Per impostazione predefinita, WordPress mostra messaggi di errore nella pagina di accesso quando qualcuno inserisce un nome utente o una password errati. Sebbene questi messaggi siano pensati per aiutare gli utenti, possono anche fornire indizi agli hacker che cercano di accedere al tuo sito.
Disabilitare questi suggerimenti di accesso è un modo semplice per rafforzare la sicurezza del tuo sito.
Nascondendo questi dettagli, rendi più difficile per gli hacker indovinare le tue credenziali. Noi li disabilitiamo sempre sui nostri siti per un ulteriore livello di protezione.
In questo articolo, ti guideremo attraverso come disabilitare i suggerimenti di accesso in WordPress per aiutarti a rendere il tuo sito web più sicuro.
Cosa sono i suggerimenti di accesso nei messaggi di errore di accesso di WordPress?
Ogni volta che qualcuno tenta di accedere al tuo sito utilizzando un nome utente o una password errati, WordPress mostrerà un messaggio di errore nella schermata di accesso.
Se questa persona ha digitato un nome utente o un indirizzo email errato, WordPress mostrerà il seguente errore: 'Il nome utente non è registrato su questo sito. Se non sei sicuro del tuo nome utente, prova invece il tuo indirizzo email.'
Questo può essere utile per gli utenti legittimi, ma consente anche agli hacker di sapere che stanno digitando un nome utente errato.
Inserire il nome utente corretto ma una password errata genera l'errore: 'La password che hai inserito per il nome utente non è corretta. Password dimenticata?'
Questo conferma un'ipotesi corretta del nome utente ai potenziali aggressori.
Se qualcuno riesce a indovinare il tuo nome utente, il messaggio di errore gli farà sapere che è sulla buona strada. Ciò significa che solo la tua password si frappone tra loro e il tuo account.
I proprietari di siti web WordPress possono anche accedere al proprio sito utilizzando un indirizzo email invece del proprio nome utente. Ciò significa che un hacker potrebbe digitare diversi indirizzi email per cercare di capire quale indirizzo stai utilizzando per il tuo account WordPress.
Non appena l'hacker indovina l'indirizzo email corretto, WordPress passerà all'errore 'La password che hai inserito per il nome utente non è corretta'.
Per proteggere il tuo blog o sito WordPress dagli hacker, dovresti sempre utilizzare un nome utente univoco e una password complessa per il tuo account.
Se hai aggiunto altri utenti o autori WordPress al tuo sito, potresti anche voler utilizzare un plugin WordPress per forzare i tuoi utenti a creare una password complessa.
Sebbene questi passaggi siano un ottimo inizio, gli indizi di accesso possono aiutare gli hacker a violare il tuo sito. Tenendo presente ciò, vediamo come puoi nascondere gli indizi di accesso nei messaggi di errore di accesso di WordPress.
Nascondere i suggerimenti di accesso in WordPress
Il modo più semplice per disabilitare gli indizi di accesso nei messaggi di errore di accesso di WordPress è incollare del codice in WordPress. Sebbene normalmente non lo suggeriamo ai principianti, WPCode rende facile per chiunque aggiungere codice al proprio sito web WordPress.
Puoi aggiungere il seguente snippet di codice in fondo al file functions.php del tuo sito, ma farlo potrebbe causare il malfunzionamento del tuo sito.
Secondo la nostra esperienza, WPCode è super intuitivo per i principianti e garantisce che, anche se commetti un errore durante l'aggiunta di codice personalizzato, il tuo sito rimanga accessibile. Per saperne di più, consulta la nostra recensione dettagliata di WPCode.
Innanzitutto, devi installare e attivare il plugin gratuito WPCode. Per istruzioni dettagliate, puoi consultare la nostra guida su come installare un plugin di WordPress.
Dopo l'attivazione, tutto ciò che devi fare è andare su Frammenti di codice » +Aggiungi frammento dalla tua bacheca di amministrazione di WordPress. Quindi, dovrai passare il mouse sopra 'Aggiungi il tuo codice personalizzato' e fare clic su 'Usa frammento'.
Dopodiché, devi semplicemente dare un nome al tuo nuovo frammento e incollare il seguente codice nell'area 'Anteprima codice':
function no_wordpress_errors(){
return 'Something is wrong!';
}
add_filter( 'login_errors', 'no_wordpress_errors' );
Questo codice cambia l'errore predefinito della pagina di accesso con un messaggio personalizzato, come 'Qualcosa non va!'.
Inoltre, questo codice dice a WordPress di mostrare un messaggio personalizzato invece dell'errore predefinito. Nell'esempio di codice sopra, stiamo usando 'Qualcosa è andato storto!' come messaggio di errore.
Puoi cambiare questa riga per mostrare qualsiasi messaggio desideri. Ad esempio, qui stiamo usando 'Qualcosa non va!' come messaggio di errore:
return 'Something is wrong!';
Assicurati di selezionare PHP dal menu a discesa 'Tipo di codice', quindi puoi attivare l'interruttore da 'Inattivo' ad 'Attivo' e fare clic su 'Salva frammento'.
Una volta fatto ciò, è una buona idea testare il tuo nuovo messaggio di errore.
Per eseguire questo test, vai semplicemente alla pagina di accesso del tuo sito web e digita nome utente, password o email errati. Quindi, procedi e fai clic sul pulsante 'Accedi'.
WordPress mostrerà ora il tuo nuovo messaggio di errore senza darti alcun suggerimento su cosa potrebbe essere sbagliato.
Ora, tieni presente che mentre questo codice disabiliterà i suggerimenti di accesso in WordPress, non ti proteggerà da tentativi più avanzati o da attacchi brute-force.
Il modo più semplice per impedire agli hacker di accedere al tuo sito è utilizzare un plugin di sicurezza per WordPress come Cloudflare o WordFence.
Per maggiori informazioni, puoi leggere la nostra guida definitiva su come proteggere il tuo sito WordPress.
Tutorial video
Per semplificare le cose, abbiamo anche creato un tutorial video su come disabilitare i suggerimenti di accesso nei messaggi di errore di accesso di WordPress.
Suggerimento Bonus: Migliorare la sicurezza di accesso di WordPress
Ora che conosci l'importanza di un nome utente e di una password robusti, esploriamo alcuni modi aggiuntivi per aumentare la sicurezza di accesso. È importante non solo per te, ma anche per chiunque contribuisca al tuo blog, specialmente se più autori lo gestiscono.
Ecco alcuni suggerimenti bonus per mantenere i tuoi account ancora più sicuri:
🔐 Abilita l' autenticazione a due fattori (2FA): questo aggiunge un ulteriore livello di sicurezza richiedendo una seconda forma di verifica, come un codice via SMS o una domanda di sicurezza.
🔑 Usa un gestore di password: questi strumenti ti aiutano a creare e archiviare password complesse in modo sicuro, così non dovrai ricordarle tutte.
🔄 Aggiorna regolarmente la tua password: cambia le tue password ogni pochi mesi per ridurre al minimo il rischio di accessi non autorizzati. È ancora meglio se puoi forzare gli aggiornamenti delle password per gli utenti.
🚫 Evita di usare il Wi-Fi pubblico per accessi sensibili: se possibile, usa una connessione sicura e privata quando accedi ad account importanti.
🛠️ Mantieni aggiornato il tuo software: aggiornamenti regolari possono proteggerti da vulnerabilità di sicurezza che gli aggressori potrebbero sfruttare.
Oltre a tutto ciò, potresti voler limitare i tentativi di accesso al tuo sito WordPress.
Durante un attacco di forza bruta, gli hacker utilizzano software automatizzati per indovinare ripetutamente le password a causa dell'autorizzazione predefinita della piattaforma per tentativi di accesso illimitati.
Limitare i tentativi di accesso non riusciti, come bloccare temporaneamente gli utenti dopo 5 tentativi non riusciti, riduce significativamente il rischio di accessi non autorizzati da attacchi di forza bruta.
Speriamo che questo articolo ti abbia aiutato a imparare come nascondere i suggerimenti di accesso dai messaggi di errore di accesso di WordPress. Successivamente, potresti anche voler consultare la nostra guida su come creare un portale clienti con accessi e pagine private o come aggiungere un accesso social a WordPress.
Se ti è piaciuto questo articolo, iscriviti al nostro canale YouTube per tutorial video su WordPress. Puoi anche trovarci su Twitter e Facebook.
Dennis Muthomi
Suggerirei di fare un passo avanti implementando l'autenticazione a due fattori per un ulteriore livello di sicurezza. Ho disabilitato i suggerimenti di accesso e implementato la 2FA per sicurezza (sono già stato hackerato in passato).
Thomas Maier
Ciao, come posso tradurre il codice sopra in diverse lingue? Ne ho bisogno per il login di WooCommerce per i clienti.
Supporto WPBeginner
Dovresti cambiare il testo 'Qualcosa è andato storto!' con il testo che desideri, ma se vuoi che il testo cambi in più lingue, ciò richiederebbe un po' più di codice di quanto avremmo per un articolo per principianti. In tal caso, dovresti dare un'occhiata ai plugin multilingue.
Amministratore
Vahn
Grazie mille! Ho passato ore a cercare il posto dove cambiare questo.
Supporto WPBeginner
Glad our guide was helpful
Amministratore
Izzy
Quando aggiungo questo al mio plugin WpTouch, mostra una parte del codice nella mia intestazione...
Supporto WPBeginner
Finché il codice funziona nella versione desktop, dovresti contattare WPTouch per informarli di quel problema e farlo esaminare.
Amministratore
Anand
Beh, è facile conoscere il nome utente se è corretto, poiché quando viene inserito il nome utente corretto e la password errata, il campo del nome utente non si svuota nemmeno dopo aver ricevuto l'avviso 'qualcosa è andato storto'. Il che è chiaramente un indizio che sì, questo è il nome utente corretto. C'è un modo per svuotare il campo del nome utente in questo scenario. Aiuto per favore.
Shane
C'è un modo per cambiare il testo del messaggio di errore nella pagina lostpassword che dice di default: "Inserisci il tuo nome utente o indirizzo email. Riceverai un link per creare una nuova password via email."?
Non riesco a trovare alcun materiale sull'argomento
Nick
Mi stavo chiedendo la stessa cosa. Perché non possiamo semplicemente cambiare la formulazione del messaggio di errore invece di aggiungere una funzione che potrebbe essere sovrascritta con il prossimo aggiornamento?
Paco
L'unica cosa è che quando inserisci un nome utente corretto e una password errata, viene visualizzato il messaggio "qualcosa non va", ma puoi vedere il nome utente, il che lo conferma nel caso in cui tu l'abbia indovinato. Non so se questo accade in WordPress 4.5. C'è un modo per lasciare vuoto il campo nome utente anche se è corretto? Grazie
maudenicholson2
Sono curioso di scoprire quale sistema di blog stai usando? Ho alcuni piccoli problemi di sicurezza con il mio ultimo sito web e vorrei trovare qualcosa di più protetto. Hai qualche soluzione?
Supporto WPBeginner
Stiamo usando WordPress con Sucuri.
Amministratore
freyaewu73605919
Sono veramente grato al proprietario di questa pagina web che ha condiviso questo enorme articolo in questo momento.
deneengranger
Hai qualche video a riguardo? Vorrei trovare alcune informazioni aggiuntive.
Supporto WPBeginner
Il video sarà disponibile presto. Iscriviti al nostro Canale YouTube.
Amministratore
Bob
WP Simple Firewall o Shield ti dà la possibilità di nascondere il menu di accesso, bloccare la Dashboard e include la prevenzione degli attacchi Sucuri e Brute Force. È un plugin gratuito, usalo in combinazione con un gestore di password, in modo da non dimenticare o smarrire le tue password. Io uso Lastpass, che è anche gratuito. Shield ha sostituito sei plugin di sicurezza e ha velocizzato il mio sito web.
Phillip George
Esiste una linea di assistenza in Australia dato che ho dimenticato il mio nome utente per l'accesso, essendo un po' anziano è un problema
Bob
Ciao Phillip, mi dispiace amico, nessuna linea di assistenza. Prova a rivolgerti a chiunque ospiti il tuo sito web, dovrebbero essere in grado di aiutarti. Una volta reimpostata, usa un gestore di password come Lastpass, devi solo ricordare una password. SCRIVILA; ho detto scrivila perché se non lo fai, SCRIVILA sarai davvero nei guai, senza una pagaia.