tutti i plug-in di sicurezza installati alle versioni più recenti. WordPress è open source, quindi i contributori lavorano instancabilmente per migliorare le funzionalità e la sicurezza con ogni nuova versione. Ecco perché dovresti aggiornare il CMS alla sua ultima versione per migliorare la sicurezza del sito web.

2. Plugin di sicurezza

secure-WordPress-admin-plugin-di-sicurezza

Una delle cose migliori di WordPress è che puoi trovare un plug-in per quasi tutte le caratteristiche e funzionalità possibili del sito web. Tuttavia, non tutti i plug-in di sicurezza sarebbero adatti a proteggere la pagina di accesso. Quindi, il modo migliore per rafforzare la sicurezza dell'area di amministrazione del tuo sito Web sarebbe attraverso plugin di WordPress come Sucuri, MalCare, Wordfence, ecc.

Questi plug-in aiutano a bloccare il traffico dannoso senza un minimo impatto sulle prestazioni del sito Web.

3. Modificare il nome utente e la password dell'amministratore

WordPress-Dashboard-Area-Ammin-Aggiungi-Nuovo-Utente

Uno dei primi modi per proteggere il sito Web è modificare il nome utente e la password predefiniti. Per ogni installazione di WordPress, il primo nome utente di accesso per impostazione predefinita è Admin. Questo tipo di nome utente è solo un'esca per gli hacker; dopo avrebbero dovuto solo prevedere la password.

Quindi, dovresti cambiare il nome utente e la password in qualcosa di più personalizzato. Innanzitutto, apri la dashboard di WordPress. Selezionare Utenti e fare clic su "Tutti gli utenti".

Anche cambiare il nome utente da "admin" a "mynameisadmin" può aiutare a proteggere il tuo sito web dagli hacker. Quando si tratta di password, c'è un piccolo display che mostra quanto sia forte. Quindi, prova diverse password con combinazioni di lettere maiuscole e minuscole, simboli e numeri finché non sei soddisfatto di una. Assicurati sempre che la password sia il più sicura possibile per proteggere il sito Web dagli hacker. Gli esperti suggeriscono persino di utilizzare simboli e numeri invece di lettere nelle password per renderle più oscure. Ad esempio, se vuoi che la tua password sia "California", scegli invece qualcosa come "[email protected][email protected]". Ciò renderà più difficile indovinare.

Spesso, quando le persone tentano di accedere da qualche parte non dovrebbero, si concentrano solo sulla password e mantengono lo stesso nome utente durante i diversi tentativi. Quindi, cambiare sia il nome utente che la password sarebbe un'ottima idea.

4. Crea un URL di accesso personalizzato

website-safety-security-https-ssl-secure-socket-layer

Puoi accedere alla pagina di accesso di qualsiasi sito Web WordPress scrivendo /wp-login.php dopo il suo URL. Ad esempio, se l'URL del tuo sito Web WordPress è www.mywebsitename.com, puoi accedere alla sua pagina di accesso tramite www.mywebsitename.com/wp-login.php.

Un accesso così semplice alla pagina di accesso rende il tuo sito Web più vulnerabile alle minacce informatiche. Quindi, cambia lo slug dell'URL di accesso in qualcosa di più personalizzato tramite plug-in come WPS Hide Login. Questo plugin cambia l'URL della pagina del modulo di accesso in qualsiasi cosa desideri e rende inaccessibili la directory wp-admin e la pagina wp-login.php. Quindi, sarebbe meglio aggiungere queste pagine ai segnalibri in quanto potresti perderle.

Dopo aver installato WPS Hide Login, vai su Impostazioni e seleziona WPS Hide Login sulla dashboard di WordPress. Quindi, inserisci un nuovo URL nel campo URL di accesso e salva le modifiche. Successivamente, le pagine di amministrazione del tuo sito Web saranno accessibili solo attraverso queste pagine.

Quindi ora, anche se qualcuno ha il tuo nome utente e la tua password a tua insaputa, non sarà comunque in grado di accedere alla tua pagina di accesso, il che è un enorme sollievo. Ecco perché gli URL di accesso personalizzati sono sempre inclusi nello sviluppo personalizzato di WordPress.

5. Limita i tentativi di accesso

Secure-WordPress-Dashboard-Admin-Area-WordFence-Brute-Force-Protezione

Sapevi che anche se gli hacker potrebbero non conoscere la password del tuo sito Web, possono comunque violare il tuo sito Web? Attraverso script automatizzati, possono provare migliaia di potenziali password in pochissimo tempo per trovare quella giusta e alla fine avere successo. Per evitare che ciò accada, puoi limitare i tentativi di accesso al tuo sito web.

A tale scopo, WordPress ha alcuni plugin come Wordfence Security e Login Lockdown nella libreria ufficiale che potrebbero essere di aiuto. Dopo aver installato uno di questi plugin, puoi definire le impostazioni per quanti tentativi di accesso saranno consentiti e per quanto tempo la persona sarà bloccata dopo aver superato il limite di accesso.

Ad esempio, puoi impostare un limite al numero di tentativi a 3 e il tempo di blocco a 24 ore. Quindi, se qualcuno ha più di 3 tentativi falliti, il suo IP verrà bloccato per le successive 24 ore, dopodiché potrà riprovare.

6. Proteggi la pagina di accesso e l'area di amministrazione con un certificato SSL

Certificato HTTP-a-HTTPS-SSL

A volte, potresti dover accedere al tuo sito Web su una rete pubblica, lasciandolo vulnerabile agli hacker in una situazione di attacco arbitrario. Su una rete pubblica, gli hacker possono accedere alle tue richieste HTTP e vedere le tue credenziali di accesso chiaramente come il giorno.

Per prevenire questi attacchi arbitrari, puoi utilizzare un login SSL, attraverso il quale puoi accedere al tuo sito Web tramite HTTPS. Di solito, puoi avere un certificato di accesso SSL dal provider di hosting. In caso contrario, dovrai acquistarne uno e configurarlo sul server del tuo sito web.

Se hai già un certificato SSL sul tuo sito web da eseguire su HTTPS, apri il tuo file wp-config.php e modificalo come tale:

 // Use SSL (HTTPS) for the login page. define ('FORCE_SSL_LOGIN', true); // Use SSL (HTTPS) for the whole admin area. define ('FORCE_SSL_ADMIN', true);

Con FORCE_SSL_LOGIN, la tua pagina di accesso si aprirà solo su HTTPS e la connessione sicura verrà mantenuta in tutta l'area di amministrazione del tuo sito web. Ecco perché quando assumi sviluppatori WordPress, una delle prime configurazioni di sicurezza di cui si occupano è l'utilizzo di un certificato SSL per la pagina di accesso e l'area di amministrazione.

Ti potrebbe piacere: Vuoi creare un sito Web WordPress? Segui questi 13 semplici passaggi.

7. Proteggi la directory wp-admin con una password

e-mail-suggerimenti-per-la-sicurezza-crea-una-password-unica

Proteggere con password la directory "wp-admin" è come aggiungere un secondo livello di sicurezza al tuo sito Web e alla sua area di amministrazione di WordPress. Uno dei modi migliori per affrontarlo sarebbe attraverso le impostazioni "Directory Privacy" del tuo hosting. Se stai utilizzando un host web cPanel per proteggere con password la tua directory wp-admin, puoi anche utilizzare cPanel Password Protection su una directory.

8. Includere un captcha nella pagina di accesso

pagina di login wordpress

I captcha nell'area di amministrazione possono aiutare a prevenire attacchi informatici di forza bruta guidati da script automatizzati. Puoi aggiungere un captcha alla tua pagina di accesso tramite plugin di WordPress come Google reCAPTCHA, reCaptcha di BestWebSoft, WPForms, ecc.

Questa tecnica è abbastanza efficace per fermare i tentativi di hacking tramite script automatizzati.

9. Rimuovere il messaggio di errore dalla pagina di accesso

WordPress-Admin-Area-Login-Pagina

Compreso un captcha, ci sono tre cose che gli hacker vorrebbero ottenere direttamente per accedere al tuo sito web. Di solito, quando tentano di accedere e falliscono, viene visualizzato un messaggio di errore che indica che una o più credenziali non sono corrette.

Supponiamo quindi che gli hacker inseriscano nome utente, password e captcha e che una delle credenziali sia errata; vedranno un messaggio di errore "Nome utente errato" o "Password errata". In tal caso, sapranno che una delle credenziali è corretta e devono solo lavorare sull'altra.

Ma se rimuovi il messaggio di errore, saranno fuorviati sul fatto che abbiano inserito uno dei due errori o entrambi. Quindi, ricominceranno a lavorare su entrambi. Ora, se hai limitato il numero di tentativi di accesso oltre a questa strategia, ti farà guadagnare più tempo contro gli hacker.

Quindi, rimuovi il messaggio di errore dalla pagina di accesso.

10. Consenti l'accesso a IP specifici

403-proibito-HTTP-codice di errore

È possibile limitare l'accesso a IP statici specifici per proteggere il sito web. Se conosci il tuo indirizzo IP, forniscigli l'accesso tramite il file .htaccess dalla cartella wp-admin.

Basta aprire la cartella wp-admin, modificare un file chiamato .htaccess e aggiungere questo codice:

 order deny, allow # Replace 99.99.99.99 with the desired IP address allow from 99.99.99.99 # Allow more IP addresses to access the wp-admin area by uncommenting the line below and editing the IP address # allow from 98.98.98.98 deny from all

Tutto quello che devi fare è sostituire 99.99.99.99 con il tuo IP o quello a cui vuoi dare accesso.

Quindi ora, se qualcuno senza accesso prova ad accedere, vedrà questo messaggio.

11. Aggiungi un ulteriore livello tramite l'autenticazione a due fattori

accesso-allarme-home-autenticazione-blocco-sicurezza-protezione-passcode-secure-WordPress-admin-2fa

Un altro modo per rafforzare la sicurezza del tuo sito Web è utilizzare un plug-in di WordPress per aggiungere un altro livello con l'autenticazione a due fattori. Tutto quello che devi fare è installare e configurare un plug-in come WP 2FA e il tuo sito Web sarà al sicuro da minacce informatiche come script automatici e attacchi di forza bruta.

12. Password monouso (OTP)

secure-WordPress-admin-OTP-safety-security-internet-password-lock

Come suggerisce il nome, le password monouso ti consentono di accedere al sito Web tramite una password valida solo una volta. Ricevi queste password nella tua posta o numero di cellulare. Poiché le OTP vengono inviate tramite posta e numero di cellulare e sono valide per una sola sessione, non dovrai preoccuparti che la tua password principale venga rubata durante l'accesso da luoghi come i cybercafè. Inutile dire che alcuni plugin di WordPress possono aiutare ad aggiungere una funzione OTP alla tua pagina di login.

Queste tecniche aiuteranno a proteggere l'area di amministrazione del tuo sito Web WordPress da minacce informatiche come attacchi di forza bruta, spam, bot dannosi, iniezioni SQL e, soprattutto, script automatici (per la generazione di password).

Potrebbe piacerti anche: Cos'è lo schema? Come aggiungere il markup dello schema al tuo sito Web WordPress?

Finalmente!

realizzazione-azienda-marketing-successo-pollice-su-vincere-conclusione

Quando progetti un nuovo sito Web WordPress, il pensiero che venga violato è tutt'altro che lontano. Ma è ancora una possibilità. Pertanto, è necessario rendere la sicurezza una parte distinta dello sviluppo personalizzato di WordPress per proteggere e proteggere l'area di amministrazione in modo che gli hacker non possano accedere alle informazioni sensibili del tuo sito web.

Ecco perché abbiamo elencato questi suggerimenti e tecniche come aggiornamenti di WordPress, plug-in di sicurezza, OTP, password crittografate, autenticazione a due fattori, captcha, ecc., per garantire che il tuo sito web sia al sicuro dagli hacker. Assicurati di discutere queste tecniche quando assumi sviluppatori WordPress per creare un nuovo sito Web o aggiornare quello vecchio.

Autore: Palak Shah

Questo articolo è stato scritto da Palak Shah. Palak è una scrittrice di contenuti di qualità per WPWeb Infotech e adora scrivere di WordPress, tecnologia e piccole imprese. È un'incredibile giocatrice di squadra e lavora a stretto contatto con la squadra per ottenere grandi risultati. Guarda Netflix e legge saggistica, autoaiuto e autobiografie di grandi personalità.