I problemi di password restano la principale fonte di compromissioni su WordPress. I bot che scandagliano il web pubblico lanciano attacchi a forza bruta ogni minuto della giornata, attingendo a miliardi di credenziali trapelate da violazioni passate. Se la tua password \u00e8 comparsa in una qualsiasi fuga di dati, \u00e8 in un elenco. Se \u00e8 debole, pu\u00f2 essere indovinata. Se la riutilizzi su pi\u00f9 servizi, la violazione di un solo sito espone tutti gli altri.<\/p>\n\n\n\n
Questo articolo \u00e8 una checklist pratica per gestire correttamente l’igiene delle password su un sito WordPress, soprattutto quando a usarlo \u00e8 pi\u00f9 di una persona.<\/p>\n\n\n\n
\u00c8 il passo pi\u00f9 importante in assoluto. Scegli un gestore di password affidabile e usalo per ogni account, non solo per WordPress. 1Password, Bitwarden, Dashlane e KeePassXC sono tutte buone scelte, con diversi compromessi tra la comodit\u00e0 della sincronizzazione nel cloud e il controllo dell’auto-hosting.<\/p>\n\n\n\n
Un gestore di password ti permette di usare password uniche, lunghe e casuali per ogni servizio senza doverle mai ricordare. Inoltre le compila automaticamente, il che significa che smetti di digitarle e che le pagine di phishing non possono ingannarti imitando un vero modulo di accesso: il riempimento automatico si rifiuta silenziosamente di agire su un dominio falso.<\/p>\n\n\n\n
L’errore pi\u00f9 grande \u00e8 riutilizzare la stessa password su pi\u00f9 servizi. Quando uno di questi subisce una violazione, la password trapelata viene provata su ogni altro sito che potrebbe sbloccare. Il tuo amministratore di WordPress pu\u00f2 essere compromesso a causa di una violazione su un sito del tutto estraneo.<\/p>\n\n\n\n
Con un gestore di password \u00e8 semplice. Genera una nuova password casuale per ogni account. Salvala. Vai avanti. Non la digiti mai, non la riutilizzi mai, non la vedi mai.<\/p>\n\n\n\n
Per una password che devi davvero ricordare, come la password principale del tuo gestore, dai priorit\u00e0 alla lunghezza rispetto ai caratteri speciali. Una passphrase di quattro-sei parole senza legame tra loro \u00e8 molto pi\u00f9 robusta di una breve sequenza di simboli misti, e molto pi\u00f9 facile da ricordare. Le raccomandazioni attuali di organismi come il NIST e l’Australian Cyber Security Centre si sono spostate dalle regole di complessit\u00e0 verso lunghezza e unicit\u00e0.<\/p>\n\n\n\n
Servizi come Have I Been Pwned mantengono un database pubblico delle password comparse nelle fughe di dati. Molti gestori di password integrano direttamente questo controllo. Se una password che stai usando \u00e8 gi\u00e0 stata esposta, il gestore te lo segnaler\u00e0. Sostituiscila.<\/p>\n\n\n\n
Questo \u00e8 particolarmente importante per le password pi\u00f9 vecchie, che potrebbero essere state compromesse in una violazione di cui non hai mai sentito parlare.<\/p>\n\n\n\n
Gli attacchi a forza bruta contro WordPress di solito abbinano nomi utente comuni a password comuni. Se il tuo account amministratore si chiama admin, administrator, il nome della tua azienda o il tuo nome di battesimo, l’attaccante ha gi\u00e0 indovinato met\u00e0 della credenziale. Scegli un nome utente non indovinabile.<\/p>\n\n\n\n
WordPress non consente di rinominare un utente, ma puoi creare un nuovo amministratore con un nome non indovinabile e poi retrocedere o eliminare quello vecchio. Fai attenzione a riassegnare la paternit\u00e0 dei contenuti prima di eliminarlo.<\/p>\n\n\n\n
Ogni account amministratore \u00e8 un’ulteriore credenziale che pu\u00f2 essere compromessa. Verifica l’elenco. Chi deve solo pubblicare articoli dovrebbe essere editore, non amministratore. Chi deve solo consultare le statistiche non ha affatto bisogno dell’accesso admin. Meno account amministratore hai, minore \u00e8 la superficie da difendere.<\/p>\n\n\n\n
Quando un dipendente o un collaboratore termina il proprio lavoro, rimuovi subito il suo account WordPress. Non tra una settimana, non a fine progetto: lo stesso giorno. La sua password potrebbe essere ancora riutilizzata su servizi che verranno violati pi\u00f9 avanti, il suo dispositivo potrebbe conservare una sessione attiva, oppure potrebbe semplicemente riaccedere per motivi che preferiresti evitare.<\/p>\n\n\n\n
La stessa logica vale per le chiavi API e le password per applicazioni associate al suo account. Revocale tutte.<\/p>\n\n\n\n
WordPress utilizza un insieme di chiavi segrete e salt nel file wp-config.php per firmare i cookie e proteggere i dati di sessione. Rinnovarli una o due volte l’anno invalida ogni sessione esistente, un reset pulito contro qualsiasi token di sessione che possa essere stato catturato. Dopo qualsiasi incidente o cambio di personale, \u00e8 essenziale.<\/p>\n\n\n\n
Il generatore di chiavi segrete di WordPress.org produce un set nuovo in pochi secondi. Incollale nel wp-config.php e il rinnovo \u00e8 fatto.<\/p>\n\n\n\n
Anche con tutto quanto sopra, una password da sola non basta. L’autenticazione a due fattori colma la lacuna quando qualcosa trapela. Consideralo un requisito non negoziabile per qualsiasi account con ruolo di amministratore o editore.<\/p>\n\n\n\n
L’igiene delle password non \u00e8 una disciplina che riguarda una sola persona. Se qualcuno nel team cade in un’email di phishing, riutilizza una password tra servizi diversi o annota una password su un foglietto adesivo, il resto della policy crolla. Una breve sessione di formazione cordiale ogni sei mesi mantiene salde le basi.<\/p>\n\n\n\n
Affronta il gestore di password, l’aspetto del phishing, perch\u00e9 conta l’unicit\u00e0 e cosa fare se sospetti che una credenziale sia trapelata. La maggior parte delle persone \u00e8 disposta a seguire buone pratiche una volta che gliele si spiega. L’attrito di solito sta nella consapevolezza, non nella motivazione.<\/p>\n\n\n\n