Condividi questo contenuto!
Di tanto in tanto gli hacker possono provare a entrare nel tuo sito WordPress indovinando la tua password di amministratore. Per impostazione predefinita, WordPress consente agli utenti di provare password diverse tutte le volte che vogliono. Questo è anche noto come attacco di forza bruta (brute force). Tuttavia, puoi modificare il numero di tentativi di accesso disponibili e aggiungere un ulteriore livello di sicurezza al tuo sito WordPress. In questa guida ti mostreremo come e perché limitare i tentativi di login e obbligare gli utenti a password complesse in WordPress.
Perché è necessario limitare i tentativi di login in WordPress?
Per impostazione predefinita, WordPress consente agli utenti di inserire le password tutte le volte che vogliono. Gli hacker possono tentare di sfruttare questa cosa utilizzando script che inseriscono combinazioni diverse fino a quando il tuo sito Web non si rompe.
Per evitare ciò, è possibile limitare il numero di tentativi di accesso non riusciti per utente. Ad esempio, puoi bloccare temporaneamente l’utente dopo 5 tentativi falliti.
Se qualcuno ha più di 5 tentativi falliti, il tuo sito blocca il suo IP per un periodo temporaneo in base alle tue impostazioni. Puoi bloccarlo per 5 minuti, 15 minuti, 24 ore e anche di più.
Come limitare i tentativi di accesso in WordPress?
La prima cosa che devi fare è installare e attivare il plugin Login LockDown . Al momento dell’attivazione, è necessario visitare la pagina Impostazioni »Login LockDown dalla dashboard di WordPress per configurare le impostazioni del plug-in.
Per prima cosa devi definire quanti tentativi di accesso possono essere fatti (Max Login Retries). Successivamente, scegliere per quanto tempo un utente non sarà in grado di riprovare se supera i tentativi falliti (Retry Time Period Restriction).
È inoltre possibile definire il periodo di blocco per un particolare blocco IP. Il valore predefinito è 60 minuti, è possibile modificarlo se necessario.
Il plug-in consentirà agli utenti di continuare a provare diversi nomi utente non validi. Fare clic su Sì sotto l’opzione Blocca nomi utente non validi (Lockout Invalid Username) per interrompere ciò.
Per impostazione predefinita, WordPress informa gli utenti che hanno inserito un nome utente non valido o una password non valida in accessi non riusciti. Puoi nasconderlo facendo clic su Sì sotto l’opzione “maschera errori di accesso (mask login errors)” .
Non dimenticare di fare clic sul pulsante “Aggiorna impostazioni (Update Settings)” per memorizzare le modifiche.
Come obbligare gli utenti a scegliere password complesse in WordPress
Il primo livello di protezione per i tuoi siti WordPress sono le tue password. Dovresti sempre usare password complesse sul tuo sito WordPress.
Mentre WordPress ha un misuratore di forza della password che mostra all’utente quanto è forte la sua password, non ne rinforza la forza. Avere un amministratore o un utente a livello di editor con una password debole può presentare un rischio per la sicurezza.
Per farlo basta usare il plug-in Force Strong Passwords . Questo plugin duplica il controllo di sicurezza della password JavaScript di WordPress in PHP e obbliga gli utenti con poteri esecutivi a utilizzare una password complessa.
Quindi praticamente qualsiasi utente che ha la capacità di pubblicare post, caricare file o modificare post pubblicati deve avere una password complessa. Ciò significa tutti i ruoli utente eccetto quelli di Contributor e Subscriber.
Tutto quello che devi fare è installare e attivare il plugin. A tutto il resto penserà lui senza che tu faccia niente.
E’ tutto! Ci auguriamo che tu abbia imparato come limitare i tentativi di login e obbligare gli utenti a password complesse in WordPress.
Condividi questo contenuto!
Related Posts
