Doppio livello di autenticazioneDoppia password di login per aumentare la sicurezza di WordPress

Questo è un post tecnico di 7 anni fa. Le istruzioni potrebbero non essere più valide. Publicato: Gennaio 14, 2018

Come aumentare la sicurezza di WordPress rendendo più sicuro il login del tuo sito web con una doppia password (pre-Login)

Dopo averti mostrato le linee guida per migliorare la sicurezza di WordPress e dopo averlo ripulito dai file spazzatura e il momento di proteggere le pagine WP-LOGIN.PHP e WP-ADMIN con un doppio livello di autenticazione (doppia password per il login).

Anche se il tuo blog non è seguito da molti lettori, questo non significa che sia esente da minacce hacker. Gli attacchi dei pirati informatici possono arrivare da tutto il mondo e utilizzano dei sistemi di tracciamento automatico, in grado di rilevare vulnerabilità di ogni tipo su migliaia di siti contemporaneamente. E una volta che ci ritroviamo con il sito non più accessibile incominciano i guai…

La sicurezza è un fattore determinante per il successo del tuo sito web. Nessuno mai vorrebbe vedere il proprio sito web hackerato o invaso da file inutili.

WordPress, ormai, è utilizzato dalla stragrande maggioranza dei blog e quasi tutti hanno scelto un provider con un account cPanel.

Siteground, VHosting Solution, e BlueHost sono le compagnie di hosting più popolari per chi utilizza WordPress.

Io personalmente ho iniziato e sono rimasto fedele a Siteground, piano Go Geek.

In questo tutorial ti mostrerò come migliorare ed aumentare la sicurezza di WordPress, aggiungendo un’altra password alla tua pagina di login.

Dopo aver inserito la prima password, sarà necessario inserire la seconda password per accedere alla bacheca WordPress del tuo sito web.

In particolare, vedremo come proteggere la pagina WP-ADMIN con .htaccess e come prevenire gli attacchi Brute Force da parte degli hacker.

Sei pronto? Iniziamo!

#1 Fai il login nel tuo cPanel

Accedi al tuo account cPanel, vai nella sezione File, ed infine, clicca su “Gestione File”.

#2 Abilita i File nascosti

Cliccando su “Gestione File” si aprirà una nuova finestra. Clicca prima su “Home directory” e poi spunta la casella “Mostra file nascosti (dotfiles)”

In questo modo potrai vedere tutti i file nascosti nel tuo server.

#3 Crea un file chiamato .wpadmin

Nella schermata successiva, clicca su “Nuovo File” (in alto a sinistra) e crea un nuovo file chiamato .wpadmin

Il file verrà creato in questo percorso /home/<username>/.wpadmin

#4. Crea un username ed una password a prova di hacker

Per creare una combinazione di user e password molto complessa vai sul sito http://www.htaccesstools.com/htpasswd-generator/

Scegli e scrivi un username e una password a tua scelta.

Clicca, infine, sul bottone “Create .htpasswd file ”

A questo punto vedrai una combinazione del tuo username e password simile a questa: alfonsostriano:$apr1$h8xkWbnp$21u14Jpd3s/VSfD0.6LOA

#5 Modifica il file .wpadmin

• Vai sul File Manager
• Seleziona il file .wpadmin
• Clicca su “Modifica”
• Copia e Incolla al suo interno la combinazione di username e password ottenuta precedentemente.
• Salva il file.

#6 Crea un file .htaccess nella cartella Home del tuo server

Allo stesso livello del file .wpadmin crea (se non è già presente) un altro file chiamato .htaccess e scrivi al suo interno questo codice:

Questo file deve essere creato sempre nel percorso: /home/<username>/.htaccess

Sostituisci l’username (alfonsostriano) con l’username del tuo cPanel. Questo file .htaccess è diverso e non deve essere confuso con quello presente nel percorso principale (public_html/www.) del tuo blog WordPress.

Come prevenire gli attacchi Brute Force da parte degli hacker

Per prevenire gli attacchi Brute Force puoi installare il plugin gratuito Login LockDown. Con questo plugin puoi bloccare i tentativi di accesso falliti al tuo sito web decidendo il numero di ore di ban.

Abilita una Web Application Firewall (WAF)

Il modo più semplice per proteggere il nostro sito web ed aumentare la sicurezza di WordPress è quello di usare una web application firewall (WAF), ovvero un firewall che sia in grado di bloccare tutto il traffico potenzialmente dannoso prima che lo stesso raggiunga il nostro sito web.

Uno dei migliori firewall offerti nella rete, anche in versione gratuita, è Cloudflare: collegati subito. Se, invece, hai scelto Siteground come tuo hosting web, puoi attivare CloudFlare direttamente dal tuo cPanel.

Se preferisci installare un plugin puoi usare Anti-Malware Security and Brute-Force Firewall che puoi scaricare gratuitamente dal Pannello di Controllo di WordPress e che esegue una scansione immediata del tuo sito alla ricerca di backdoor (porte di accesso non controllate) e altre minacce per la sicurezza.

Questo plugin attiva un firewall creando così una barriera in grado di fermare la maggior parte dei malware in circolazione. I frequenti aggiornamenti disponibili gratuitamente consentono al plugin di avere sempre a disposizione l’elenco delle più recenti minacce informatiche.

Usa il certificato SSL per criptare i dati

Il certificato SSL (Secure Socket Layer) garantisce il trasferimento sicuro dei dati tra browser e server, rendendo più difficile l’intrusione nella connessione da parte degli hacker. Per maggiori dettagli, clicca qui.

Fai un backup regolare del tuo sito web

In caso di problemi gravi è indispensabile, avere sempre a portata di mano un backup aggiornato del nostro sito web per ripristinare la situazione in un momento in cui il sito web era perfettamente funzionante.

A tale scopo, ti consiglio di utilizzare il plugin WordPress “All in One Wp Migration” che oltre a essere un ottimo sistema per trasferire il tuo sito web da un hosting ad un altro (anche locale), è anche un’ottima utility per fare dei backup regolari ed infallibili del tuo sito web.

Se vuoi approfondire l’uso di questo plugin, leggi l’apposito tutorial che ho predisposto per gli utenti del mio blog. Clicca qui.

Abbiamo Finito!

Il tuo sito web è ora protetto con un doppio livello di autenticazione, in questo modo, migliorando ed aumentando la sicurezza del tuo sito WordPress.

A questo punto, visita la pagina Login del tuo sito web: https://tuositoweb.com/wp-admin/

Noterai, che per entrare, dovrai inserire l’user e la password che hai scelto al punto 4 di questo tutorial (combinazione user e password per il file .htaccess) oltre alle credenziali che normalmente utilizzi per accedere alla bacheca del tuo sito WordPress. Inoltre evita di fare troppi errori di login se non vuoi ritrovarti bannato per qualche ora.

Le nuove credenziali che hai creato al punto 4 di questo tutorial sono diverse da quelle che normalmente utilizzi per accedere alla bacheca del tuo sito web.

Se vuoi migliorare ed aumentare la sicurezza di WordPress con altri trucchi utili, leggi tutti i post della categoria Sicurezza WordPress.

Vuoi creare un sito web professionale?

Tutto quello che serve in un'unica guida

Acconsento al trattamento dei miei dati personali. Leggi la Privacy Policy.

si

SCARICA LA GUIDA PDF