Forte sicurezza di accesso con WP Cerber
English version: Strong login security with WP Cerber
Non è un segreto che i malintenzionati possano entrare in un WordPress appena installato in pochi minuti montando un attacco brute-force. È possibile perché WordPress non ha meccanismi di mitigazione degli attacchi integrati, l'URL di accesso predefinito è ben noto e il nome utente dell'amministratore di un sito Web può essere scoperto con facilità. WP Cerber offre tutti gli strumenti necessari per mitigare gli attacchi brute-force e salvaguardare gli account utente.
Configurazione delle impostazioni di sicurezza di accesso di WP Cerber
Le impostazioni di sicurezza dell'accesso si trovano nella scheda Main Settings. Qui puoi configurare i limiti sui tentativi di accesso, limitare l'accesso a wp-login.php e configurare i messaggi di errore per impedire la scoperta di nomi utente ed e-mail quando si utilizzano nomi utente ed e-mail inesistenti.
Limitare i tentativi di accesso per mitigare gli attacchi brute-force
Le impostazioni predefinite e consigliate per limitare i tentativi di accesso sono evidenziate come #1 nello screenshot. Queste impostazioni sono state impostate quando hai attivato WP Cerber. Se hai molti clienti sul sito web, ad esempio, gestisci un negozio WooCommerce, ha senso aumentare il limite dei tentativi di accesso.
Elaborazione delle richieste di autenticazione wp-login.php
Vedere la selezione n. 2. Di default, WordPress usa wp-login.php come pagina di login del sito web che elabora tutti gli accessi utente e fornisce il modulo di registrazione e il modulo di reimpostazione password. Se hai configurato l' URL di login personalizzato , si consiglia di disabilitare wp-login.php. Hai due opzioni. Puoi bloccare completamente l'accesso a wp-login.php e rendere il file inaccessibile a chiunque, oppure puoi disabilitare l'autenticazione utente tramite wp-login.php senza bloccare l'accesso al file. Puoi scegliere una qualsiasi delle opzioni. Entrambe impediscono l'autenticazione utente tramite wp-login.php.
Quando la prima opzione è abilitata, WP Cerber esegue il rendering e restituisce la pagina di errore "404 Page Not Found" come se non ci fosse alcun file del genere sul sito web. Quindi, i malintenzionati non hanno nulla da attaccare.
Quando la seconda opzione è abilitata, WP Cerber impedisce qualsiasi autenticazione utente anche con nomi utente e password corretti. Ciò significa che nessuno è in grado di effettuare l'accesso tramite wp-login.php. Dopo un tentativo di accesso tramite wp-login.php, WP Cerber mostra il messaggio di errore predefinito di password errata che imita il processo di autenticazione standard di WordPress. L'utilizzo di questo approccio aiuta WP Cerber a rilevare attacchi brute-force lenti utilizzando wp-login.php come honeypot di rilevamento. Tutti i tentativi di accesso tramite wp-login.php vengono registrati nel registro attività di WP Cerber, come mostrato nello screenshot qui sotto.

WP Cerber denies attempts to log in via wp-login.php and logs such events with the Forbidden URL label
Impedisci ai malintenzionati di scoprire i nomi utente reali e le email dei clienti
I messaggi di errore predefiniti di accesso e reimpostazione della password generati da WordPress sono piuttosto prolissi e aiutano gli hacker a rilevare nomi utente ed e-mail reali per utilizzarli per attacchi di forza bruta o di ingegneria sociale.
Disattiva il messaggio di errore di accesso predefinito
Se abilitati, i messaggi di errore di accesso non indicano nomi utente ed e-mail non validi quando si tenta di accedere con quelli inesistenti . Invece, WP Cerber visualizza il messaggio di errore WordPress predefinito utilizzato quando un utente inserisce una password errata. Ciò aiuta a impedire ai malintenzionati di indovinare nomi utente ed e-mail validi. Questo approccio è noto anche come disabilitazione dei suggerimenti di accesso.
La versione professionale di WP Cerber consente di specificare un messaggio di errore di accesso personalizzato utilizzando il campo di impostazione Messaggio di errore di accesso personalizzato .
Disattiva il messaggio di errore di reimpostazione della password predefinita
Se abilitato, i messaggi di errore di reimpostazione della password non indicano nomi utente ed e-mail non validi quando si tenta di reimpostare la password per un nome utente o un'e-mail inesistente. Invece, WP Cerber imita il processo predefinito di reimpostazione delle password e visualizza il seguente messaggio ogni volta che gli utenti inseriscono nomi utente ed e-mail validi o inesistenti.
Questo approccio impedisce ai malintenzionati di indovinare nomi utente validi ed è noto come disabilitazione dei suggerimenti per la reimpostazione della password.
La versione professionale di WP Cerber consente di specificare un messaggio di errore personalizzato per la reimpostazione della password utilizzando il campo di impostazione Messaggio di errore di accesso personalizzato .
Si noti che tutte le funzionalità descritte sopra non si applicano agli indirizzi IP presenti nella White IP Access List .