Una password debole è tutto ciò che serve a un hacker per dirottare il tuo sito web. Senza sicurezza aggiuntiva, tutto ciò che hai costruito è a rischio.
Una soluzione semplice? Domande di sicurezza. E impostarle è più facile di quanto pensi.
Ho testato vari metodi di autenticazione sui siti web WordPress e ho scoperto che aggiungere domande di sicurezza è un modo semplice per aiutare a prevenire accessi non autorizzati. 🔑
Richiedendo risposte uniche che solo tu conosci, aggiungi un livello di sicurezza al tuo sito web. Rende molto più difficile per gli hacker ottenere l'accesso, anche se rubano la tua password.
In questa guida, ti mostrerò come aggiungere domande di sicurezza alla schermata di accesso di WordPress. Non devi essere un esperto di tecnologia: segui semplicemente le istruzioni e avrai un livello di sicurezza aggiuntivo in pochi minuti.
Perché aggiungere domande di sicurezza in WordPress?
La tua pagina di accesso a WordPress è come la porta d'ingresso del tuo sito web. Una password è un buon lucchetto, ma aggiungere domande di sicurezza è come aggiungere un catenaccio: rende molto più difficile per qualcuno entrare.
Le domande di sicurezza aggiungono un ulteriore livello di protezione alla tua area di amministrazione di WordPress, rendendo più difficile per gli aggressori infiltrarsi. Quando questa funzionalità è abilitata, gli utenti devono rispondere a una o più domande personali prima di poter accedere.
Ecco come le domande di sicurezza possono aiutare:
🔒 Un ostacolo in più per gli hacker: anche se qualcuno indovina la tua password, le domande di sicurezza rendono più difficile per loro entrare.
🤖 Previene attacchi automatizzati: Gli hacker usano spesso bot per indovinare le password. Ma le domande di sicurezza richiedono risposte personali che i bot non possono facilmente intuire, rendendo gli attacchi automatizzati meno efficaci.
🔑 Aiuta a recuperare gli account in modo più sicuro: Hai dimenticato la password? Invece di aspettare un'email di reset (che può essere intercettata), le domande di sicurezza forniscono un modo rapido e sicuro per riottenere l'accesso.
⚡ Configurazione rapida e semplice: Le domande di sicurezza sono più facili da configurare rispetto all'autenticazione a due fattori (2FA), che richiede un'app o un dispositivo separato. Sebbene convenienti, le domande di sicurezza offrono un livello di protezione inferiore rispetto alla 2FA, che generalmente consiglio per la massima sicurezza.
Sebbene utili, le domande di sicurezza non sono infallibili. Hacker astuti potrebbero provare a indovinare le tue risposte o persino ingannarti per rivelarle (questo si chiama 'ingegneria sociale').
Pertanto, è importante scegliere domande le cui risposte non siano facilmente intuibili o disponibili pubblicamente online.
💡Promemoria importante:
Tieni presente che, sebbene le domande di sicurezza possano aggiungere un ulteriore livello di protezione, non dovrebbero essere la tua *unica* difesa. Per ottenere i migliori risultati, usale come parte di una strategia di sicurezza più ampia che includa l'autenticazione a due fattori, politiche di password robuste e tentativi di accesso limitati. Per iniziare, consulta la nostra guida definitiva alla sicurezza di WordPress.
Detto questo, vediamo come puoi aggiungere facilmente domande di sicurezza alla tua schermata di accesso di WordPress. In questo tutorial, ti mostrerò due metodi.
Puoi usare i link qui sotto per saltare al metodo che preferisci:
- Metodo 1: Aggiungere domande di sicurezza alla schermata di accesso dell'amministratore con WPCode
- Metodo 2: Aggiungere domande di sicurezza per tutti gli utenti con MelaPress
- Guide bonus per la sicurezza della schermata di accesso
Metodo 1: Aggiungere domande di sicurezza alla schermata di accesso dell'amministratore con WPCode
Se desideri un modo semplice per aggiungere domande di sicurezza alla schermata di accesso di amministrazione di WordPress, allora questo metodo fa per te.
Ho visto molti altri siti web utilizzare questa tattica insieme all'autenticazione a due fattori e ad altre protezioni di accesso, e ha funzionato molto bene per loro come ulteriore ostacolo per potenziali intrusi.
Per fare ciò, dovrai aggiungere codice personalizzato al tuo file functions.php. Questo può essere un po' scoraggiante poiché il più piccolo errore può compromettere il tuo sito web. Ecco perché consiglio WPCode, che è il miglior plugin per snippet di codice WordPress sul mercato.
Dopo test approfonditi, i miei colleghi ed io abbiamo concluso che è il modo più semplice e sicuro per aggiungere codice personalizzato al tuo sito web. Per saperne di più, consulta la nostra recensione completa di WPCode.
Innanzitutto, devi installare e attivare il plugin WPCode. Per istruzioni passo passo, potresti voler consultare la nostra guida su come installare un plugin di WordPress.
🚨 Nota: Il plugin ha anche una versione gratuita che puoi utilizzare. Tuttavia, l'aggiornamento al piano pro ti darà accesso a funzionalità come una libreria cloud di snippet di codice, logica condizionale intelligente, snippet di blocchi e altro ancora.
Una volta attivato il plugin, visita la pagina Code Snippets » + Add Snippet dalla dashboard di WordPress.
Qui, fai clic sul pulsante 'Usa snippet' sotto l'opzione 'Aggiungi il tuo codice personalizzato (Nuovo snippet)'.
Questo ti porterà a una nuova schermata, dove puoi aggiungere un nome per il tuo snippet di codice.
Tieni presente che questo nome non verrà mostrato ad alcun utente. Serve semplicemente ad aiutarti a identificare facilmente lo snippet di codice che stai creando.
Successivamente, scegli 'PHP Snippet' come 'Code Type' dal popup.
Ora, aggiungi il seguente codice personalizzato nella casella 'Code Preview':
add_action( 'login_form', function () {
?>
<p><label for="security_question">What is your favorite color?<br/>
<input type="text" name="security_question" id="security_question" class="input" autocomplete="off"/></label>
</p>
<?php
} );
add_filter( 'wp_authenticate_user', function( $user, $password ) {
$answer = isset( $_POST['security_question'] ) ? sanitize_text_field( wp_unslash( $_POST['security_question'] ) ) : '';
if ( 'blue' !== strtolower( $answer ) ) { // Replace 'blue' with your expected answer
return new WP_Error( 'security_question_error', '<strong>ERROR</strong>: Incorrect answer to the security question.' );
}
return $user;
}, 10, 2 );
Per impostazione predefinita, il codice personalizzato imposta "Qual è il tuo colore preferito?" come domanda di sicurezza.
Tuttavia, ti consiglio vivamente di cambiarla in qualcosa che non sia facilmente indovinabile. È meglio scegliere qualcosa di personale per te che poche persone conoscono.
Ad esempio, alcune domande di sicurezza comuni sono:
🐶 "Qual era il nome del tuo primo animale domestico d'infanzia?"
🏡 "Qual era il nome della prima strada in cui hai vissuto?"
👩 "Qual è il cognome da nubile di tua madre?"
Trova semplicemente questa riga nel codice e sostituiscila con la tua domanda desiderata.
<p><label for="security_question">What was the name of your first childhood pet?<br/>
Una volta fatto ciò, scorri fino a questa riga nel codice:
if ( 'spike' !== strtolower( $answer ) ) { // Replace 'spike' with your expected answer
Ora puoi cambiare la risposta alla domanda di sicurezza da qui.
Una volta che hai ricontrollato che la tua domanda e risposta siano come desideri, semplicemente cambia l'interruttore 'Inattivo' in 'Attivo'.
Infine, fai clic sul pulsante 'Salva snippet' per memorizzare le tue impostazioni.
Ora puoi visitare la tua schermata di accesso di WordPress per vedere la domanda di sicurezza.
Metodo 2: Aggiungere domande di sicurezza per tutti gli utenti con MelaPress
Se vuoi aggiungere domande di sicurezza per tutti gli utenti sul tuo sito web di appartenenza o blog multi-autore, allora questo metodo fa per te.
Per i siti di appartenenza, questo può aiutare a proteggere gli account utente da accessi non autorizzati durante azioni come il ripristino della password, il recupero dell'account o la riattivazione dopo essere stato disabilitato.
Ho visto che questo funziona bene su diversi siti web che offrono abbonamenti a pagamento, corsi online e community private.
Per i blog multi-autore, l'aggiunta di domande di sicurezza offre una protezione aggiuntiva per contributori, editor e amministratori che hanno accesso alla tua dashboard di WordPress. Aiuta a prevenire modifiche non autorizzate e mantiene sicuro il tuo flusso di lavoro di pubblicazione.
MelaPress Login Security ti consente di richiedere agli utenti di rispondere a domande di sicurezza prima di eseguire azioni sensibili, come il ripristino di una password o la riattivazione di un account disabilitato.
Questo garantisce che solo il legittimo proprietario dell'account possa completare queste azioni.
Innanzitutto, devi installare e attivare il plugin MelaPress Login Security. Per i dettagli, consulta il tutorial del mio team su come installare un plugin di WordPress.
🚨 Importante: MelaPress ha una versione gratuita. Tuttavia, avrai bisogno del piano Pro per accedere alla funzionalità delle domande di sicurezza.
Dopo aver attivato il plugin, vai alla pagina Login Security » Login Security Policies dalla dashboard di amministrazione di WordPress e seleziona l'opzione ‘Enable login security policies’.
Una volta fatto ciò, appariranno nuove impostazioni sullo schermo. Da qui, scorri verso il basso fino alla sezione ‘Security Questions’ e seleziona la casella ‘Activate Security questions’.
Quindi, scegli se vuoi richiedere domande di sicurezza per avviare un ripristino della password o per attivare un account disabilitato. Puoi anche selezionare entrambe le opzioni.
Ora, procedi e seleziona il numero di domande di sicurezza pre-salvate a cui ogni utente deve rispondere.
Dopodiché, fai clic sul link ‘Abilita’ accanto alle domande di sicurezza a cui vuoi che i tuoi utenti rispondano.
Se nessuna delle domande predefinite sembra adatta, puoi semplicemente fare clic sul pulsante ‘Aggiungi domanda’ e aggiungere la tua domanda preferita nel campo.
Puoi anche configurare il resto delle impostazioni di sicurezza secondo le tue preferenze.
Una volta terminato, fai semplicemente clic sul pulsante ‘Salva modifiche’ per memorizzare le tue scelte.
Ora che la policy delle domande di sicurezza è stata abilitata, gli utenti sul tuo sito web riceveranno un avviso sulla loro dashboard che chiede loro di fornire risposte ad alcune domande di sicurezza.
Una volta che gli utenti fanno clic sul pulsante ‘Visita la tua pagina profilo’, verranno portati alla loro pagina profilo di WordPress.
Qui, possono rispondere alle domande che hai selezionato e fare clic sul pulsante ‘Salva modifiche’.
Ora, quando un utente sul tuo sito web tenta di reimpostare la propria password o di attivare un account disabilitato, dovrà prima rispondere a una domanda di sicurezza.
Ecco un'anteprima di come apparirà nella tua schermata di accesso.
Guide bonus per la sicurezza della schermata di accesso
Spero che questo tutorial ti abbia aiutato a imparare come aggiungere domande di sicurezza alla tua schermata di accesso di WordPress. Potresti anche voler consultare alcune guide su altri modi per proteggere la tua schermata di accesso:
- Come aggiungere CAPTCHA al modulo di accesso e registrazione di WordPress
- Come aggiungere l'accesso senza password in WordPress con Magic Links
- Perché e come dovresti limitare i tentativi di accesso in WordPress
- Come disabilitare i suggerimenti di accesso nei messaggi di errore di accesso di WordPress
- Come aggiungere l'accesso social a WordPress (il modo più semplice)
- Guida per principianti all'aggiunta di un URL di accesso personalizzato in WordPress (passo dopo passo)
Se ti è piaciuto questo articolo, iscriviti al nostro canale YouTube per tutorial video su WordPress. Puoi anche trovarci su Twitter e Facebook.
Jiří Vaněk
Come secondo livello di protezione per WordPress, dove l'autenticazione a due fattori non può essere utilizzata per qualche motivo, come con Google Authenticator, è sicuramente un'alternativa interessante. Ogni livello di sicurezza ha senso, e anche se le domande e le risposte non sono sicure come la 2FA tramite un dispositivo mobile e un'app, è certamente meglio che non usare nulla. Quindi, come alternativa, è sicuramente una soluzione interessante all'app.
Dayo Olobayo
Un aspetto interessante da considerare è se le domande di sicurezza diventano meno efficaci nel tempo. Con i profili dei social media sempre più diffusi e le persone che condividono più informazioni personali online, credo che le risposte alle domande di sicurezza possano essere più facili da indovinare. Non è possibile che le domande di sicurezza si aggiornino automaticamente periodicamente?
Supporto WPBeginner
Not at the moment but possibly in the future
Amministratore
Mrteesurez
Questo è un altro modo per proteggere un sito WordPress utilizzando domande di sicurezza, specialmente per un sito di appartenenza.
La mia domanda è, questo è applicabile o funziona solo per una pagina di accesso WordPress predefinita ??
Cosa succede se voglio usarlo in una pagina di registrazione e accesso personalizzata ??
Supporto WPBeginner
Puoi usarlo per una pagina di accesso personalizzata o per la pagina di accesso predefinita.
Amministratore
Izzy
C'è un modo per farlo senza un plugin?
Supporto WPBeginner
Richiederebbe un po' di programmazione, ma al momento non abbiamo un metodo semplice per i principianti per configurarlo senza un plugin.
Amministratore
Bette Greenfield
Le informazioni in questo articolo sono aggiornate? Ultimo aggiornamento il 26 settembre 2016 da Staff Editoriale
Supporto WPBeginner
Il plugin dovrebbe funzionare ancora, ma il plugin potrebbe aver aggiornato la sua interfaccia da quando questo articolo è stato aggiornato l'ultima volta
Amministratore
chris
Ho appena provato questo plugin, è una vera schifezza
non c'è una casella di risposta, solo le caselle delle domande. ???
Supporto WPBeginner
Puoi aggiungere le tue domande e risposte nella pagina delle impostazioni del plugin.
Amministratore
chris
sì lo so, tuttavia il plugin mi ha dato solo le domande senza la casella di risposta
è molto strano con un glitch del genere.
chris
Ho fatto tutto questo e ancora, anche mettendo una risposta o meno, non funziona ancora, è un plugin schifoso, inutile per chiunque.
Non lo consiglierei ai miei amici.
Che imbarazzo per questo sviluppatore metterlo fuori e per te raccomandarlo.
malissimo malissimo malissimo
Dean Bartley
L'ho provato e funziona benissimo. I tuoi plugin o il tuo tema devono essere in conflitto con il plugin. E non capisco davvero perché ti comporti in questo modo. Stanno solo cercando di aiutare. Rilassati con il commento negativo e sii grato che raccomandino cose. Se non sei d'accordo, è la tua opinione. Grazie per la raccomandazione wpbeginner. Continua così.