Sicurezza di accesso
Questo tutorial riguarda i seguenti argomenti:
Le opzioni in questa pagina ti aiuteranno a mettere in sicurezza il tuo pannello amministratore wp-admin di WordPress da vari tipi di attacco.
Sicurezza di accesso
Per impostazione predefinita, chiunque può accedere alla pagina di accesso di WordPress. Puoi utilizzare questa funzionalità per consentire l’accesso a wp-admin solo dal tuo IP. Se stai utilizzando un IP dinamico, puoi inserire nella whitelist l’intervallo di possibili IP che il tuo ISP potrebbe assegnarti per evitare problemi di accesso al pannello di amministrazione di WordPress.
URL Login personalizzato
L’URL di accesso predefinito di WordPress è un obiettivo comune di aggressori e bot SPAM. Con il plugin Security Optimizer hai la possibilità di cambiare l’URL in uno personalizzato ed evitare tali attacchi. Se hai abilitato la registrazione utente per il tuo sito web, puoi anche modificare l’URL di registrazione predefinito.
Autenticazione a due fattori per amministratori e editor
La verifica a due fattori è uno dei modi più semplici e sicuri per proteggere i tuoi dati dall’hacking e dal furto di identità. Funziona combinando qualcosa che solo tu conosci (nome utente e password) con qualcosa a cui solo tu hai accesso (il tuo smartphone).
Quando lo abiliti, oltre al tuo normale nome utente e password, inizierai a utilizzare una seconda password generata da un’applicazione sul tuo smartphone. Pertanto, anche se uno dei due fattori è compromesso, i tuoi dati sono comunque al sicuro.
Quando abiliti questa opzione, a tutti gli utenti amministratori ed editor verrà chiesto di configurare la loro autenticazione a due fattori al loro prossimo accesso.
Scansione il codice QR sulla pagina con l’app Google Authenticator sul tuo telefono e inserisci il codice di sei cifre per poter effettuare l’accesso.
I codici di backup possono essere utilizzati nel caso in cui tu abbia perso l’accesso alla tua app di autenticazione. Vengono generati al momento della configurazione 2FA e visibili in wp-admin > Utenti > Profilo. Una volta utilizzato, un codice di backup verrà rimosso dall’elenco e non sarà più possibile utilizzarlo. Se vengono utilizzati più di 5 codici di backup, verrà generato automaticamente un nuovo batch di codici e sarà disponibile per l’uso.
Disabilita i nomi utente comuni
L’utilizzo di nomi utente comuni come “admin” è una minaccia alla sicurezza che spesso provoca accessi non autorizzati. Abilitando questa opzione disattiveremo la creazione di nomi utente comuni e se hai già uno o più utenti con un nome utente debole, ti chiederemo di fornirne uno nuovo. Inoltre, quando viene attivata o disattivata, apparirà una finestra pop-up in cui potrai scegliere un nuovo nome utente e sostituire automaticamente quelli deboli esistenti.
Limitare i tentativi di accesso
Imposta un limite al numero di volte in cui un determinato utente può tentare di accedere al tuo wp-admin con credenziali errate. Una volta raggiunto il limite di tentativi di accesso, l’IP da cui hanno avuto origine i tentativi verrà bloccato dall’accesso alla tua pagina di accesso per 1 ora e verrà aggiunto nella scheda Bloccati della pagina Activity log. Se i tentativi continuano dopo la prima ora, il blocco verrà poi impostato per 24 ore e successivamente per 7 giorni. Puoi rimuovere manualmente il blocco in qualsiasi momento nella pagina Activity log > scheda Bloccato > menu contestuale in Azioni accanto all’IP che desideri sbloccare.
