WordPress Security How To

Forte sicurezza di accesso con WP Cerber


English version: Strong login security with WP Cerber


Non è un segreto che i malintenzionati possano penetrare in un WordPress appena installato in pochi minuti lanciando un attacco di forza bruta. È possibile perché WordPress non dispone di meccanismi integrati di mitigazione degli attacchi, l'URL di accesso predefinito è ben noto e il nome utente dell'amministratore di un sito Web può essere scoperto facilmente. WP Cerber offre tutti gli strumenti necessari per mitigare gli attacchi di forza bruta e salvaguardare gli account degli utenti.

Configurazione delle impostazioni di sicurezza dell'accesso di WP Cerber

Le impostazioni di sicurezza dell'accesso si trovano nella scheda Impostazioni principali. Qui puoi configurare i limiti sui tentativi di accesso, limitare l'accesso a wp-login.php e configurare i messaggi di errore per impedire la scoperta di nomi utente ed e-mail quando si utilizzano nomi utente ed e-mail inesistenti.

Limitazione dei tentativi di accesso per mitigare gli attacchi di forza bruta

Le impostazioni predefinite e consigliate per limitare i tentativi di accesso sono evidenziate come n. 1 nello screenshot. Queste impostazioni sono state configurate quando hai attivato WP Cerber. Se hai molti clienti sul sito web, ad esempio gestisci un negozio WooCommerce, è opportuno aumentare il limite dei tentativi di accesso.

WordPress Login Security - WP Cerber Settings

WordPress Login Security – WP Cerber Settings

Elaborazione delle richieste di autenticazione wp-login.php

Vedere la selezione n. 2. Per impostazione predefinita, WordPress utilizza wp-login.php come pagina di accesso al sito Web che elabora tutti gli accessi degli utenti oltre a fornire il modulo di registrazione e il modulo di reimpostazione della password. Se hai configurato l' URL di accesso personalizzato , si consiglia di disabilitare wp-login.php. Hai due opzioni. Puoi bloccare completamente l'accesso a wp-login.php e rendere il file inaccessibile a chiunque, oppure puoi disabilitare l'autenticazione dell'utente tramite wp-login.php senza bloccare l'accesso al file. Puoi scegliere una qualsiasi delle opzioni. Entrambi impediscono l'autenticazione dell'utente tramite wp-login.php.

Quando la prima opzione è abilitata, WP Cerber esegue il rendering e restituisce la pagina di errore "404 Pagina non trovata" come se non esistesse tale file sul sito web. Pertanto, i cattivi attori non hanno nulla da attaccare.

Quando la seconda opzione è abilitata, WP Cerber impedisce qualsiasi autenticazione dell'utente anche con nomi utente e password corretti. Ciò significa che nessuno è in grado di accedere utilizzando wp-login.php. Dopo un tentativo di accesso tramite wp-login.php, WP Cerber mostra il messaggio di errore di password errata predefinito imitando il processo di autenticazione standard di WordPress. L'utilizzo di questo approccio aiuta WP Cerber a rilevare attacchi lenti di forza bruta utilizzando wp-login.php come honeypot di rilevamento. Tutti i tentativi di accesso tramite wp-login.php vengono registrati nel registro delle attività di WP Cerber, come mostrato nello screenshot qui sotto.

An attempt to log into WordPress denied (Forbidden URL)

WP Cerber denies attempts to log in via wp-login.php and logs such events with the Forbidden URL label

Impedisci ai malintenzionati di scoprire nomi utente ed e-mail reali dei clienti

I messaggi di errore di accesso e reimpostazione password predefiniti generati da WordPress sono piuttosto dettagliati e aiutano gli hacker a rilevare nomi utente ed e-mail reali per utilizzarli per lanciare attacchi di forza bruta o di ingegneria sociale.

Disabilita il messaggio di errore di accesso predefinito

Se abilitati, i messaggi di errore di accesso non indicano nomi utente ed e-mail non validi quando si tenta di accedere con nomi inesistenti . Invece, WP Cerber visualizza il messaggio di errore WordPress predefinito utilizzato quando un utente inserisce una password errata. Ciò aiuta a impedire ai malintenzionati di indovinare nomi utente ed e-mail validi. Questo approccio è noto anche come disabilitazione dei suggerimenti di accesso.

La versione professionale di WP Cerber consente di specificare il proprio messaggio di errore di accesso utilizzando il campo di impostazione del messaggio di errore di accesso personalizzato .

Disabilita il messaggio di errore di reimpostazione della password predefinita

Se abilitati, i messaggi di errore di reimpostazione della password non indicano nomi utente ed e-mail non validi quando si tenta di reimpostare la password per un nome utente o un'e-mail inesistente. Invece, WP Cerber imita il processo predefinito di reimpostazione delle password e visualizza il seguente messaggio ogni volta che gli utenti inseriscono nomi utente ed e-mail validi o inesistenti.

New WordPress password reset message by WP Cerber

The new WordPress password reset message generated by WP Cerber Security

Questo approccio aiuta a impedire ai malintenzionati di indovinare nomi utente validi ed è noto come disabilitazione dei suggerimenti per la reimpostazione della password.

La versione professionale di WP Cerber consente di specificare il proprio messaggio di errore di reimpostazione della password utilizzando il campo di impostazione del messaggio di errore di accesso personalizzato .

Tieni presente che tutte le funzionalità sopra descritte non si applicano agli indirizzi IP nell'elenco di accesso IP bianchi .


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments
There are currently no comments.