Forte sicurezza di accesso con WP Cerber
English version: Strong login security with WP Cerber
Non è un segreto che i malintenzionati possano entrare in un WordPress appena installato in pochi minuti montando un attacco di forza bruta. È possibile perché WordPress non ha meccanismi di mitigazione degli attacchi incorporati, l'URL di accesso predefinito è ben noto e il nome utente dell'amministratore di un sito Web può essere scoperto con facilità. WP Cerber offre tutti gli strumenti necessari per mitigare gli attacchi di forza bruta e salvaguardare gli account utente.
Configurazione delle impostazioni di sicurezza dell'accesso di WP Cerber
Le impostazioni di sicurezza dell'accesso si trovano nella scheda Impostazioni principali. Qui puoi configurare i limiti sui tentativi di accesso, limitare l'accesso a wp-login.php e configurare i messaggi di errore per impedire la scoperta di nomi utente ed e-mail quando si utilizzano nomi utente ed e-mail inesistenti.
Limitazione dei tentativi di accesso per mitigare gli attacchi di forza bruta
Le impostazioni predefinite e consigliate per limitare i tentativi di accesso sono evidenziate come n. 1 nello screenshot. Queste impostazioni sono state impostate quando hai attivato WP Cerber. Se hai molti clienti sul sito web, ad esempio gestisci un negozio WooCommerce, ha senso aumentare il limite dei tentativi di accesso.
WordPress Login Security – WP Cerber Settings
Elaborazione delle richieste di autenticazione wp-login.php
Vedere la selezione n. 2. Per impostazione predefinita, WordPress utilizza wp-login.php come pagina di accesso al sito Web che elabora tutti gli accessi degli utenti e fornisce il modulo di registrazione e il modulo di reimpostazione della password. Se hai configurato l' URL di accesso personalizzato , si consiglia di disabilitare wp-login.php. Hai due opzioni. Puoi bloccare completamente l'accesso a wp-login.php e rendere il file inaccessibile a chiunque, oppure puoi disabilitare l'autenticazione dell'utente tramite wp-login.php senza bloccare l'accesso al file. Puoi scegliere una qualsiasi delle opzioni. Entrambi impediscono l'autenticazione dell'utente tramite wp-login.php.
Quando la prima opzione è abilitata, WP Cerber esegue il rendering e restituisce la pagina di errore "404 Pagina non trovata" come se non esistesse tale file sul sito Web. Pertanto, i cattivi attori non hanno nulla da attaccare.
Quando la seconda opzione è abilitata, WP Cerber impedisce qualsiasi autenticazione utente anche con nomi utente e password corretti. Ciò significa che nessuno è in grado di accedere utilizzando wp-login.php. Dopo un tentativo di accesso tramite wp-login.php, WP Cerber mostra il messaggio di errore di password errata predefinita che imita il processo di autenticazione standard di WordPress. L'utilizzo di questo approccio aiuta WP Cerber a rilevare attacchi di forza bruta lenti utilizzando wp-login.php come honeypot di rilevamento. Tutti i tentativi di accesso tramite wp-login.php vengono registrati nel registro delle attività di WP Cerber, come mostrato nello screenshot qui sotto.
WP Cerber denies attempts to log in via wp-login.php and logs such events with the Forbidden URL label
Impedisci ai malintenzionati di scoprire nomi utente reali ed e-mail dei clienti
I messaggi di errore predefiniti di login e reimpostazione della password generati da WordPress sono piuttosto dettagliati e aiutano gli hacker a rilevare nomi utente ed e-mail reali per utilizzarli per montare attacchi di forza bruta o di ingegneria sociale.
Disattiva il messaggio di errore di accesso predefinito
Se abilitato, i messaggi di errore di accesso non indicano nomi utente ed e-mail non validi quando si tenta di accedere con nomi inesistenti . Invece, WP Cerber visualizza il messaggio di errore predefinito di WordPress utilizzato quando un utente inserisce una password errata. Questo aiuta a impedire a malintenzionati di indovinare nomi utente ed e-mail validi. Questo approccio è noto anche come disabilitazione dei suggerimenti di accesso.
La versione professionale di WP Cerber ti consente di specificare il tuo messaggio di errore di accesso utilizzando il campo di impostazione del messaggio di errore di accesso personalizzato .
Disabilita il messaggio di errore per la reimpostazione della password predefinita
Se abilitati, i messaggi di errore di reimpostazione della password non indicano nomi utente ed e-mail non validi quando si tenta di reimpostare la password per un nome utente o un'e-mail inesistenti. Invece, WP Cerber imita il processo predefinito di reimpostazione delle password e visualizza il seguente messaggio ogni volta che gli utenti inseriscono nomi utente ed e-mail validi o inesistenti.
The new WordPress password reset message generated by WP Cerber Security
Questo approccio aiuta a impedire a malintenzionati di indovinare nomi utente validi ed è noto come disabilitazione dei suggerimenti per la reimpostazione della password.
La versione professionale di WP Cerber ti consente di specificare il tuo messaggio di errore di reimpostazione della password utilizzando il campo di impostazione del messaggio di errore di accesso personalizzato .
Si noti che tutte le funzionalità sopra descritte non si applicano agli indirizzi IP nell'elenco di accesso IP bianco .
WordPress 5.4.1. Un aggiornamento per la sicurezza corregge sette vulnerabilità XSS
WP Cerber Security 8.6.5
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.