WordPress Login: come accedere e rendere sicuro l’accesso : sicurezza sito

Tag: sicurezza sito

Andrea (Xlogic.org) Leave a comment Blogging, Wordpress

WordPress Login: come accedere e rendere sicuro l’accesso

WordPress Login – WordPress è il CMS più utilizzato sul Web, basti pensare che circa il 60% dei siti web che utilizza un CMS è stato costruito con WordPress.

Però WordPress essendo così popolare è soggetto ad attacchi brute force e c’è sempre il rischio che il sito WP possa prendere un virus / malware.

WordPress Login: come accedere e rendere sicuro l'accesso

WordPress Login: come accedere e rendere sicuro l’accesso

In questa guida ti spiegheremo come effettuare l’accesso a WordPress Log In e ti guideremo passo per passo a rendere più sicuro l’accesso a WordPress it.

WordPress Login

Per accedere all’interno del backend del tuo sito web ed effettuare il Login WordPress è possibile utilizzare due URL differenti, vediamole insieme:

  • WordPress Admin: solitamente per l’accesso WordPress viene utilizzato il seguente URL (https://nomedelsito.it/wp-admin)
  • WP Login: altrimenti puoi anche accedere all’interno del pannello WordPress inserendo nell’URL il nome dei file di Login per esteso (https://nomedelsito.it/wp-login.php)

WordPress sicurezza

Solitamente la pagina di Login WordPress è una tra le pagine più vulnerabili e bersagliate del sito web su Internet, quindi per poterla rendere più sicura e per poter dormire sogni sereni ti consigliamo di seguire i nostri consigli e di adottare de

La pagina di Login per accedere nel backend è una tra le pagine più vulnerabili del sito web, quindi ti invitiamo a seguire i nostri consigli e ad installare i Plugin Sicurezza WordPress.

1) Utilizza una password WordPress complessa

Il primo consiglio da mettere in pratica è quello di cambiare password WordPress inserendone una complessa composta da caratteri alfanumerici e da simboli, dimentica password come 12345 perché non saresti al sicuro.

Dovresti utilizzare una password con almeno 8 caratteri composti da 2 simboli, 2 numeri e 4 lettere minuscole e maiuscole, esempio: *T#7Bf4e

Se non sai come generare una password WordPress puoi utilizzare questo tool gratuito: 

2) Cambia l’username ADMIN

Modifica il nome dell’User inserendone uno a tuo piacimento, chiunque è a conoscenza che l’username di default di WordPress è Admin con la quale accedi all’interno del backend tramite la pagina WP Admin.

Per cambiare il nome dell’User dovrai accedere all’interno della bacheca di WordPress > Utenti > Aggiungi utente > dopo di che non ti rimane che scrivere l’User con la quale vorrai accedere ed imposta il ruolo di amministratore.

3) Nascondi la pagina Login WordPress

Come abbiamo già scritto all’inizio di questa guida per la sicurezza Login WordPress, non è un segreto che l’utente debba accedere all’interno del suo sito WordPress attraverso uno tra i seguenti URL:

https://nomedelsito.it/wp-admin| https://nomedelsito.it/wp-login.php

Questo significa che chiunque sia a conoscenza della pagina WordPress Login Admin potrebbe tentare l’accesso e potrebbe provare a bucare la pagina.

Ma se nascondi la pagina di Login, l’utente malintenzionato non riuscirebbe a trovare la tua pagina Login WordPress e di conseguenza non avrebbe la possibilità di tentare l’accesso.

Per effettuare questa operazione puoi scaricare ed installare il plugin WPS Hide Login che ti permetterà di nascondere la pagina wp-admin e di accedere mediante un’altra pagina con un altro nome.

Inoltre è possibile mascherare il fatto che stai utilizzando WordPress disattivando gli URL predefiniti e creando quelli nuovi personalizzati, per far questo dovrai utilizzare il seguente plugin WordPress: WP Hide and Security

4) Limita i tentativi di accesso WordPress

Questa funzione è molto utile perché blocca gli indirizzi IP dalla quale vengono rilevati più di 5 tentativi d’accesso alla pagina WordPress accesso Admin, in questo modo chi tenterà di accedere in maniera furtiva all’interno del tuo sito web verrà bloccato e non potrà più effettuare nessun tentativo.

Per poter limitare i tentativi di accesso WordPress puoi installare il Plugin WP Limit Login Attempts.

5) Autenticazione a due fattori

L’autenticazione a due fattori è un sistema che oltre a richiedere le credenziali d’accesso è appoggiato ad un dispositivo Mobile (Smartphone, Tablet) e richiede l’autorizzazione al dispositivo per poter accedere.

Questo significa che se malauguratamente la tua password dovesse finire in mano ad altre persone, non potrebbero ugualmente accedere all’interno del backend di WordPress perché non sarebbero in possesso del tuo dispositivo Mobile abilitato per effettuare il controllo di autenticazione a due fattori.

Per poter configurare l’autenticazione a due fattori è necessario installare il plugin di sicurezza WordPress Two Factor Authentication.

6) ReCaptcha WordPress

Annulla completamente i tentativi d’accesso automatizzati da parte di Bot, Spyware, Malware inserendo una casella di controllo ReCaptcha nella pagina di Login di WordPress, in che modo? Segui questa guida: Come proteggere il sito WordPress con il Captcha

7) WordPress HTTPS

Il certificato SSL è un ulteriore livello di sicurezza che non rende leggibili le informazioni che invii e ricevi tra il Browser ed il Server.

I siti WordPress come tutti i siti web memorizzano migliaia di informazioni ed il certificato SSL aiuta a mantenere queste informazioni al sicuro, inoltre SSL opera su tutte le pagine di accesso rendendo il processo di comunicazione tra il Server ed il Browser più sicuro.

Su Xlogic Hosting in tutti i piani Hosting viene installato automaticamente e gratuitamente un certificato SSL della Comodo che ti permetterà di far viaggiare il tuo sito web in totale sicurezza mediante il protocollo https://.

8) Backup WordPress

Per evitare qualsiasi tipo di problema, dal semplice errore WordPress della pagina bianca all’invio di mail in Spam a causa di un virus o Malware, è consigliabile effettuare almeno ogni 3 giorni un backup completo del sito WordPress, in questo modo al sorgere di qualsiasi problema sarà sempre possibile tornare indietro ripristinando un backup.

Come fare il Se vuoi dormire sogni tranquilli e se sei cliente di Xlogic, puoi attivare con pochi euro l’anno il servizio di backup automatico JetBackup, scopri come funziona: Backup automatico sito web – JetBackup

 

Assistenza WordPress: hai bisogno di aiuto o consigli?

Scopri il nostro servizio Hosting WordPress dove la gestione del sito, il backup WordPress e l’assistenza sono inclusi a partire da 64 euro l’anno!

Hosting WordPress

Noi di Xlogic Hosting offriamo un servizio Hosting WordPress completamente gestito a partire da 64 euro l’anno, ma che cosa significa Hosting WordPress gestito?

Significa che l’installazione / trasferimento e la gestione del sito WordPress è a carico dei nostri tecnici che ti offriranno assistenza sul tuo sito risolvendoti i problemi e gli errori WordPress.

Ma non è finita qua! Su tutti i nostri servizi Hosting WordPress è incluso lo strumento di backup automatico sito e lo strumento di sicurezza Imunify Security.

Xlogic è presente nelle prime posizioni delle classifiche di siti autorevoli come Aranzulla, SOS WP, TrovaLost e molti altri, inoltre Andrea Di Rocco di SOS WP ha scritto una fantastica recensione sul nostro Provider Hosting.

Puoi leggere la recensione di SOS WP, vedere le classifiche dei migliori Hosting e scoprire quali sono i servizi e le risorse offerte all’interno dei nostri servizi Hosting mediante questa guida completa:

Scopri perché dovresti acquistare un Hosting WordPress su Xlogic!

 

Alla prossima!

Andrea Leave a comment News da Xlogic, Blogging, Performance e sicurezza

Tools per scansioni sito web compromesso da malware

Per ogni utente la paura più grande è quella di trovarsi il proprio sito web infetto.

Come ad esempio nel sistema operativo di Windows c’è il rischio di prendere i virus anche sul web c’è questo rischio che a parer mio può essere ancora più dannoso in quanto potrebbe ad esempio provocare:

– Perdita dei dati presenti nel sito web.

– Impossibilità nell’accedere nel back end del proprio CMS.

– Possibilità di far partire a propria insaputa migliaia di mail e quindi essere inseriti nelle black list perchè considerati come elementi dannosi che effettuano spam.

Oltre ai rischi sopra elencati e ovviamente a molti altri c’è una parte ancor più importante da tenere in considerazione;

stiamo parlando della visibilità e della credibilità che può aver un sito infetto; ovviamente se in un sito web viene rilevato un virus o malware, i motori di ricerca iniziano ad evitarlo e di conseguenza le visite iniziano a crollare e il sito perde di visibilità e scende di posizione rapidamente.

Per poter risalire al problema, come prima cosa bisogna focalizzare il momento in cui il sito ha iniziato ad avere problemi; dopo aver focalizzato il momento, bisogna pensare a che cosa si è fatto subito prima, ad esempio ci potrebbe essere stata l’installazione di uno script, plugin, tema oppure l’aggiornamento di uno script, tema, cms.

Come prima cosa bisogna effettuare questa verifica:

Dal browser bisognerà copiare il seguente url seguito dal sito web che deve essere analizzato

http://google.it/safebrowsing/diagnostic?site=nomesito 

Dal risultato si otterranno informazioni utili sull’infezione o meno del sito sottoposto all’analisi.

Per effettuare altri controlli possono essere utilizzati anche questi tool:

avg

AVG THREAT LABS

Ha la funzione di esaminare tutte le pagine presenti nel sito web, analizzando attentamente se vi sono link sospetti.

urlvoid

URL VOID

Offre un buon servizio, eseguendo la scansione dell’URL inserito nell’apposito form.

hackertarget

HACKER TARGET

E’ un tool utilizzato per controllare se vi è del codice maligno all’interno delle query SQL e fornisce anche dettagli sui CMS utilizzati; permette fino a 4 scan di siti al giorno gratuitamente, i report verranno inviati via mail.

sucuri

SUCURI 

Questo tool effettua una scansione antivirus, antimalware ma controlla anche se un sito è finito in blacklist.

Per Sucuri vi sono tre tipi di servizi offerti:

– free, che mette a disposizione solo la scansione e l’analisi del sito inserito

– a pagamento, offre il monitoraggio costante del sito, la sicurezza da malware e scan limitati per un sito.

 

Alla prossima!

 

Andrea (Xlogic.org) Leave a comment Guide Hosting, Blogging, Performance e sicurezza

10 Consigli per mantenere sicuro un Sito Web

La sicurezza di un sito web è importante quanto il suo aspetto e la sua funzionalità, soprattutto se si archiviano dati personali, come i dati della carta di credito, indirizzi email, etc. Se siete stati vittima di un hacker, allora probabilmente vi rendete conto di quanto dannoso e frustrante possa essere la violazione del proprio sito.

Esempio di sito bucato dagli Hacker

Ci sono alcuni accorgimenti che consentono di rendere il vostro sito web meno vulnerabile agli attacchi hacker e non richiedono grosse conoscenze tecniche.

Questi 10 consigli vi aiuteranno a rendere il vostro sito più sicuro ed è un ottimo punto di partenza per la maggior parte degli utenti.

 

Mantieni gli Script aggiornati

Le applicazioni open source come Magento, WordPress, phpBB, OpenCart ed altri CMS sono molto utili, ma bisogna ricordarsi di mantenerli sempre aggiornati. Le vecchie versioni di queste applicazioni possono rendere il vostro sito vulnerabile agli attacchi degli hacker, quindi è importante eseguire l’aggiornamento alla versione più recente di qualsiasi script che usi per il tuo sito web.

Se hai installato uno script utilizzando Softaculous, riceverai una e-mail ogni volta che viene rilasciata una nuova versione. Prima di aggiornare un CMS alla versione più recente, esegui sempre un backup del sito nel caso in cui la versione più recente dia problemi.

 

Aggiorna Plugin ed Estensioni

Se utilizzi Magento, WordPress, Joomla o altro, hai dei plugin o delle estensioni installate sul tuo sito, assicurati di tenerli sempre aggiornati, le vecchie versioni di plugin o estensioni sono vulnerabili dagli hacker.

Nel caso di WordPress, gli Hacker utilizzano quasi sempre un codice maligno che risiede all’interno dei Temi per bucarvi il sito, questo non succede se scaricate i Temi dalla directory ufficiale di WordPress dove i temi sono controllati e sicuri. Leggi anche: WordPress come assicurarsi che il proprio tema sia sicuro

 

Elimina le installazioni non utilizzate

Se hai installato WordPress 2 anni fa e non hai ancora trovato il tempo per scrivere un post, allora è il momento di cancellare questa installazione, perchè è vulnerabile agli attacchi degli hacker.

Disinstalla e reinstalla l’ultima versione di WordPress.

 

Utilizza Password difficili da indovinare

Secondo un rapporto di Imperva , una delle principali società di sicurezza dati, le password più comunemente utilizzate sono cifre consecutive, come 1234567, chiavi adiacenti come QWERTY, parole in gergo e nomi propri. Se la password utilizzata per l’area di amministrazione del tuo sito web rientra in una delle categorie elencate, allora dovresti cambiarla immediatamente.

E’ meglio utilizzare delle password generate in modo casuale con combinazioni di numeri, lettere e caratteri speciali. Per creare una password generata in modo casuale è possibile utilizzare il generatore casuale di password random.org.

 

Non condividere le tue Password con nessuno

Se vuoi evitare che il tuo sito web o posta elettronica sia bucato dagli hacker, non condividere le tue password con nessuno. Con la maggior parte delle applicazioni open source è possibile creare facilmente nomi utenti e password per utenti diversi, quindi non c’è bisogno di condividere le informazioni con nessuno.

 

Cambia le Password regolarmente

Per contribuire a mantenere sicuro il tuo sito web, cambia le password ogni 3 mesi circa. Se hai avuto un problema di sicurezza, allora cambiale subito.

 

Non utilizzare il tuo nome Utente predefinito

Quando si installa un’applicazione open source come WordPress o Magento, verrà creato un account admin di default con il nome utente admin.

Cambia il nome utente per l’account subito.

 

Non pubblicizzare lo Script che stai usando

Un modo per scoraggiare gli hacker è quello di rendere difficile a loro capire quale applicazione open source stai utilizzando sul tuo sito. Quando si installa uno script, la favicon di default sarà il logo dell’applicazione. Se non si cambia la favicon, allora gli hacker si renderanno conto immediatamente  dello script che state utilizzando.

Inoltre, verifica che i temi non includano link che richiamino il CMS usato, tipo ‘Powered by WordPress’ e rimuovi il meta name=”generator”, ciò potrebbe rendere il vostro sito un bersaglio per gli hacker.

 

Elimina gli Account Ftp inutilizzati

Se disponi di più account FTP per il tuo sito, assicurati di eliminare gli account FTP che non stai utilizzando.

Gli account inutilizzati possono essere facilmente eliminati tramite cPanel in ‘Account FTP’.

 

Cosa fare se il tuo sito è stato compromesso dagli Hacker?

Se il tuo sito è stato bucato dagli Hacker, contatta il Provider dell’Hosting subito. Il tuo fornitore di hosting dovrebbe essere in grado di dirti l’entità del danno causato dall’hacker, oltre a fornire raccomandazioni sui passi che devi fare per rendere il sito fruibile e sicuro.

In alcuni casi, i siti hackerati potranno essere ripristinati da un backup e poi in seguito dovranno essere adottate delle contromisure per proteggere il sito. Anche se la maggior parte dei Provider effettuano il Backup di tutti siti residenti in un server è importante e consigliato per gli utenti creare il proprio backup il più spesso possibile.

 

Alla Prossima.

 

Andrea (Xlogic.org) Leave a comment News da Xlogic, Performance e sicurezza, Wordpress

I migliori plugin per la sicurezza di WordPress

WordPress è un CMS potente, flessibile e con esso è possibile effettuare qualsiasi cosa, grazie ai migliaia di temi e di plugin disponibili nella directory ufficiale, ma essendo un software Open Source può succedere che ci sia il rischio di installare dei plugin o temi contenenti virus o malware, e così facendo il tuo sito verrebbe compromesso e di conseguenza per esempio potresti venire sospeso dal Provider perché il tuo Account invia automaticamente Spam.

Per evitare questi problemi ti consigliamo alcuni plugin free che ti permetteranno di rendere sicuro il tuo sito WordPress.

Di seguito i migliori Plugin per la sicurezza di WordPress:

 

All in One – WP Security & Firewall
I migliori plugin per la sicurezza di WordPress

Questo plugin offre moltissime funzionalità tra cui l’antivirus, la protezione del sito con il Firewall, la possibilità di inserire gli IP in blacklist, inoltre blocca gli attacchi Brutal Force, protegge il database di WordPress.

 

Wordfence Security
Wordfence-Security

Questo plugin permette di effettuare scansioni antivirus e antimalware, inoltre offre diverse funzionalità legate alla sicurezza, per esempio è possibile bloccare manualmente gli IP oppure blocca automaticamente gli attacchi Brutal Force.

 

Sucuri Security
sucuri-security
Il plugin Sucuri Security è un set di strumenti di sicurezza per il controllo dell’integrità del sitema, rilevamento del malware e protezione avanzata.

 

Theme Authenticity Checker (TAC)
scan-wordpress-theme-authenticity-checker-image

Questo plugin controlla se nei temi sono presenti degli elementi dannosi come virus o malware; è consigliabile controllare all’interno dell’area del plugin ogni volta che viene installato un nuovo tema.

 

Brute Force Login Protection
13-brute-force-login-protection

Questo plugin ha lo scopo principale di limitare gli attacchi Brutal Force al tuo sito WordPress; ma che cosa sono esattamente gli attacchi Brutal Force? Sono degli attacchi diretti alla pagina di Login del sito provocati da script dannosi che provano costantemente migliaia di combinazioni (User e Password) per riuscire ad accedere.

Quindi oltre ad installare questo plugin è importante cambiare l’User Admin inserendo un altro nome (magari il proprio nome) e soprattutto inserire una password complicata formata da lettere, numeri e simboli.

 

Lock Down
lockdown
Questo plugin ti permette di modificare l’url di Login, quindi da wp-admin / wp_login.php potrai inserire l’url che preferisci, esempio: /entra – /accedi – /enter – etc…

 

Conclusioni
I plugin citati sono tutti importanti e popolari ma secondo noi i migliori plugin in assoluto sono:

  • Theme Authenticity Check (TAC)
  • Lock Down
  • Brute Force Login Protection

Per quanto riguarda il plugin Theme Authenticity Check (TAC), una volta scelto il tema del tuo sito, controlla che non abbia degli elementi dannosi all’interno e successivamente disattiva il plugin fino a quando non dovrai installare un altro tema.

E’ importante la sicurezza, ma bisogna comunque rendere più leggero possibile il sito web, ciò significa che i plugin che non sono realmente necessari o che comunque sono importanti solo alcune volte devono essere disattivati.

 

Alla prossima!