I problemi di password restano la principale fonte di compromissioni su WordPress. I bot che scandagliano il web pubblico lanciano attacchi a forza bruta ogni minuto della giornata, attingendo a miliardi di credenziali trapelate da violazioni passate. Se la tua password è comparsa in una qualsiasi fuga di dati, è in un elenco. Se è debole, può essere indovinata. Se la riutilizzi su più servizi, la violazione di un solo sito espone tutti gli altri.
Questo articolo è una checklist pratica per gestire correttamente l’igiene delle password su un sito WordPress, soprattutto quando a usarlo è più di una persona.
Usa un gestore di password. Davvero.
È il passo più importante in assoluto. Scegli un gestore di password affidabile e usalo per ogni account, non solo per WordPress. 1Password, Bitwarden, Dashlane e KeePassXC sono tutte buone scelte, con diversi compromessi tra la comodità della sincronizzazione nel cloud e il controllo dell’auto-hosting.
Un gestore di password ti permette di usare password uniche, lunghe e casuali per ogni servizio senza doverle mai ricordare. Inoltre le compila automaticamente, il che significa che smetti di digitarle e che le pagine di phishing non possono ingannarti imitando un vero modulo di accesso: il riempimento automatico si rifiuta silenziosamente di agire su un dominio falso.
Rendi unica ogni password
L’errore più grande è riutilizzare la stessa password su più servizi. Quando uno di questi subisce una violazione, la password trapelata viene provata su ogni altro sito che potrebbe sbloccare. Il tuo amministratore di WordPress può essere compromesso a causa di una violazione su un sito del tutto estraneo.
Con un gestore di password è semplice. Genera una nuova password casuale per ogni account. Salvala. Vai avanti. Non la digiti mai, non la riutilizzi mai, non la vedi mai.
La lunghezza prima della complessità
Per una password che devi davvero ricordare, come la password principale del tuo gestore, dai priorità alla lunghezza rispetto ai caratteri speciali. Una passphrase di quattro-sei parole senza legame tra loro è molto più robusta di una breve sequenza di simboli misti, e molto più facile da ricordare. Le raccomandazioni attuali di organismi come il NIST e l’Australian Cyber Security Centre si sono spostate dalle regole di complessità verso lunghezza e unicità.
Controlla le password nei database delle violazioni
Servizi come Have I Been Pwned mantengono un database pubblico delle password comparse nelle fughe di dati. Molti gestori di password integrano direttamente questo controllo. Se una password che stai usando è già stata esposta, il gestore te lo segnalerà. Sostituiscila.
Questo è particolarmente importante per le password più vecchie, che potrebbero essere state compromesse in una violazione di cui non hai mai sentito parlare.
Rinomina il nome utente admin predefinito
Gli attacchi a forza bruta contro WordPress di solito abbinano nomi utente comuni a password comuni. Se il tuo account amministratore si chiama admin, administrator, il nome della tua azienda o il tuo nome di battesimo, l’attaccante ha già indovinato metà della credenziale. Scegli un nome utente non indovinabile.
WordPress non consente di rinominare un utente, ma puoi creare un nuovo amministratore con un nome non indovinabile e poi retrocedere o eliminare quello vecchio. Fai attenzione a riassegnare la paternità dei contenuti prima di eliminarlo.
Limita chi ha accesso da amministratore
Ogni account amministratore è un’ulteriore credenziale che può essere compromessa. Verifica l’elenco. Chi deve solo pubblicare articoli dovrebbe essere editore, non amministratore. Chi deve solo consultare le statistiche non ha affatto bisogno dell’accesso admin. Meno account amministratore hai, minore è la superficie da difendere.
Rimuovi gli utenti quando se ne vanno
Quando un dipendente o un collaboratore termina il proprio lavoro, rimuovi subito il suo account WordPress. Non tra una settimana, non a fine progetto: lo stesso giorno. La sua password potrebbe essere ancora riutilizzata su servizi che verranno violati più avanti, il suo dispositivo potrebbe conservare una sessione attiva, oppure potrebbe semplicemente riaccedere per motivi che preferiresti evitare.
La stessa logica vale per le chiavi API e le password per applicazioni associate al suo account. Revocale tutte.
Rinnova le chiavi e i salt di WordPress
WordPress utilizza un insieme di chiavi segrete e salt nel file wp-config.php per firmare i cookie e proteggere i dati di sessione. Rinnovarli una o due volte l’anno invalida ogni sessione esistente, un reset pulito contro qualsiasi token di sessione che possa essere stato catturato. Dopo qualsiasi incidente o cambio di personale, è essenziale.
Il generatore di chiavi segrete di WordPress.org produce un set nuovo in pochi secondi. Incollale nel wp-config.php e il rinnovo è fatto.
Attiva la 2FA su ogni account amministratore
Anche con tutto quanto sopra, una password da sola non basta. L’autenticazione a due fattori colma la lacuna quando qualcosa trapela. Consideralo un requisito non negoziabile per qualsiasi account con ruolo di amministratore o editore.
Forma il team
L’igiene delle password non è una disciplina che riguarda una sola persona. Se qualcuno nel team cade in un’email di phishing, riutilizza una password tra servizi diversi o annota una password su un foglietto adesivo, il resto della policy crolla. Una breve sessione di formazione cordiale ogni sei mesi mantiene salde le basi.
Affronta il gestore di password, l’aspetto del phishing, perché conta l’unicità e cosa fare se sospetti che una credenziale sia trapelata. La maggior parte delle persone è disposta a seguire buone pratiche una volta che gliele si spiega. L’attrito di solito sta nella consapevolezza, non nella motivazione.
Ti serve una mano?
Se vuoi che Smart Coding verifichi gli utenti del tuo WordPress, imposti flussi di lavoro con gestore di password per il team, attivi la 2FA su ogni account amministratore e rinnovi le chiavi, contattaci. È il lavoro di un solo pomeriggio che elimina gran parte del rischio legato alle password su un sito WordPress. Per parlare del tuo sito, il team di Defyn è a tua disposizione.
