Non c'è niente di peggio che scoprire che il tuo sito web è stato compromesso. L'area di amministrazione di WordPress è il principale punto di ingresso per gli hacker, rendendola la parte più critica del tuo sito da proteggere.
Sappiamo che può essere stressante pensare ad attacchi brute force o furti di dati. Molti proprietari di siti web temono di non avere le competenze tecniche per proteggere adeguatamente la loro dashboard.
La grande notizia è che non devi essere un professionista della sicurezza per fare un'enorme differenza. Nella nostra esperienza nella gestione di migliaia di siti WordPress, abbiamo scoperto che pochi semplici cambiamenti sono sufficienti per costruire una difesa solida.
In questa guida, ti illustreremo i consigli più efficaci per proteggere la tua area di amministrazione. Questi semplici passaggi ti daranno tranquillità e manterranno il tuo sito web al sicuro.
Tratteremo molti suggerimenti e puoi utilizzare i collegamenti rapidi qui sotto per saltare tra di essi:
- 1. Usa un Firewall
- 2. Proteggi con password la directory di amministrazione di WordPress
- 3. Usa sempre password complesse
- 4. Usa la verifica in due passaggi sulla schermata di accesso di WordPress
- 5. Limita i tentativi di accesso
- 6. Limita l'accesso di accesso agli indirizzi IP
- 7. Disabilita i suggerimenti di accesso
- 8. Richiedi agli utenti di utilizzare password complesse
- 9. Reimposta la password per tutti gli utenti
- 10. Mantieni aggiornato WordPress
- 11. Crea pagine di accesso e registrazione personalizzate
- 12. Informati sui ruoli e le autorizzazioni degli utenti di WordPress
- 13. Limita l'accesso alla dashboard di WordPress
- 14. Disconnetti gli utenti inattivi
- Domande frequenti sulla protezione dell'amministrazione di WordPress
- Risorse aggiuntive per la sicurezza di WordPress
1. Usa un Firewall
Un firewall per applicazioni web (WAF) monitora il traffico del tuo sito e blocca le richieste sospette prima che possano raggiungere il tuo server. Questa è la tua prima linea di difesa contro i tentativi di hacking.
Sebbene esistano diversi plugin firewall per WordPress, consigliamo un firewall a livello DNS come Cloudflare. I firewall a livello DNS sono più efficaci perché bloccano le minacce al margine della rete, quindi il traffico dannoso non raggiunge nemmeno il tuo sito web.
Su WPBeginner, utilizziamo il piano enterprise di Cloudflare per proteggere il nostro sito web da tentativi di hacking, malware e altre attività dannose. Per istruzioni di configurazione passo passo, consulta il nostro articolo su come configurare il CDN gratuito Cloudflare per il tuo sito web.
Un'altra ottima opzione è Sucuri, che abbiamo utilizzato in precedenza. Per maggiori dettagli, consulta il nostro articolo su perché siamo passati da Sucuri a Cloudflare.
2. Proteggi con password la directory di amministrazione di WordPress
Un altro consiglio che abbiamo trovato estremamente efficace è aggiungere la protezione tramite password alla directory di amministrazione di WordPress. Questo aggiunge un secondo livello di difesa, richiedendo due password separate per accedere alla tua dashboard.
Puoi farlo dal pannello di controllo del tuo hosting web WordPress. Ecco i passaggi per cPanel:
- Accedi alla dashboard cPanel del tuo hosting WordPress e fai clic sull'icona 'Directory Privacy'.
- Seleziona la tua cartella
wp-admin, che si trova in genere all'interno della directory/public_html/. - Seleziona la casella accanto a ‘Proteggi questa directory con password’ e fornisci un nome.
- Fai clic su ‘Salva’, quindi torna indietro per creare un utente con un nuovo nome utente e password.
Ora, chiunque tenti di accedere alla tua pagina di accesso amministratore vedrà prima una richiesta di autenticazione.
Questo blocca la maggior parte degli attacchi automatizzati dei bot.
Per istruzioni più dettagliate, consulta la nostra guida su come proteggere con password la directory di amministrazione di WordPress (wp-admin). Tieni presente che questi passaggi sono per host che utilizzano cPanel. Se utilizzi un pannello di controllo diverso, consulta la documentazione del tuo host.
3. Usa sempre password complesse
Devi utilizzare password forti e complesse per tutti i tuoi account WordPress. Password deboli sono uno dei motivi più comuni per cui i siti web vengono hackerati.
Una password forte utilizza una combinazione di lettere maiuscole e minuscole, numeri e caratteri speciali (!, #, @, %, ecc.). Più è lunga, più sarà sicura.
È quasi impossibile ricordare decine di password complesse. Ecco perché tutto il nostro team di WPBeginner utilizza un'app di gestione password come 1Password per generare e archiviare in modo sicuro password uniche per ogni servizio.
Per maggiori informazioni su questo argomento, consulta la nostra guida sul miglior modo per gestire le password per i principianti di WordPress.
4. Usa la verifica in due passaggi sulla schermata di accesso di WordPress
La verifica in due passaggi, nota anche come autenticazione a due fattori (2FA), aggiunge un ulteriore livello di sicurezza critico. Utilizziamo la 2FA non solo sui nostri siti web WordPress ma su tutti i nostri account online dove l'opzione è disponibile.
Dopo aver inserito la tua password, devi anche fornire un codice sensibile al tempo generato da un'app sul tuo telefono, come 1Password o Authenticator. Anche se un hacker ruba la tua password, non sarà in grado di accedere senza il tuo telefono.
Per istruzioni dettagliate passo dopo passo, consulta la nostra guida su come impostare la verifica in 2 passaggi in WordPress utilizzando Google Authenticator.
5. Limita i tentativi di accesso
Per impostazione predefinita, WordPress consente agli utenti di tentare di accedere quante volte desiderano. Ciò consente agli hacker di utilizzare script automatizzati per provare migliaia di combinazioni di password in quello che è noto come un "attacco di forza bruta".
Puoi fermare facilmente questo installando il plugin Limit Login Attempts Reloaded. Dopo l'attivazione, vai su Impostazioni » Limita tentativi di accesso per configurare quanti tentativi falliti sono consentiti prima che un indirizzo IP venga temporaneamente bloccato.
Per istruzioni dettagliate, consulta la nostra guida su perché dovresti limitare i tentativi di accesso in WordPress.
Per saperne di più sul plugin, puoi anche consultare la nostra dettagliata recensione di Limit Login Attempts.
6. Limita l'accesso di accesso agli indirizzi IP
Attenzione: Questa è una tecnica avanzata e dovrebbe essere utilizzata solo se si dispone di un indirizzo IP statico (fisso). La maggior parte delle connessioni Internet domestiche utilizza IP dinamici che cambiano regolarmente. Se utilizzi questo metodo con un IP dinamico, ti bloccherai fuori dal tuo sito web.
Se hai un IP fisso, puoi limitare l'accesso alla tua area amministratore solo a quell'indirizzo. Aggiungi semplicemente questo codice al tuo file .htaccess:
Non dimenticare di sostituire i valori 'xx' con il tuo indirizzo IP. Puoi facilmente trovare il tuo indirizzo IP attuale cercando "qual è il mio indirizzo IP" su Google. Se utilizzi più di un indirizzo IP, assicurati di aggiungerli.
Per istruzioni dettagliate, consulta la nostra guida su come limitare l'accesso all'amministrazione di WordPress utilizzando .htaccess.
7. Disabilita i suggerimenti di accesso
Quando un accesso fallisce, WordPress ti dice se il nome utente o la password erano errati. Sebbene utili per gli utenti, questi suggerimenti confermano anche un nome utente valido a un aggressore, rendendo il suo lavoro più facile.
Puoi nascondere questi suggerimenti aggiungendo il seguente codice al file functions.php del tuo tema. Tuttavia, consigliamo di utilizzare un plugin per snippet di codice come WPCode. È un modo molto più sicuro per gestire il codice personalizzato senza rischiare errori del sito.
function no_wordpress_errors(){
return 'Something is wrong!';
}
add_filter( 'login_errors', 'no_wordpress_errors' );
Per maggiori dettagli, consulta la nostra guida su come aggiungere facilmente codice personalizzato in WordPress senza rompere il tuo sito.
8. Richiedi agli utenti di utilizzare password complesse
Se gestisci un sito WordPress multi-autore, un singolo utente con una password debole può creare una vulnerabilità per tutti. Puoi imporre una policy di password complesse per evitarlo.
Per fare ciò, puoi installare e attivare il plugin Solid Security (precedentemente noto come iThemes Security), realizzato dal team di SolidWP.
Quindi, puoi seguire i passaggi della nostra guida completa su come forzare password complesse agli utenti in WordPress.
9. Reimposta la password per tutti gli utenti
Per i siti WordPress multi-utente, puoi migliorare la sicurezza forzando tutti gli utenti a reimpostare le proprie password. Questo è particolarmente utile se sospetti una violazione della sicurezza o vuoi semplicemente imporre una nuova policy di password.
Innanzitutto, installa e attiva il plugin Emergency Password Reset. Dopo l'attivazione, vai alla pagina Utenti » Emergency Password Reset e fai clic sul pulsante 'Reset All Passwords'.
Per istruzioni dettagliate, consulta la nostra guida su come reimpostare le password per tutti gli utenti in WordPress.
10. Mantieni aggiornato WordPress
WordPress rilascia frequentemente nuove versioni per aggiungere funzionalità e correggere vulnerabilità di sicurezza. Utilizzare una versione obsoleta di WordPress, dei tuoi plugin o del tuo tema è uno dei maggiori rischi per la sicurezza che puoi correre.
Assicurati sempre di utilizzare la versione più recente del software core di WordPress, così come di tutti i tuoi plugin e temi. Per maggiori informazioni, consulta la nostra guida sul perché dovresti utilizzare sempre la versione più recente di WordPress.
11. Crea pagine di accesso e registrazione personalizzate
Per i siti che richiedono la registrazione degli utenti, come siti di membership o negozi online, dovresti creare pagine di accesso e registrazione personalizzate.
Questo impedisce agli utenti non amministratori di dover mai vedere o accedere alla schermata di accesso predefinita di WordPress. Offre un'esperienza utente più professionale e ti consente di bloccare completamente l'accesso standard a wp-admin senza influire sui tuoi membri o clienti.
Il modo più semplice per farlo è con un plugin come WPForms, che dispone di un potente addon per la registrazione degli utenti. Per istruzioni dettagliate, consulta la nostra guida su come creare pagine di accesso e registrazione personalizzate in WordPress.
12. Informati sui ruoli e le autorizzazioni degli utenti di WordPress
WordPress dispone di un sistema di gestione utenti integrato con diversi ruoli e capacità. Assegnare il ruolo sbagliato può concedere a un utente molte più autorizzazioni del necessario, creando un potenziale rischio per la sicurezza.
È importante capire cosa può fare ogni ruolo prima di aggiungere utenti al tuo sito. Ecco i 5 ruoli predefiniti:
- Amministratore: Ha pieno accesso a tutte le impostazioni e ai contenuti del sito.
- Editor: Può pubblicare e gestire tutti i post, inclusi quelli di altri utenti.
- Autore: Può pubblicare e gestire solo i propri post.
- Collaboratore: Può scrivere e gestire i propri post, ma non può pubblicarli.
- Abbonato: Può solo accedere e gestire il proprio profilo.
Per una spiegazione completa, consulta la nostra guida per principianti ai ruoli e alle autorizzazioni utente di WordPress.
13. Limita l'accesso alla dashboard di WordPress
Su alcuni siti, determinati utenti potrebbero non aver bisogno di accedere affatto alla bacheca di WordPress. Per impostazione predefinita, qualsiasi utente può accedere e visualizzare l'area di amministrazione, anche se le sue capacità sono limitate.
Per risolvere questo problema, installa e attiva il plugin Remove Dashboard Access. Dopo l'attivazione, vai su Impostazioni » Accesso Bacheca e seleziona quali ruoli utente possono accedere all'area di amministrazione. Gli altri possono essere reindirizzati alla homepage o a un altro URL.
Per istruzioni più dettagliate, consulta la nostra guida su come limitare l'accesso alla bacheca in WordPress.
14. Disconnetti gli utenti inattivi
Gli utenti connessi che si allontanano dai loro computer possono rappresentare un rischio per la sicurezza. Se il loro computer è pubblico o condiviso, qualcun altro potrebbe accedere al loro account.
Puoi risolvere questo problema installando il plugin Inactive Logout. Vai su Impostazioni » Logout inattivo e imposta un limite di tempo. Dopo quel periodo di inattività, gli utenti verranno disconnessi automaticamente.
Per maggiori dettagli, consulta il nostro articolo su come disconnettere automaticamente gli utenti inattivi in WordPress.
Domande frequenti sulla protezione dell'amministrazione di WordPress
Qual è il passaggio più importante per proteggere la mia area di amministrazione di WordPress?
L'utilizzo di un Web Application Firewall (WAF) è il primo passo più critico. Un buon firewall, come Cloudflare o Sucuri, blocca il traffico malevolo prima che raggiunga il tuo sito, prevenendo una vasta gamma di attacchi.
È davvero necessario proteggere con password la directory wp-admin?
Sebbene non sia obbligatorio, è molto efficace. Aggiunge un secondo livello di autenticazione che blocca quasi tutti i bot automatici che tentano di forzare la tua pagina di accesso. È una modifica semplice che aumenta significativamente la sicurezza.
Posso bloccarmi fuori dal mio sito seguendo questi suggerimenti?
Sì, se non stai attento. Il suggerimento di limitare l'accesso al login a specifici indirizzi IP è solo per utenti avanzati con un IP statico. Se utilizzi un normale indirizzo IP dinamico, ti bloccherai fuori. Esegui sempre un backup del tuo sito prima di modificare file come .htaccess.
Risorse aggiuntive per la sicurezza di WordPress
Speriamo che questo articolo ti abbia aiutato ad apprendere nuovi suggerimenti e trucchi per proteggere la tua area di amministrazione di WordPress.
Potresti anche voler consultare le nostre altre guide esperte per mantenere il tuo sito al sicuro:
- La guida definitiva alla sicurezza di WordPress – Passo dopo passo
- I migliori plugin di sicurezza WordPress per proteggere il tuo sito (confronto)
- Come scansionare il tuo sito WordPress alla ricerca di codice potenzialmente dannoso
Se ti è piaciuto questo articolo, iscriviti al nostro canale YouTube per tutorial video su WordPress. Puoi anche trovarci su Twitter e Facebook.
Olaf
Security is simply fundamental, and the admin area is the most important part of WordPress because it controls the entire site. This makes admin-targeted hacking attempts increasingly common, which is logical given that WordPress powers tens of millions of websites. Therefore, the efforts of hackers are becoming more pronounced. This is a list of truly excellent key elements. While it may not be necessary to implement all of them, even a few can significantly enhance website security. The combination of a strong password, two-factor authentication, and limiting login attempts seems so robust that the admin area would be practically unbreakable.
Dennis Muthomi
I have experienced a hacking attempt on my own WordPress site, I particularly like the emphasis on using strong passwords and two-factor authentication. I’d like to add that regularly backing up your website is also crucial in case of a security breach.
Jiří Vaněk
I have used many of your tips and, additionally, I also changed the URL of the administration to prevent potential brute force attacks. Regarding strong passwords, I would also recommend not using the default “admin” user because it is the first user a hacker will try to attack with brute force. Personally, when I install WordPress, I never use the “admin” user but always choose a custom name. It’s a small detail, but it can also contribute to security.
Mrteesurez
I don’t think there will be a way hackers would be able to enter if one is able to implement all these tips and tricks.
I have used some, limiting logging attempt and dashboard access and they worked fine, I will still try to implement others for maximum security.
Jiří Vaněk
WordPress è un sistema complesso e proteggere solo l'amministrazione non è sufficiente. C'è sempre un modo in cui un hacker può attaccarti. Potrebbero prendere di mira FTP per ottenere informazioni sensibili sul database, tentare di sfruttare un MySQL scarsamente protetto o cercare di approfittare di una vulnerabilità appena scoperta in un plugin, tema o in WordPress stesso prima che tu riesca ad aggiornarlo. Pertanto, è sempre bene pensare in modo completo e non dimenticare gli altri elementi del sistema come MySQL, FTP e i componenti di WordPress.
Moinuddin Waheed
Suggerimenti e trucchi indispensabili per la protezione della dashboard di WordPress.
Ho utilizzato l'autenticazione a due fattori per l'accesso amministrativo e anche i limiti di accesso per l'amministratore.
La protezione della dashboard è di estrema importanza poiché può avere gravi ripercussioni se la dashboard viene compromessa.
Non sapevo che potessimo fare così tanti passaggi per proteggere la nostra dashboard.
Grazie per l'elenco esaustivo di suggerimenti per la protezione della dashboard.
Supporto WPBeginner
Lieti di sapere che hai trovato utile il nostro elenco!
Amministratore
Theo
"Questo plugin è stato chiuso dal 23 novembre 2020 e non è disponibile per il download. Questa chiusura è permanente."
So che questo è un articolo vecchio di 3 anni e mezzo!
Sarebbe bello se qualcuno potesse suggerire un'alternativa! Grazie per il tuo tempo!
Supporto WPBeginner
Certamente daremo un'occhiata alle alternative.
Amministratore
Raksa Sav
Se aggiungo qualcuno come amministratore di WordPress, può rimuovermi dall'amministratore o rubare il mio sito WordPress?
Supporto WPBeginner
Ciao Raksa,
Sì, possono rimuovere altri amministratori e prendere il controllo del tuo sito web.
Amministratore
Muchsin
Voglio chiedere
Ho provato la privacy della directory del tutorial in questo articolo e funziona senza problemi, ma c'è un problema: quando provo la funzione di ricerca situata nel menu di navigazione sul mio sito web come utente, mi viene sempre chiesto di inserire il nome utente e la password di quella directory. Come posso risolvere il problema?
Uso il tema Newspaper di tagdiv.
sherizon
qual è il miglior consiglio per avviare un sito web di e-commerce posso usare wordpress?
Supporto WPBeginner
Ciao Sherizon,
Sì, puoi. Consulta la nostra guida su come avviare un negozio online.
Amministratore
Brenda Donovan
Buoni suggerimenti e consigli qui. Ha importanza dove nel file functions.php si inserisce lo script dei suggerimenti del blocco? Basta aggiungerlo in fondo?
Supporto WPBeginner
Ciao Brenda,
Sì, dovresti aggiungerlo in fondo.
Amministratore
Joe
Un altro mezzo molto utile per proteggere il tuo sito WP è usare un accesso che NON SIA ADMIN e non il tuo indirizzo email. Usa un nome utente univoco come WP@#% o qualcosa di folle.
Dragos
Dovresti anche cambiare dove installi la cartella predefinita di wp-admin.
Abhinav S Thakur
Qualcuno può risolvere questo?
Come posso forzare SSL solo per l'amministratore e il resto del sito dovrebbe essere http.
Come wp beginner ha un sito non SSL!
Sto usando WordPress, cPanel
Pinkey
Ciao,
Ho appena avviato un sito web basato sui contenuti e sfortunatamente il mio sito è stato hackerato. Per favore, consigliaci soluzioni adeguate (software/certificati ecc.) per evitare futuri attacchi.
Grazie & cordiali saluti,
Pinkey
Lucy Barret
I suggerimenti che hai aggiunto sono molto utili. Ma per proteggere WordPress, devi dare maggiore enfasi alla sicurezza della tua area di accesso. Devi prestare maggiore attenzione a rafforzare la tua area di accesso amministratore.
John
Qualche idea sul perché eliminare wp-login.php non impedisce gli attacchi di forza bruta? Pensavo fosse una soluzione rapida per un sito che richiede solo il mio accesso, quindi sostituisco il file solo quando necessario?
Aiuto per favore!
Craig
Ottimi consigli a parte la rimozione dei messaggi di amministrazione, se stai riducendo l'esperienza utente a causa della sicurezza, allora non lo stai facendo bene.
Tahir
Collezione intelligente...!!
Talha
Grazie mille. Ho un sito web. Lo configurerò lì.
Pat Fortino
Questo plugin non esiste più: Stealth Login
Puoi raccomandarne un'alternativa?
Grazie
Lori
Mi è stato anche detto di "rimuovere i link alla pagina di amministrazione dal sito in modo che i robot hacker non possano semplicemente seguire un link". Non sono sicuro di cosa significhi, o come potrei farlo... Qualcuno sa cosa significa e potrebbe indicarmi istruzioni passo passo per farlo?
(Non vedo link a una pagina di amministrazione da nessuna parte sul mio sito web, né ricordo che ce ne siano mai stati. L'unico modo in cui accedo alla pagina di amministrazione è andando all'indirizzo /wp-admin.)
Emily Johns
Ottime informazioni!
Per blogger e coder non esperti, suggerisco di installare un plugin di WordPress, per semplificare le cose.
Tra quelli che hai menzionato, ho trovato il plugin “Wordfence Security” una soluzione gratuita per rendere i blog sicuri e più veloci.
Testato e soddisfatto!
Barry Richardson
Avevo l'impressione che il nome utente originale (ad esempio "admin") di un sito WP non potesse essere eliminato, quindi anche se aggiungessimo un nuovo nome utente, l'originale "admin" sarebbe ancora disponibile per un potenziale hacker da sfruttare.
Supporto WPBeginner
Se crei un nuovo account utente con il ruolo di amministratore, allora puoi eliminare in sicurezza l'utente admin.
Amministratore
Sandeep Jinagal
Hyy WPBeginner, prima di tutto stai facendo il meglio del meglio???
E voglio sapere, voglio impostare la mia pagina di accesso come la tua. perché quando provo ad aprire la tua pagina di accesso. mostra un popup per l'accesso. puoi darmi quello strumento.
Supporto WPBeginner
Si prega di consultare la nostra guida su come proteggere con password la directory di amministrazione di WordPress wp-admin.
Amministratore
Kheti
Grazie per questo materiale educativo. Molto utile. Grazie per il buon lavoro e il supporto.
ifaheem
ottimo articolo ma necessita di essere aggiornato. Ci sono alcuni ottimi plugin che svolgono tutti i compiti sopra menzionati con una singola installazione di plugin!
My site was under heavy attacks, fake google bot were always there. I noticed up to 300 Hits from a single IP. the most visited area was wp-admin
Dopo aver eseguito i passaggi precedenti (aggiornarli con qualche ricerca), mi sento un po' più sicuro.
Non installare un plugin senza aver letto almeno 5 recensioni. Ti dicono la verità (vai a una recensione negativa e vedi cosa dice; hanno subito qualcosa di brutto!)
Prince Jain
Thank you for such a great post.
Ma per favore aggiorna quel plugin Stealth Login, non creare un URL personalizzato per la finestra di accesso, invece aggiunge un codice di autorizzazione sotto il nome utente e la password nella finestra di accesso di WordPress.
Inoltre, puoi suggerire un plugin per creare un URL personalizzato per la finestra di accesso?
Mitchell Miller
Stealth Login è stato rimosso dal repository dei plugin di WP.
Ma cambiare il link di wp-login.php è il primo passo per proteggere un sito WordPress.
laya rappaport
Cosa succede quando si forniscono i propri dati di accesso a qualcuno per lavorare sul proprio sito web e questa persona cambia i dati di accesso in modo da non poter più accedere al proprio account WordPress?
James Campbell
Non sono sicuro se ci sia un modo per recuperare le informazioni del tuo sito necessariamente, ma se riesci, crea sempre un nuovo utente e concedi ad altri l'accesso tramite quell'utente specifico. Questo ti permette di limitare l'accesso a determinate aree e puoi anche eliminare il loro accesso quando non è più necessario. Cedere il tuo accesso al tuo sito permette loro di bloccarti.
Lisa Wells
Se qualcuno ha modificato le tue informazioni utente di WordPress, speriamo che tu possa ancora accedere al tuo database tramite, ad esempio, phpMyAdmin. Da lì dovresti essere in grado di creare un nuovo utente amministratore direttamente nelle tabelle:
https://www.wpbeginner.com/wp-tutorials/how-to-add-an-admin-user-to-the-wordpress-database-via-mysql/
user4574
Un altro utile elemento non menzionato sono le autorizzazioni del database. L'utente del database di WordPress generalmente non ha bisogno di avere tutte le autorizzazioni. Nella stragrande maggioranza dei casi necessita solo di ALTER, CREATE, CREATE TEMPORARY TABLES, DELETE, DROP, INDEX, INSERT, LOCK TABLES, SELECT, UPDATE.
Quindi, se lo stai facendo direttamente in mysql, sarebbe:
GRANT ALTER, CREATE, CREATE TEMPORARY TABLES, DELETE, DROP, INDEX, INSERT, LOCK TABLES, SELECT, UPDATE ON .* TO ”@’localhost’;
Se lo fai in cPanel o simili, seleziona semplicemente le caselle appropriate quando concedi le autorizzazioni all'utente del database.
Tanmoy Das
Ottimi consigli per ogni principiante! Voglio sempre cambiare l'URL di accesso ma non so come fare. Grazie per questi consigli.
Derick
@Daniel: Gli hacker ora hanno uno strumento che elenca tutti i tuoi nomi utente, inclusi i ruoli di questi, quindi farlo non ingannerebbe affatto l'hacker.
Thorir
Ho appena installato il plugin Limit Login Attempts sui miei siti WP. Su uno di essi ho notato quasi istantaneamente un blocco, era anche l'unica installazione che si trovava nella root. Tutte le altre sono in una sottodirectory e diverse ore dopo nessuna di esse ha registrato un blocco.
Forse questo è un fattore utile, in termini di sicurezza?
Mary
Ciao, spero tu stia bene!
Questo era un ottimo articolo ma un po' complicato per me.
perché al momento ho bisogno del modo facile, il plugin firewall di WordPress sembrava buono ma
La mia paura è di perdere la mia pagina di accesso.
Ho passato molto tempo a cercare di lavorare con FTP e non sono riuscito a capirlo.
Sarà un buon plugin per un fifone?? Grazie Mary
Ed van Dun
E per quanto riguarda Bullet Proof Security? Copre alcune aree menzionate sopra e molte altre.
Prodip
Tutti i suggerimenti di cui sopra mi hanno aiutato a rendere il mio blog più sicuro.
Dr. Sean Mullen
Queste sono ottime informazioni ma per favore aggiorna! Grazie
Ospite
So che questo articolo risale al lontano '09, ma puoi farne uno aggiornato, dato che molti di questi plugin non sono più "ufficialmente" compatibili con l'ultima versione di WordPress (3.4.x-3.5)?
Staff editoriale
Sì, è in lavorazione insieme ad altre cose. Stiamo facendo del nostro meglio. Grazie per avercelo fatto sapere.
Amministratore
whoiscarrus
Sto iniziando a sviluppare con WP e non posso ringraziarti abbastanza! Questi sono ottimi per i principianti come me!
abhizz
fantastici suggerimenti su wordpress grazie
Bigdrobek
Ottimo tutorial, ma per favore puoi aggiornarlo?
Pochi plugin non esistono, sono vecchi o sono nascosti da WordPress.org.
– Stealth Login
– Login Lockdown
– Admin SSL
Sono interessato al punto 1) Crea link di accesso personalizzati – hai un suggerimento per un nuovo plugin che faccia un lavoro simile?
Faizan Elahi (BestBloggingTools)
This is a great resource. Thanks
mattjwalk
Potresti anche aggiungere all'elenco: "usa l'autenticazione a due fattori" invece delle password standard. Esiste un nuovo metodo di autenticazione per siti web https://www.shieldpass.com dove acquisti carte di accesso economiche e poi installi il plugin di WordPress. Quindi posizioni la tua carta sullo schermo per vedere i numeri di accesso dinamici invece di una password statica. È unico anche nel poter codificare le cifre delle transazioni per l'autenticazione reciproca che impedisce le tattiche di attacco "man in the middle", anche a chi ha accesso al tuo laptop o cellulare.
Jermaine
Il problema che ho con il numero 6 è l'indirizzo IP dinamico, vieni bloccato ogni volta che il tuo indirizzo IP cambia, qual è la soluzione?
Staff editoriale
Puoi aggiungere un login personalizzato se l'IP non corrisponde.
Amministratore
vivek
ottimo post e bella guida per nuovi blogger come me
fareed
Ottimo post e molto utile per me, grazie
Daniel
L'hacker penserà di aver successo quando accederà con il nome utente admin e scoprirà che il ruolo è stato impostato su 'subscriber'. Non è questa un'altra forma di sicurezza aggiunta. Non voglio eliminare il mio admin perché inserisco messaggi ecc. nei forum e nel blog e mi piace che i miei utenti sappiano che proviene dall'amministrazione. così come uso il mio nome utente normale!
Jonathan K. Cohen
Questo articolo necessita di essere rivisto. Diversi plugin suggeriti non sono stati mantenuti e potrebbero essere incompatibili con l'ultima versione di WP.
Questi includono #1, #3 e #5.
John
Per #1 controlla questo plugin chiamato WPS Hide Login
Greg
Sono completamente d'accordo con te. Uso il plugin Limit Login Attempts per il mio WordPress da un po'. Oggi questo plugin è obsoleto. Sono passato a WP Cerber:
Danang Sukma
Grazie per il tuo post.
Sto usando la protezione con password per la mia cartella wp-admin in cpanel, è sufficiente?
mby
uh che informazione utile ragazzi, può aiutare sicuramente!!
grazie per aver postato! ^_^