sicurezza login Forte con WP Cerber
English version: Strong login security with WP Cerber
Non è un segreto che i cattivi attori possano entrare in un WordPress appena installato in pochi minuti montando un attacco di forza bruta. È possibile perché WordPress non ha meccanismi di mitigazione degli attacchi integrati, l'URL di accesso predefinito è ben noto e il nome utente dell'amministratore di un sito Web può essere scoperto con facilità. WP Cerber offre tutti gli strumenti necessari per mitigare gli attacchi di forza bruta e salvaguardare gli account utente.
Configurazione delle impostazioni di sicurezza dell'accesso di WP Cerber
Le impostazioni di sicurezza dell'accesso si trovano nella scheda Impostazioni principali. Qui puoi configurare i limiti ai tentativi di accesso, limitare l'accesso a wp-login.php e configurare i messaggi di errore per impedire la scoperta di nomi utente ed e-mail quando si utilizzano nomi utente ed e-mail non esistenti.
Limitare i tentativi di accesso per mitigare gli attacchi di forza bruta
Le impostazioni predefinite e consigliate per limitare i tentativi di accesso sono mostrate come numero 1 nello screenshot. Queste impostazioni vengono impostate quando hai attivato WP Cerber. Se hai molti clienti sul sito web, ad esempio, gestisci un negozio WooCommerce, ha senso aumentare il limite ai tentativi di accesso.
Elaborazione delle richieste di autenticazione wp-login.php
Vedere la selezione # 2. Per impostazione predefinita, WordPress utilizza wp-login.php come pagina di accesso al sito Web che elabora tutti gli accessi utente e fornisce il modulo di registrazione e il modulo di reimpostazione della password. Se hai un URL di accesso personalizzato abilitato, ti consigliamo di disabilitare wp-login.php. Hai due opzioni. Puoi bloccare completamente l'accesso a wp-login.php e rendere il file inaccessibile a chiunque, oppure puoi disabilitare l'autenticazione tramite wp-login.php. Quando l'ultima opzione è abilitata, WP Cerber impedisce qualsiasi autenticazione utente anche con nomi utente e password corretti. Dopo un tentativo di accesso tramite wp-login.php, WP Cerber mostra il messaggio di errore della password errata predefinita che imita il processo di autenticazione standard di WordPress. L'utilizzo di questo approccio aiuta WP Cerber a rilevare attacchi di forza bruta lenti utilizzando wp-login.php come honeypot di rilevamento.
Impedisci ai cattivi attori di indovinare nomi utente ed e-mail validi.
Per impostazione predefinita, i messaggi di errore di accesso e reimpostazione della password di WordPress sono piuttosto dettagliati e consentono il rilevamento di nomi utente ed e-mail validi e non esistenti.
Disabilita il messaggio di errore di accesso predefinito
Se abilitati, i messaggi di errore di accesso non indicano nomi utente ed e-mail non validi quando si tenta di accedere con nomi inesistenti . Invece, WP Cerber visualizza il messaggio di errore predefinito di WordPress utilizzato quando un utente inserisce una password errata. Questo aiuta a impedire ai malintenzionati di indovinare nomi utente ed e-mail validi. Questo approccio è noto anche come disabilitazione dei suggerimenti di accesso.
Disabilitare il messaggio di errore della password di reimpostazione predefinita
Se abilitati, i messaggi di errore per la reimpostazione della password non indicano nomi utente ed e-mail non validi quando si tenta di reimpostare la password per un nome utente non esistente o un messaggio di posta elettronica non esistente. Invece, WP Cerber imita il processo predefinito di reimpostazione delle password e visualizza il seguente messaggio ogni volta che gli utenti inseriscono nomi utente ed e-mail validi o non esistenti.
Questo approccio aiuta a impedire ai malintenzionati di indovinare nomi utente validi ed è noto come disabilitazione dei suggerimenti per la reimpostazione della password.
Notare che tutte le funzioni sopra descritte non si applicano agli indirizzi IP nell'elenco di accesso IP bianco .