Proteggere l’accesso alla Bacheca, e cioè all’amministrazione di WordPress, è fondamentale per prevenire attacchi e tenere al sicuro i dati del tuo sito.
Sebbene sia abbastanza ovvio, purtroppo molte persone si accorgono troppo tardi che proteggere l’accesso a WordPress sia di vitale importanza. Alcuni pensano che WordPress o l’hosting siano già abbastanza sicuri per natura, senza dover prendere altri accorgimenti.
Altri credono che sia sufficiente attivare l’HTTPS per evitare problemi. In realtà, per quanto questi accorgimenti siano importanti, non possono proteggere da soli il tuo sito. Ci sono altre azioni fondamentali che dovrai applicare per rendere l’accesso al tuo sito sicuro come se fosse una cassaforte.
Utente, password e autenticazione
Il numero di persone nel mondo che usano ancora “123456” e “qwerty” come password è davvero scioccante. Ma è altrettanto preoccupante la diffusione di “admin” come nome utente per l’account amministratore di un sito WordPress.
La prima regola in assoluto che dovrai seguire fin da subito (se necessario, vai a cambiare le tue credenziali in questo istante!) è usare un nome utente diverso da admin, amministratore, administrator o qualunque altro username altrettanto banale. Allo stesso tempo, è necessario usare password complesse, formate da una combinazione di lettere e numeri, maiuscole e minuscole, caratteri speciali (eventualmente anche i geroglifici)…
No al nome del tuo animale domestico!
No al cognome di tua madre!
NO alla tua data di nascita!
E ora che questo è fatto, passiamo all’autenticazione a due fattori. Sapevi che puoi usare Google Authenticator o Wordfence anche per accedere alla Bacheca di WordPress?
Gli stessi autori di UpdraftPlus, il popolare plugin per i backup, ha sviluppato Two Factor Authentication, che genera una OTP (One Time Password) per effettuare il login su WordPress.
Puoi utilizzare questo metodo in base al ruolo dell’utente, dopo un certo periodo di tempo, con i moduli di WooCommerce, Elementor, bbPress, Gravity Forms e ti consente di impostare dei codici di emergenza da usare se perdi il telefono.
Proteggi la pagina di login
Il tuo utente è così molto più protetto, ma aggiungi uno strato di sicurezza andando a blindare ulteriormente la pagina di login.
Prima di tutto, limita i tentativi di accesso con un plugin come Login Lockdown o Limit Login Attempts Reloaded. Questi plugin bloccano i tentativi di accesso di un utente dopo che ha inserito username o password errati per un numero di volte da te stabilito, prevenendo così gli attacchi di tipo brute force.
Inoltre, usa WPS Hide Login per modificare l’URL della pagina di login a WordPress, affinché sia più difficile da trovare. Tutti i siti WordPress hanno la pagina di login all’indirizzo /wp-login.php preceduto dal dominio. Grazie a questi plugin, puoi impostare uno slug completamente personalizzato e i bot non saranno in grado di rintracciarlo. Tenteranno di accedere alla pagina standard e riceveranno un errore 404.
Livelli avanzati di protezione
Per un sito WordPress ancora più sicuro, specialmente nel caso di e-commerce e siti che elaborano pagamenti, utilizzare plugin per una protezione ulteriore ti permetterà di dormire sonni più tranquilli.
Plugin come Wordfence, Sucuri, iTheme Security, offrono diverse funzionalità avanzate come firewall, scansione malware, protezione da attacchi brute force. In combinazione con un hosting di qualità eccellente che sa come proteggere il tuo sito, ridurrai notevolmente il rischio di attacchi.
Cosa fare se non ti fidi di nessuno
Tutte le impostazioni viste finora ti aiutano a proteggerti da attacchi esterni, ma cosa fare per proteggerti invece dagli utenti che concretamente hanno accesso al tuo sito?
Se hai dei collaboratori, ti consiglio di creare il loro utente basandoti sull’effettiva mansione che svolgono. Non serve dare il ruolo Amministratore a un articolista, così come non puoi dare il ruolo Collaboratore a un SEO Manager.
Il ruolo di Amministratore dovrebbe essere concesso solo alle persone che hanno la responsabilità di lavorare sui codici, creare altri utenti, installare e rimuovere plugin e temi…
Se sei in difficoltà perché hai bisogno di personalizzare i permessi di un utente, usa il plugin User Role Editor e assegna le funzioni necessarie, senza dover per forza creare un utente Admin.
Nei casi più delicati, valuta le restrizioni per indirizzo IP. È infatti possibile concedere l’accesso alla tua Bacheca solo a determinati indirizzi IP, escludendo tutti gli altri. Queste limitazioni possono essere applicate inserendo determinate istruzioni nel file .htaccess e sono da utilizzare con estrema cautela: rischi di chiudere te stesso fuori dal tuo sito!
Se hai bisogno di applicare regole particolarmente restrittive per proteggere al massimo il tuo sito, è meglio evitare di procedere in autonomia, a meno che tu non sia un esperto. È molto meglio fidarsi di un professionista: richiedi il nostro servizio di messa in sicurezza!
Le raccomandazioni della nonna
Vorrei concludere questo articolo con le raccomandazioni che probabilmente non hai bisogno di sentirti dire, ma è sempre meglio ricordare.
La prima è quella di effettuare backup frequenti e regolari, sia dalle funzioni del tuo hosting, sia utilizzando un plugin WordPress. Qualsiasi cosa dovesse succedere al tuo sito, compreso un accesso alla Bacheca non autorizzato che distrugge tutto il tuo lavoro, avrai sempre una copia di tutti i tuoi dati. In pochissimo tempo potrai recuperare tutto il tuo lavoro, e non è roba da poco.
La seconda è quella di aggiornare tutto il tuo sito con regolarità, e cioè WordPress, temi e plugin. Presta particolare attenzione agli aggiornamenti di sicurezza e rimani informato sulle ultime vulnerabilità riscontrate.
Si tratta di un’attività che richiede un certo impegno ma se non hai tempo di occupartene puoi chiedere aiuto a noi. Contattaci per attivare un piano di manutenzione personalizzato e noi penseremo a tenere tutto in ordine!
Se adotti il prima possibile queste misure per aumentare la sicurezza dell’accesso alla Bacheca di WordPress, il tuo sito sarà immediatamente più protetto da possibili minacce.
Una volta reso più sicuro il tuo sito WordPress, ricorda di effettuare controlli di sicurezza periodici per assicurarti che tutte le misure implementate siano attive e funzionanti e che non vengano rilevate attività sospette.
