WordPress Security How To
Posted By Gregory

sicurezza login Forte con WP Cerber


English version: Strong login security with WP Cerber


Non è un segreto che i cattivi attori possano entrare in un WordPress appena installato in pochi minuti montando un attacco di forza bruta. È possibile perché WordPress non ha meccanismi di mitigazione degli attacchi integrati, l'URL di accesso predefinito è ben noto e il nome utente dell'amministratore di un sito Web può essere scoperto con facilità. WP Cerber offre tutti gli strumenti necessari per mitigare gli attacchi di forza bruta e salvaguardare gli account utente.

Configurazione delle impostazioni di sicurezza dell'accesso di WP Cerber

Le impostazioni di sicurezza dell'accesso si trovano nella scheda Impostazioni principali. Qui puoi configurare i limiti ai tentativi di accesso, limitare l'accesso a wp-login.php e configurare i messaggi di errore per impedire la scoperta di nomi utente ed e-mail quando si utilizzano nomi utente ed e-mail non esistenti.

Limitare i tentativi di accesso per mitigare gli attacchi di forza bruta

Le impostazioni predefinite e consigliate per limitare i tentativi di accesso sono mostrate come numero 1 nello screenshot. Queste impostazioni vengono impostate quando hai attivato WP Cerber. Se hai molti clienti sul sito web, ad esempio, gestisci un negozio WooCommerce, ha senso aumentare il limite ai tentativi di accesso.

WordPress Login Security - WP Cerber Settings

WordPress Login Security – WP Cerber Settings

Elaborazione delle richieste di autenticazione wp-login.php

Vedere la selezione # 2. Per impostazione predefinita, WordPress utilizza wp-login.php come pagina di accesso al sito Web che elabora tutti gli accessi utente e fornisce il modulo di registrazione e il modulo di reimpostazione della password. Se hai un URL di accesso personalizzato abilitato, ti consigliamo di disabilitare wp-login.php. Hai due opzioni. Puoi bloccare completamente l'accesso a wp-login.php e rendere il file inaccessibile a chiunque, oppure puoi disabilitare l'autenticazione tramite wp-login.php. Quando l'ultima opzione è abilitata, WP Cerber impedisce qualsiasi autenticazione utente anche con nomi utente e password corretti. Dopo un tentativo di accesso tramite wp-login.php, WP Cerber mostra il messaggio di errore della password errata predefinita che imita il processo di autenticazione standard di WordPress. L'utilizzo di questo approccio aiuta WP Cerber a rilevare attacchi di forza bruta lenti utilizzando wp-login.php come honeypot di rilevamento.

Impedisci ai cattivi attori di indovinare nomi utente ed e-mail validi.

Per impostazione predefinita, i messaggi di errore di accesso e reimpostazione della password di WordPress sono piuttosto dettagliati e consentono il rilevamento di nomi utente ed e-mail validi e non esistenti.

Disabilita il messaggio di errore di accesso predefinito

Se abilitati, i messaggi di errore di accesso non indicano nomi utente ed e-mail non validi quando si tenta di accedere con nomi inesistenti . Invece, WP Cerber visualizza il messaggio di errore predefinito di WordPress utilizzato quando un utente inserisce una password errata. Questo aiuta a impedire ai malintenzionati di indovinare nomi utente ed e-mail validi. Questo approccio è noto anche come disabilitazione dei suggerimenti di accesso.

Disabilitare il messaggio di errore della password di reimpostazione predefinita

Se abilitati, i messaggi di errore per la reimpostazione della password non indicano nomi utente ed e-mail non validi quando si tenta di reimpostare la password per un nome utente non esistente o un messaggio di posta elettronica non esistente. Invece, WP Cerber imita il processo predefinito di reimpostazione delle password e visualizza il seguente messaggio ogni volta che gli utenti inseriscono nomi utente ed e-mail validi o non esistenti.

New WordPress password reset message by WP Cerber

The new WordPress password reset message generated by WP Cerber Security

Questo approccio aiuta a impedire ai malintenzionati di indovinare nomi utente validi ed è noto come disabilitazione dei suggerimenti per la reimpostazione della password.

Notare che tutte le funzioni sopra descritte non si applicano agli indirizzi IP nell'elenco di accesso IP bianco .


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments
There are currently no comments.