In questo breve articolo descriverò un metodo semplice su come proteggere l’accesso al proprio sito web creato con WordPress da login esterni indesiderati a attacchi.
Consiglio vivamente di mettersi al sicuro da tentativi di accesso indesiderati, perché ho constatato personalmente la necessità proteggere il sito sotto questo aspetto dopo aver ricevuto oltre 7300 tentativi di accesso esterni di bot nel primo mese dalla pubblicazione.
Esistono molte tecniche e molti plugin che si occupano della protezione del sito web WordPress, e qui ne vedremo alcuni specifici per la protezione della pagina di login.
N.B. il primo vero consiglio che posso dare, anche se banale e scontato, è di utilizzare password complesse e sicure.
Utenti malintenzionati con infiniti tentativi di inserimento della password, potrebbe essere un problema, soprattutto se possediamo password poco sicure.
Per risolvere il problema e proteggere il sito da login infiniti va impostato un limite di tentativi di accesso agli account, ed il metodo più facile utilizzare uno dei tanti plugin come Limit Login Attempts Reloaded;
Il plugin è molto semplice da configurare, basta digitare il numero massimo di tentativi possibili e il tempo di attesa dopo averli esauriti prima di poter riprovare.
Una feature utile è l’invio di una email automatica all’admin dopo che un utente ha esaurito tutti i tentativi di accesso possibili.
Anche in questo caso per scoraggiare i bot estranei, consiglio l’utilizzo di codici CAPTCHA per validare i login, si può fare con un plugin specifico, e in questo caso ho trovato molto utile Siteguard WP, che non solo permette di aumentare il livello di sicurezza generale del sito, ma grazie ad esso sarà possibile anche impostare la convalidazione CAPTCHA per il login.
Di default il nome utente di amministratore del sito WordPress sarà impostato con il nome admin, a meno che non sia stato cambiato in fase di configurazione iniziale.
Buona regola è cambiare subito questo nome con uno più complesso, ed eliminare definitivamente l’account nominato admin.
La pagina di accesso al pannello amministratore di WordPress, come tutti sanno è wp-login.php.
Per aumentare il livello di sicurezza è possibile cambiare l’URL di accesso (passando da miosito.com/wp-login.php a /accedi o /login per esempio).
Per questa procedura esistono anche in questo caso svariati plugin, anche lo stesso Siteguard WP nominato in precedenza.
Seguiti questi semplici passaggi, il sito risulterà più sicuro sotto diversi fattori.
Se hai bisogno di più sicurezza ti consiglio di leggere come bloccare e impedire attacchi di brute force da CloudFlare.
Mostra commenti
Salve Simone
Sto cercando un plugin oppure se possibile tramite qualche codice, la possibilità di visualizzare un sotto dominio solo da smartphone oppure tablet, se l’utente si collega tramite pc mi servirebbe che viene fuori un messaggio di testo dove indica che per vedere il sito deve collegarsi dallo smartphone, oppure ancora meglio la possibilità di una schermata personalizzata che comunica sempre di collegarsi tramite smartphone o tablet per vedere il sito.
Grazie mille
Ciao Luigi.
Quello che cerchi di fare semplice e complesso allo stesso tempo. Lato client(user) ci sono differenti metodi per "bloccare" utenti desktop (magari reindirizzandoli su un'altra pagina dedicata). Il sistema più facile è tramite JavaScript, identificando l'user-agent(o browser) in uso ed eseguendo lo script di reindirizzamento. Purtroppo però gli user-agent sono tantissimi e non funzionerebbe bene. Inoltre è possibile bypassare il limite molto facilmente.
Un metodo più facile e affidabile sarebbe quello di rilevare le dimensioni del dispositivo in uso, un esempio di codice:
if(window.innerWidth > 1280){location.href = "https://www.miosito.com/desktop-user";
}
Probabilmente esistono anche metodi server-side più affidabili, ma che meriterebbero un articolo a parte e una spiegazione più dettagliata.
Spero di esserti stato d'aiuto.
P.S. Questo sito fornisce uno script per l'identificazione dei dispositivi mobili, potrebbe esserti utile: http://detectmobilebrowsers.com/
Ciao Simone grazie mille per la risposta
Quindi verrà solo bloccata la visione tramite pc, non è possibile far comparire una schermata personalizzata giusto? il codice e da intervenire in che sezione? grazie e scusami per il disturbo.
Il codice che ti ho indicato è un esempio di come potresti integrare la funzione che hai richiesto.
if(window.innerWidth > 1280){location.href = "https://www.miosito.com/desktop-user.html";
}
Letteralmente significa che: se il dispositivo ha una risoluzione di 1280 px in larghezza, l'utente verrà reindirizzato a un altra pagina (chiamata per esempio "desktop-user.html").
Per questioni pratiche ti consiglio un reindirizzamento, più che una modifica alla pagina stessa.
Altrimenti puoi scrivere qualsiasi istruzione nelle parentesi graffe {...}.
Torna a visitarci fra qualche giorno, proverò a scrivere un articolo dedicato a questo argomento :)
Simone ti ringrazio sei un grande
Vabbè già ti seguo per altre dritte che sono state utili, spero di trovare nei prossimo giorni una guida sempre ben dettagliata come sempre :) spero sia possibile anche personalizzare la schermata di avviso
simone grazie ancora.