Qual è la prima cosa da fare quando apri un sito su WordPress e hai quindi a disposizione log in e password?
Scegliere il tema, forse? Sì e no. Quando si è alle prime armi è in effetti facile incappare in questo errore. La prima cosa da fare è assolutamente quella di rendere il proprio accesso alla piattaforma sicuro.
Sicuro da cosa? Vedrai nel corso dell’articolo che gli attacchi ai siti web sono molto più frequenti di quanto ti possa immaginare. Nessun timore, però: con questa guida ti spiegheremo come fare passo per passo.
Abbiamo parlato spesso di questo CMS su Trend Online, e questa volta vorremmo aiutarti a rendere il tuo log in di WordPress sicuro dandoti almeno 3 modi differenti. In modo che il tuo sito web sia protetto e tu non debba più avere timori.
Nel caso in cui avessi la necessità di cambiare i dati di accesso, in calce troverai la guida a come farlo velocemente.
Prima di iniziare: l’hosting giusto per un log in WordPress sicuro
In principio era l’hosting.
In altre parole, “uno spazio web che dispone di determinate risorse, in cui viene ospitato un sito web per renderlo accessibile tramite Internet” (fonte: Register).
Se non hai ancora deciso dove appoggiare il tuo sito web, molto bene. Sei ancora in tempo per scegliere bene. Un primo passo verso la sicurezza del tuo log in è proprio quello di avvalerti di servizi di valore che garantiscano di per sé un buon livello di sicurezza.
Tra i migliori hosting che ti possono garantire un buon livello di sicurezza nel 2022 annoveriamo i seguenti:
- VHosting;
- Aruba;
- SiteGround con ben 7 livelli di sicurezza;
- InterServer (affidata ad un sistema InterShield).
L’elenco non è autoconclusivo. In ogni caso, ognuno di questi Hosting ha delle caratteristiche differenti che è bene vagliare prima di fare una scelta, ma questa non è la sede di discussione. Ci premeva semplicemente ricordare che la sicurezza del proprio sito parte molto prima della costruzione del proprio spazio web.
Ora che abbiamo affrontato questa spinosa questione, possiamo proseguire approfondendo l’impostazione del log in.
Log in su WordPress: 3 modi per rendere il sito sicuro!
Ricordiamocelo. Una grossa percentuale dei siti web che troviamo online è stata fatta su WordPress. Ne abbiamo parlato tante volte. I vantaggi sono così tanti che spesso gli utenti decidono di appoggiare alla piattaforma anche gli ecommerce (usando WooCommerce, come raccontiamo qui).
Ad ogni modo, come è importante proteggere i propri account email e gli account social (se ti hanno hackerato Instagram questa è la guida per te), dovrebbe esserlo altrettando, se non di più, proteggere i dati del tuo sito.
Una volta scelto l’hosting e fatte tutte le operazioni necessarie, si arriva ad un punto in cui è necessario capire come proteggere il nostro sito web.
Ci sono (almeno) 3 modi differenti per poterlo fare. Potrai scegliere tranquillamente quello che ti è più congeniale. Iniziamo?
1. I plugin che ti aiutano a proteggere il tuo sito in WordPress
Si tratta certamente del metodo più rapido e facile per riuscire a rendere in pochi minuti il proprio sito sicuro dagli attacchi esterni.
Di plugin, ovvero di questi programmi che interagiscono con altri per ampliarne o modificarne il funzionamento, ve ne sono di molteplici tipi. Variano in base alle funzionalità e anche al prezzo. Naturalmente ve ne sono anche di completamente gratuiti, ma presentano delle funzioni ridotte rispetto a quelli a pagamento.
Vogliamo vedere alcuni esempi dei plugin di sicurezza preferiti nel 2022?
- Sucuri Security: si tratta di un plugin ottimo che offre sia versione a pagamento sia gratuita.
Promette di fare una pulizia automatica del sito per togliere eventuale codice dannoso, prevenire spam di parole chiave e link che non siano di valore, e naturalmente previene i futuri attacchi.
- Shield Security: uno dei migliori plugin gratuiti in circolazione attualmente.
Promette di prevenire attacchi hacker limitando i tentativi di log in al sito di WordPress, blocca eventuali commenti automatici, rileva il codice dannoso e permette di abilitare i reCAPTCHA e di registrare le attività degli utenti.
- Wordfence Security: un altro dei plugin preferiti dagli utenti di WordPress in quanto permette di tenere monitorato il traffico e gli eventuali tentativi di hackeraggio.
La versione gratuita è piuttosto potente soprattutto se si sta lavorando su un sito di dimensioni abbastanza contenute.
- All In One WP Security & Firewall: come dice il nome del plugin stesso, si tratta di un programma dalle molte funzionalità.
Piuttosto semplice da usare, dispone anche di assistenza clienti senza necessità di pagare un piano premium. Tra le caratteristiche che lo rendono ottimo vi sono il fatto che disponga di uno strumento di blacklist e anche della possibilità di effettuare backup dei file .htaccess e .wp-config. Se qualcosa non dovesse andare come dovrebbe si riuscirebbe a ripristinarli facilmente.
- Jetpack for WordPress: uno dei più popolari perché usato proprio dal team di WordPress.
Non è un semplice plugin di sicurezza. Le sue funzionalità spaziano su lidi ben più ampi, come la velocità del sito web o i social media. Uno dei migliori plugin sul mercato, anche se non mancano certo le perplessità.
Dunque, una volta scaricato il proprio plugin preferito (ricordiamo che deve essere compatibile con il proprio tema e la propria versione di WordPress!) è possibile configurarlo ed adattarlo alle proprie esigenze.
2. Proteggere il log in con l’autenticazione a due fattori
Un ulteriore metodo per proteggere il proprio accesso a WordPress è determinato dall’autenticazione a due fattori.
Forse ne hai già sentito parlare in altri contesti. Tramite questo procedimento, infatti, puoi proteggere i tuoi dati personali, i tuoi account sui social, i tuoi account email, ecc.
Il procedimento, anche in questo caso, è piuttosto semplice. Viene chiamato anche verifica in due passaggi, proprio perché sottintende che per l’autenticazione siano necessari due passaggi differenti e consecutivi.
Ci sono infatti due livelli di sicurezza: uno è determinato dalla password vera e propria di accesso al sito, e l’altro dalla verifica dell’identità dell’utente.
Tale verifica dell’identità può essere fatta attraverso canali cui unicamente un utente autorizzato può accedere: può trattarsi dunque di SMS, link via e-mail, QR code o notifiche push.
Dunque, anziché arrivare alla schermata di log in con solo utente e password da inserire, c’è un ulteriore passaggio da fare che evita che gli attacchi al proprio sito web vadano a buon fine.
Per procedere in modo facile, basta scaricare un plugin. Uno dei più famosi è certamente Google Authenticator.
L’unico consiglio che ci sentiamo di darti è che, se scegli di seguire questo metodo, dovrai fare molta attenzione a che sistema di verifica utilizzi. Senza quella particolare password avrai davvero molta difficoltà ad accedere al tuo sito web e potrebbe servirti l’intervento del tuo hosting (e meno male!).
3. Prevenire è sempre meglio: nascondi a tutti la tua pagina log in!
Come arrivano gli hacker al tuo sito? In realtà, le pagine di log in di WordPress sono abbastanza facili da scovare.
In genere, infatti, se non vengono apportati cambiamenti, l’URL di accesso ad un sito web su WP funziona grossomodo così: http://mio-sito.com/wp-admin/. Insomma, piuttosto semplice da trovare.
Ad ogni modo, è possibile che questa URL venga nascosta e quindi che non venga trovata da nessuno. Come? Naturalmente con un plugin!
HPS Hide LogIn è sicuramente il plugin giusto.
Si tratta di un programma molto leggero che consente di modificare con facilità l’URL del modulo di accesso con tutto quello che vuoi. Disattivando questo plugin si riporta il sito esattamente allo stato in cui era prima.
Questo plugin infatti aiuta a proteggere il tuo sito modificando il file wp-login.php e, di fatto, sostituendo gli url di accesso con URL personalizzati (fonte: SOS-WP).
Non sarà più facile trovare la pagina di accesso perché i file non saranno i soliti /wp-admin e /wp-login.
Quando attivi il plugin ricordati di fare alcune cose essenziali:
- salvare il nuovo URL di log in al tuo sito web su WordPress (magari con un segnalibro, oppure in un altro logo: sarà comunque l’unica via di accesso al sito!).
- disattivare la cache solo per la nuova pagina di accesso al sito.
- in caso di modifiche al file .htaccess è bene contattare gli sviluppatori del plugin. In caso di incompatibilità tra modifiche e plugin potresti non riuscire ad entrare nel sito.
- proteggere il sito con un altro metodo tra quelli elencati sopra.
Alla vecchia pagina di log in si può indirizzare una qualsiasi altra pagina (redirect), o mettere addirittura una pagina 404.
Infine, non dimenticarti di cambiare la pw di accesso di frequente: come?
Una delle regole più importanti quando si ha a che fare con delle password è quella di cambiarle frequentemente. A dispetto di tutto, la prima regola per un sito sicuro è anche una password sicura. Quindi che non sia 123456 è già una buona cosa.
Ad ogni modo, sarebbe importante che tale password venisse cambiata spesso. Come fare, però?
Essenzialmente è necessario fare log in su WordPress ed entrare nella parte dedicata agli Utenti nella colonna di sinistra della propria dashboard. Da qui è molto facile. Si individua l’utente cui si vuole cambiare la password (consigliamo sempre che ve ne sia più di uno), si clicca su Profilo e, a seguire, su Gestione dell’Account.
A quel punto sarà semplice individuare la voce “Nuova password” e seguire il procedimento guidato.
Si suggerisce di cambiare la password ogni 3 mesi all’incirca.
Nel caso di password dimenticata sarà sufficiente collegarsi alla schermata di log in di WordPress e cliccare su “Password dimenticata“. Da lì, si verrà indirizzati ad una nuova schermata di “Ottieni una nuova password” e, anche qui, seguendo il procedimento guidato si potrà entrare in possesso delle nuove credenziali.
Ad ogni modo, qualunque sia la situazione, consigliamo che venga installato almeno un sistema di sicurezza aggiuntivo al proprio sito web, onde evitare spiacevoli inconvenienti.