Mettere in sicurezza il login di WordPress. Guida rapida

La sicurezza del login di WordPress è diventato un obbligo per qualunque proprietario di sito WP. Nel corso degli ultimi anni si è assistito a una crescita esponenziale di siti e blog realizzati in WordPress che, di fatto, è riuscito a conquistare una larga fetta di mercato. Sia che si tratti di un uso professionale che personale, WordPress sembra aver guadagnato punti su i suoi diretti concorrenti open source, vale a dire Joomla e Drupal (con esclusione dei CMS correlati all’e-commerce come Magento o Prestashop).

Il successo crescente riscosso da WordPress implica anche una maggiore attenzione alla sicurezza, poco importa se si tratta di un blog piccolo o di un grande sito aziendale. Da dove iniziare, quindi, per proteggere un blog o sito in WordPress? Il primo passo è rappresentato certamente dalla sicurezza del login di WordPress, grazie all’adozione di specifiche misure che rendano molto più complicato il furto delle credenziali di accesso.

Alcuni potrebbero obiettare che queste misure di sicurezza non sono necessarie nel caso di blog di piccole dimensioni e non targettizzati. Basta una riflessione per sfatare questa convinzione.

La maggior parte degli attacchi brute-force, vale a dire quelli mirati alla sottrazione di credenziali, non viene fatto manualmente ma attraverso degli specifici strumenti di scanning distribuiti su botnets capaci, nel giro di pochi minuti, di provare oltre 100 combinazioni di numeri e lettere sino ad individuare quella “vincente” che permette ai cyber-criminali di avere accesso al vostro sito.

Vediamo, quindi, come migliorare la sicurezza del login di WordPress attraverso una serie di accorgimenti molto semplici ma altrettanto efficaci.

La sicurezza del login di WordPress: inizia dallo username

Quando si configura il proprio sito WordPress il primo accorgimento da prendere è quello di non usare “admin” come proprio username.

Come detto, nel corso di un attacco brute-force i cracker cercano di “indovinare” la giusta combinazione username/password per accedere al sito; nel caso in cui utilizziate admin come username è evidente come abbiate già fatto metà del lavoro per i cyber-criminali.

sicurezza del login di wordpress e username
Sicurezza del login di WordPress: è fondamentale scegliere con attenzione l’username ed evitare di usare quello di default, vale a dire admin

Cambiare l’username non è tuttavia sufficiente.

Di default molti temi WordPress sono soliti creare degli archivi autori che utilizzano il vostro username nell’URL, cosicché molte intestazioni di default posso contenere questa informazione; in questo modo chi sta tentando di penetrare nel vostro sito può facilmente scovare l’username.

Fortunatamente la maggior parte degli attacchi viene condotta automaticamente (non contemplando questa possibilità) e quindi il tentativo di intrusione si limita a cercare la giusta combinazione username/password. Comunque non mostrare gli archivi degli articolo di uno specifico autore può essere una buona mossa.

Il caposaldo della sicurezza del login di WordPress: calcolare password complesse

Usare una password forte è una condizione essenziale per la sicurezza del login di WordPress.

In quest’ottica, è utile utilizzare una serie di plugin appositamente pensati per verificare la forza di una password come Force Strong Password e Enforce Strong Password o, nel caso in cui non si voglia installare un plugin, è possibile fare ricorso a strumenti dedicati come How Secure is My Password.

Sicurezza del login di WordPress: l’HTTP Authentication

sicurezza del login di wordpress e http authentication
Sicurezza del login di WordPress: HTTP Authentication è un modo molto efficace e sicuro per incrementare la sicurezza del login

HTTP Authentication è un metodo molto efficace per proteggere le credenziali di accesso al vostro sito in WordPress in quanto si basa interamente su un differente metodo di autenticazione, HTTP Authentication di Apache.

In pratica, è possibile bloccare l’accesso al pannello di login usando HTTP Authentication, così da prevenire la maggior parte degli attacchi brute-force o da evitare rischi che potrebbero derivare, ad esempio, da bug presenti nello stesso WordPress.

Si consiglia, inoltre, di usare due diverse combinazioni di username/password, una per HTTP Authentication e una per accedere al pannello di controllo di WordPress.

Sicurezza del login di WordPress: la scelta dei plugin

I plugin di sicurezza sono uno strumento molto utile per migliorare la sicurezza del login di WordPress, senza contare che ne esistono moltissimi tra i quali poter scegliere quello che meglio si adatta alle proprie esigenze e necessità.

Oltre a migliorare la sicurezza delle vostre credenziali di accesso, spesso questi plugin dispongono di molte altre funzionalità altrettanto utili.

Come scegliere, quindi, il plugin migliore?

Ci sono una serie di criteri ai quali è possibile riferirsi per selezionare lo strumento che più si adatta ai propri bisogni. In primo luogo è bene verificare che il plugin non sia obsoleto e venga aggiornato con una certa regolarità, così come è utile verificarne la “storia” in termini di sicurezza e accertare il numero di utenti che lo utilizzano.

Il rating è un parametro di misura abbastanza valido, sebbene non bisogna mai dimenticare che non si tratta di un valore assoluto ma di un dato che va valutato in correlazione ad altri (un plugin con un rating alto significa ben poco se gli utenti che lo utilizzano sono pochi).

Valutando i tanti plugin di sicurezza oggi disponibili ( ce ne sono circa 2000), tra quelli più efficaci si sono BulletProof Security, IThemes e Wordfence, tutti e tre capaci di garantire dei buoni livelli di protezione contro i principali attacchi mirati a sottrarre le credenziali.

sicurezza del login di wordpress e ithemes security
Sicurezza del login di WordPress: iThemes Security è uno dei tanti plugin di sicurezza oggi disponibili per incrementare la protezione del login

Sicurezza del login di WordPress: L’autenticazione a due fattori

Un’altra strada, altrettanto efficace, per preservare la sicurezza del login di WordPress è l’autenticazione a due fattori, un “metodo” abbastanza diffuso e molto semplice da utilizzare che aggiunge un secondo livello di sicurezza alla fase di accesso.

In pratica, quando si tenta di accedere al pannello di controllo di WordPress si richiede di inserire non solo le credenziali username/password ma anche un altro codice di autenticazione inviato, generalmente, sul vostro cellulare.

sicurezza del login di wordpress e two-factor authentication
Sicurezza del login di WordPress: con Two-Factor Authentication è possibile aggiungere un secondo livello in fase di autenticazione

L’efficacia di questo “sistema” è abbastanza palese, in quanto anche nel caso in cui le vostre credenziali vi siano state sottratte, il cyber-criminale non sarà comunque in grado di loggarsi al sito poiché non disporrà del secondo codice di autenticazione.

Oltre ai plugin di sicurezza che aggiungono un secondo step di autenticazione, ve ne sono poi altri che limitano i tentativi di accesso al pannello di amministrazione. Ad esempio, il plugin Limit Login Attempts consente di bloccare un utente dopo n-tentativi falliti di inserire la corretta combinazione username/passwrod, prevenendo in questo modo intrusioni indesiderate.

Sicurezza del login di WordPress: rinominare la cartella di amministrazione

Un altro “espediente” di solito adottato per bloccare gli attacchi brute-force è quello di rinominare la  pagina di login, così da “oscurarla” per renderla inaccessibile a chi tenta di accedere illecitamente al sito.

Generalmente la pagina di login di WordPress ha un indirizzo standard (http://www.nome-blog.it/wp-login.php o http://www.nome-blog.it/wp-admin/) cosicché i cyber-criminali sanno bene a quale pagina collegarsi e dove inserire le n-combinazioni username/password sino a trovare quella corretta.

Cambiare nome alla pagina di login, significa in sostanza nasconderla e renderla quindi di difficile individuazione per tutti coloro che non ne conoscono il preciso indirizzo.

Questa tecnica ha certamente i suoi vantaggi ma è bene prestare molta attenzione in quanto si potrebbero riscontrare dei problemi sul sito WordPress visto che l’indirizzo dell’area di login è stato cambiato.

Esistono dei plugin che cercano di semplificare questo processo, come ad esempio Rename wp-login to anything you want, ma anche in questo caso è bene accertarsi che non sorgano inconvenienti per il corretto funzionamento del sito.