WordPress: come aumentare la sicurezza della maschera di login

Molto spesso abbiamo trattato i problemi di sicurezza relativi ai propri account WordPress, il CMS più utilizzato al mondo e sul quale sono basate anche note piattaforme come WooCommerce. Uno dei pericoli principali quando si gestisce una piattaforma simile sono sicuramente gli attacchi brute force, ovvero continui tentativi di login effettuati da bot che provano tutte le alternative disponibili con l’obiettivo di prendere il controllo del portale della vittima.

In questa breve guida vediamo il funzionamento di un utile plugin che se usato correttamente consente di diminuire sensibilmente il rischio di subire attacchi a partire dalla propria maschera di login. Lo strumento in questione si chiama Login LockDown ed è disponibile gratuitamente nella directory di WordPress. Per trovarlo seguiamo il consueto percorso Plugin -> Aggiungi nuovo e digitiamo il nome Login LockDown nella barra di ricerca. Il primo risultato sarà il seguente:

Dopo aver fatto clic su Installa adesso e, successivamente, su Attiva, dovremo seguire il percorso Impostazioni -> Login LockDown a partire dal menu di sinistra. Nella scheda Settings vedremo poche personalizzazioni da fare per incrementare la sicurezza del proprio sito.

La prima opzione consente di scegliere il numero massimo di login consentiti prima di creare un blocco all’accesso, nella seconda opzione invece si deciderà il periodo di tempo (in minuti) prima di poter effettuare nuovi tentativi. La terza voce è quella della durata del blocco, che di default è impostata a sessanta minuti ma può essere incrementata per tutto il tempo che si vuole. La quarta opzione consente di bloccare o meno gli username inesistenti se qualcuno prova ad effettuare un accesso con essi. Di default questa opzione non è attiva, poiché si potrebbero bloccare utenti reali incappati in un banale errore di battitura.

Le ultime due opzioni consentono di scegliere se mascherare o meno gli errori di login, ovvero il classico testo che avverte l’utente per aver inserito un username o una password errati. L’opzione di default anche in questo caso è posta sul no. Nell’ultima personalizzazione si può semplicemente decidere di inserire i crediti al plugin sotto alla propria maschera di login.

Al termine delle operazioni facciamo clic su Update Settings per salvare le modifiche. Ciò che rende interessante questo plugin è il fatto di operare un blocco degli IP che provano ad accedere al CMS e di poter decidere, come abbiamo visto, per quanto bloccare loro anche i soli tentativi di login.