Rendi sicuro il Login
La pagina di Login è certamente la parte più importante del tuo sito web e la prima da mettere in sicurezza.
Se un malintenzionato ottiene i tuoi dati d’accesso all’amministrazione (ed, ancora peggio, al database) gli hai consegnato la possibilità di far tranquillamente quel che vuole del tuo sito.
Le chiavi d’accesso, come noto, sono due: l’username e la password.
Di base, durante l’installazione di WordPress l’username di amministrazione viene definita in “Admin“. Occorre, invece, cambiarla da subito per non permettere ad un malintenzionato di concentrarsi sulla sola password con un attacco “bruteforce” (attacchi automatizzati che provano di continuo migliaia di combinazioni username+password per cercare di trovare quella giusta).
Anche dopo l’installazione del CMS è possibile, comunque, risolvere questo problema di sicurezza: crea un nuovo utente, assegnargli i poteri di amministratore e, quindi, cancella l’utente “Admin”.
Per quanto riguarda la password, essa deve essere sufficientemente lunga (una password di 12 caratteri è un buon equilibrio) e complessa (fatta di lettere maiuscole, minuscole, numeri e caratteri speciali).
Puoi ottenere delle password sicure tramite il sito web Passwords Generator.
È indispensabile, poi, l’installazione di un plugin che limiti il numero di tentativi d’inserimento dei dati d’accesso.
Limit Login Attempts, in proposito, può fare al caso tuo: limitando il numero di tentativi e bloccando la possibilità di login per un certo numero di minuti al raggiungimento di tale limite può sicuramente rendere più difficile, o impossibile, un attacco alla password col metodo automatizzato”bruteforce“.
Il Login va difeso con un ulteriore plugin che rende più difficili gli attacchi automatizzati (robot). Il plugin Captcha, ad esempio, consente d’implementare questa forma di sicurezza: protegge il tuo sito dallo spam per mezzo di logica matematica, facilmente comprensibile agli esseri umani, ma che sicuramente mette in difficoltà un robot.
All’interno di tale genere di plugin, uno dei più utilizzati è Captcha by BestWebSoft.
È buona norma, infine, sempre al fine di limitare i rischi per il tuo sito Web, impedire la registrazione di nuovi Utenti quando non necessario e, comunque, quella di cancellare gli Utenti inattivi.