Migliorare la sicurezza del proprio sito è un aspetto fondamentale, sia per chi lo gestisce sia per gli utenti che lo visitano, e vale sia per grandi siti di eCommerce che per i piccoli blog.
Come già descritto nel precedente articolo Come rilevare accessi indesiderati per un sito creato con WordPress ogni giorno bot e software di hacking tentano di accedere ai blog online, indifferentemente dalla fama, grandezza o tipo di sito.
Il discorso vale anche per i siti creati con WordPress, dove è facile recapitare informazioni riguardo codice, funzioni e struttura del CMS, rendendo più semplice il lavoro ad eventuali hacker.
In questo articolo descriverò come poter migliorare la sicurezza in fase di accesso, ma è necessario prima di tutto comprendere il sistema di login di WordPress.
Di default la pagina di accesso è wp-login.php, inoltre utenti meno attenti o alle prime armi avranno come nickname admin accompagnate da password poco efficaci. Mettiamoci anche la possibilità di accessi illimitati e… saremo vittime certe di attacchi di brute force.
Per Brute force si intende attacchi ripetuti da parte di software di hacking e bot, con altissima frequenza.
Partendo dalle informazioni descritte, qui possiamo già capire cosa dobbiamo fare per aumentare il livello di sicurezza del nostro sito.
Cambiare immediatamente nickname e password; utilizzare lettere, simboli e numeri per entrambi, e cosa importante, impostare un nickname di accesso differente dal che verrà nome visualizzato nel sito o blog.
Eliminare definitivamente l’account admin. Nel caso ci fossero articoli creati dall’account admin, cambiare prima l’autore con il nuovo account ai singoli post, e poi procedere all’eliminazione.
Per questa procedura, sarà necessaria l’installazione di un plugin.
Ne esistono svariati, ma consiglio Limit Login Attempts Reloaded per la sua semplicità d’uso.
Permette di impostare un limite di tentativi di accesso prima di bloccare l’indirizzo IP dell’utente, il tempo di blocco e la notifica all’email dell’amministratore.
Tramite il plugin sarà possibile anche aggiungere nomi utenti specifici o indirizzi IP in una Blacklist e bloccarli in modo definitivo.
Seguiti questi semplici passaggi, saranno bloccati gran parte degli attacchi esterni, e migliorata di molto la sicurezza globale del sito.
Migliora la sicurezza! Leggi anche: Come bloccare gli indirizzi IP indesiderati con Cloudflare