Le 3 regole per rendere sicuro e inattaccabile il tuo sito WordPress
15 Marzo 2022 by
Indice dei contenuti
Mauro Lattuada
Mi occupo di organizzazione e strategia per le strutture turistiche e di aziende di vari settori ottimizzando le performance. Con il team di Più Turismo gestiamo sia start-up che la revisione di aziende che utilizzano Internet per la propria comunicazione. Partendo dalla ottimizzazione e potenziamento del sito, miglioriamo le performance organizzative con strumenti di controllo di gestione e di smart working per la parte amministrativa.
Indice dei contenuti
Vediamo sempre più spesso migliaia di tentativi di accesso forzato ai server WordPress: sempre più spesso hacker o ladri di tempo provano a fare migliaia di connessioni e di prove, automatizzate, con lo scopo di accedere a WordPress con diritti amministrativi. Ciò avviene spesso con lo scopo di creare siti per il phishing utilizzando spazi di ignari utenti che rischiano poi di trovarsi nei problemi a causa delle attività malevole messe in atto da questi soggetti.
Detto che la prima regola base è quella di avere una password complicata, magari quella che wordpress suggerisce in automatico, così chi cerca di forzarla ad un certo punto abbandonerà passando ad un altro server. Mia usare la stessa password per più siti e mai usare password troppo scontate: più è semplice la password più in fretta fara il sistema automatico a scoprirle.
Il funzionamento di questi BOT è abbastanza semplice: individuata la login (o il nome utente o la email) iniziano a testare i vocaboli di un vocabolario, poi ad incrociare le stesse parole con i numeri e continuano ossessivamente a compiere tentativi finchè non riescono ad ottenere una connessione valida. A quel punto è probabile che il vostro wordpress faccia una brutta fine, onde evitarlo facciamo un po’ di prevenzione.
Regola 1: addio ad Admin e alla tua mail di amministratore
Per prima cosa da eliminare subito l’utente Admin; è uno dei primi tentativi che faranno e non avere questo user è già un inizio per rallentarli. Se oltre a questo si userà l’attenzione di avvalersi di una mail dedicata, non la info di dominio per capirci, o di un redirect mail dedicato sarà estremamente difficile per chi ci attacca individuare l’utente di amministrazione da forzare. Un esempio è l’indirizzo il-mio-sito-web-admin@dominio, non riusciranno mai ad individuarlo e questa è solo una di tantissime varianti che potete inventarvi per rendere difficile la vita ai ladri di tempo.
Regola 2: Wordfence, il primo alleato
Per prima cosa bisogna configurare ilplugin wordfence in primis perché ci avvisi di questi tentativi, basta abilitare le notifiche e tenere d’occhio i flussi di mail che vengono generati. Inoltre nella sezione del firewall è possibile attivare delle limitazioni ai tentativi di login o di cambio della password: se qualcuno cerca di accedere con la password sbagliata più di 5 volte è probabile che non si tratti di un errore ed è quindi meglio bloccarlo automaticamente almeno per un paio d’ore. Questo complica la vita a chi effettua questi tentativi obbligandoli a dover cambiare IP ogni 5 tentativi, ricordiamoci che stiamo facendo prevenzione e non risolvendo il problema. Già creargli degli ostacoli è un inizio.
Altra opportunità, purtroppo solo nella versione a pagamento, è quella di bloccare l’accesso da paesi diversi dal proprio: se usiamo solo noi il sito o lo usano nostri utenti, facendo login, ma solo dall’Italia impedire e bloccare i tentativi di connessione dall’estero ci porterà due vantaggi. Il primo quello di bloccare sul nascere i tentativi, il secondo quello di ridurli fortemente visto che chi cerca di connettersi dall’Italia quasi sempre si avvale di una VPN per far finta di essere, per l’appunto, all’estero.
Regola 3: la doppia autenticazione
Questa regola vale tanto per wordpress quanto per tutti i programmi a cui accedete online. WordPress e wordfence supportano la doppia autenticazione tramite authenticator, di google. Questa app è molto simile a quella che usate per le banche, si tratta di un generatore di codici randomici e temporizzati che vi garantiscono la sicurezza al 100% degli account. Lo stesso programma è supportato da una miriade di servizi come Google Worksuite, Paypal, Amazon e così via.
Potete Scaricare sia la versione Android che la versione Apple e, attivando il servizio sul sito nella sezione sicurezza dell’account, leggere il Qrcode che apparirà, inserire il codice che vi verrà comunicato dalla app per attivare questa funzionalità.
Facendo poi il primo login dal vostro pc potrete disabilitare da quello (e solo da quello) la necessità di usare la app per accedere, sarà invece obbligatorio avvalersene ogni volta che vi collegherete da un’altra postazione o, ad esempio, dall’ufficio per garantirvi sempre il massimo della sicurezza.
La regola tre, pensando ai ladri di tempo, è quella che mi diverte di più: se il nostro campione del momento è riuscito in qualche modo a trovare un account utilizzabile, ha fatto migliaia di prove ed è riuscito, dopo settimane o mesi, a trovare la password quando finalmente, tutto soddisfatto, proverà ad accedere per portare finalmente a termine il suo stupido piano scoprirà che è stato tutto tempo perso perché senza il codice della doppia autenticazione non potrà andare da nessuna parte. E fidatevi di uno che ha una lunga esperienza. Non c’è cosa più divertente, non perdendoci tempo, che rubare del tempo ai ladri di tempo 😉
Gli approfondimenti della scuola di Più Turismo:
I servizi che forniamo alle aziende:
[yith_wc_productslider id=38094]
Mi occupo di organizzazione e strategia per le strutture turistiche e di aziende di vari settori ottimizzando le performance. Con il team di Più Turismo gestiamo sia start-up che la revisione di aziende che utilizzano Internet per la propria comunicazione. Partendo dalla ottimizzazione e potenziamento del sito, miglioriamo le performance organizzative con strumenti di controllo di gestione e di smart working per la parte amministrativa.
