Massima sicurezza per l'accesso con WP Cerber
English version: Strong login security with WP Cerber
Non è un segreto che malintenzionati possano penetrare in un sito WordPress appena installato in pochi minuti tramite un attacco di forza bruta. Ciò è possibile perché WordPress non dispone di meccanismi integrati di mitigazione degli attacchi, l'URL di accesso predefinito è noto e il nome utente dell'amministratore di un sito web può essere scoperto con facilità. WP Cerber offre tutti gli strumenti necessari per mitigare gli attacchi di forza bruta e proteggere gli account degli utenti.
Configurazione delle impostazioni di sicurezza di accesso di WP Cerber
Le impostazioni di sicurezza per l'accesso si trovano nella scheda Impostazioni principali. Qui è possibile configurare i limiti sui tentativi di accesso, limitare l'accesso a wp-login.php e configurare i messaggi di errore per impedire il rilevamento di nomi utente ed email quando si utilizzano nomi utente ed email inesistenti.
Limitare i tentativi di accesso per mitigare gli attacchi di forza bruta
Le impostazioni predefinite e consigliate per limitare i tentativi di accesso sono evidenziate con il numero 1 nello screenshot. Queste impostazioni sono state configurate al momento dell'attivazione di WP Cerber. Se il tuo sito web ha molti clienti, ad esempio se gestisci un negozio WooCommerce, è consigliabile aumentare il limite di tentativi di accesso.
WordPress Login Security – WP Cerber Settings
Elaborazione delle richieste di autenticazione wp-login.php
Vedi l'opzione n. 2. Per impostazione predefinita, WordPress utilizza wp-login.php come pagina di accesso al sito web, che gestisce tutti gli accessi degli utenti e fornisce il modulo di registrazione e il modulo per il ripristino della password. Se hai configurato un URL di accesso personalizzato , si consiglia di disabilitare wp-login.php. Hai due opzioni: puoi bloccare completamente l'accesso a wp-login.php e rendere il file inaccessibile a chiunque, oppure puoi disabilitare l'autenticazione degli utenti tramite wp-login.php senza bloccare l'accesso al file. Puoi scegliere una qualsiasi delle due opzioni. Entrambe impediscono l'autenticazione degli utenti tramite wp-login.php.
Quando la prima opzione è abilitata, WP Cerber visualizza e restituisce la pagina di errore "404 Pagina non trovata" come se il file non esistesse sul sito web. In questo modo, i malintenzionati non hanno nulla da attaccare.
Quando la seconda opzione è abilitata, WP Cerber impedisce qualsiasi autenticazione utente, anche con nome utente e password corretti. Ciò significa che nessuno è in grado di accedere tramite wp-login.php. Dopo un tentativo di accesso tramite wp-login.php, WP Cerber mostra il messaggio di errore predefinito di password errata, simulando il processo di autenticazione standard di WordPress. Questo approccio aiuta WP Cerber a rilevare attacchi di forza bruta lenti, utilizzando wp-login.php come honeypot di rilevamento. Tutti i tentativi di accesso tramite wp-login.php vengono registrati nel registro attività di WP Cerber, come mostrato nello screenshot sottostante.
WP Cerber denies attempts to log in via wp-login.php and logs such events with the Forbidden URL label
Impedire ai malintenzionati di scoprire i nomi utente reali e gli indirizzi email dei clienti.
I messaggi di errore predefiniti di WordPress per l'accesso e il ripristino della password sono piuttosto prolissi e aiutano gli hacker a individuare nomi utente ed indirizzi email reali, che possono poi utilizzare per sferrare attacchi di forza bruta o di ingegneria sociale.
Disabilita il messaggio di errore di accesso predefinito
Quando questa opzione è abilitata, i messaggi di errore di accesso non segnalano nomi utente ed email non validi quando si tenta di accedere con credenziali inesistenti . Invece, WP Cerber visualizza il messaggio di errore predefinito di WordPress utilizzato quando un utente inserisce una password errata. Questo aiuta a impedire ai malintenzionati di indovinare nomi utente ed email validi. Questo approccio è anche noto come disabilitazione dei suggerimenti di accesso.
La versione professionale di WP Cerber consente di specificare un messaggio di errore di accesso personalizzato tramite il campo "Messaggio di errore di accesso personalizzato" .
Disabilita il messaggio di errore predefinito per il ripristino della password.
Quando questa opzione è abilitata, i messaggi di errore per il ripristino della password non indicano nomi utente ed email non validi quando si tenta di reimpostare la password per un nome utente o un indirizzo email inesistente. Invece, WP Cerber simula il processo predefinito di ripristino della password e visualizza il seguente messaggio ogni volta che gli utenti inseriscono nomi utente ed email validi o inesistenti.
The new WordPress password reset message generated by WP Cerber Security
Questo approccio aiuta a impedire ai malintenzionati di indovinare nomi utente validi ed è noto come disabilitazione dei suggerimenti per il ripristino della password.
La versione professionale di WP Cerber consente di specificare un messaggio di errore personalizzato per il ripristino della password utilizzando il campo "Messaggio di errore di accesso personalizzato" .
Si noti che tutte le funzionalità descritte sopra non si applicano agli indirizzi IP presenti nella White IP Access List .
Avviso PHP: impossibile modificare le informazioni dell'intestazione
WP Cerber Security 8.3
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.