Di default, WordPress mostra messaggi di errore sulla pagina di accesso quando qualcuno inserisce un nome utente o una password sbagliati. Sebbene questi messaggi abbiano lo scopo di aiutare gli utenti, possono anche fornire indizi agli hacker che cercano di entrare nel vostro sito.
La disabilitazione di questi suggerimenti per l’accesso è un modo semplice per migliorare la sicurezza del sito. Con un minor numero di dettagli esposti, diventa più difficile per chiunque indovinare le credenziali di accesso.
In questo articolo vi spiegheremo come disabilitare i suggerimenti per l’accesso in WordPress per rendere più sicuro il vostro sito web.
Cosa sono i suggerimenti di accesso nei messaggi di errore di accesso di WordPress?
Ogni volta che qualcuno tenta di accedere al vostro sito utilizzando un nome utente o una password sbagliati, WordPress mostrerà un messaggio di errore sulla schermata di accesso.
Se questa persona ha digitato un nome utente o un indirizzo email sbagliato, WordPress mostrerà il seguente errore: “Il nome utente non è registrato su questo sito”. Se non si è sicuri del nome utente, provare con l’indirizzo email”.
Questo può essere utile per gli utenti autentici, ma permette anche agli hacker di sapere che stanno digitando il nome utente sbagliato.
Se si inserisce il nome utente corretto ma la password non è corretta, si verifica l’errore: “La password inserita per il nome utente non è corretta. Hai perso la password?”.
Questo conferma ai potenziali aggressori l’ipotesi di un nome utente corretto.
Se qualcuno riesce a indovinare il nome utente, il messaggio di errore gli farà capire che è sulla strada giusta. Ciò significa che solo la password impedisce l’accesso all’account.
I proprietari di siti web WordPress possono anche accedere al proprio sito utilizzando un indirizzo email invece del nome utente. Ciò significa che un hacker potrebbe digitare diversi indirizzi email per cercare di capire quale indirizzo state utilizzando per il vostro account WordPress.
Non appena l’hacker indovina l’indirizzo email giusto, WordPress passa all’errore “La password inserita per il nome utente non è corretta”.
Per proteggere il vostro blog o sito WordPress dagli hacker, dovreste sempre utilizzare un nome utente unico e una password forte per il vostro account.
Se avete aggiunto altri utenti o autori di WordPress al vostro sito, potreste anche utilizzare un plugin di WordPress per costringere i vostri utenti a creare una password forte.
Sebbene questi passaggi siano un ottimo inizio, i suggerimenti per l’accesso possono aiutare gli hacker a penetrare nel vostro sito. Per questo motivo, vediamo come nascondere i suggerimenti per l’accesso nei messaggi di errore di WordPress.
Nascondere i suggerimenti per il login in WordPress
Il modo più semplice per disabilitare i suggerimenti per l’accesso nei messaggi di errore di WordPress è incollare del codice in WordPress. Anche se di solito non lo suggeriamo ai principianti, WPCode consente a chiunque di aggiungere facilmente codice al proprio sito web WordPress.
È possibile aggiungere il seguente frammento di codice in fondo al file functions.php
del sito, ma ciò potrebbe causare la rottura del sito.
Si consiglia di installare il plugin gratuito WPCode. Per istruzioni dettagliate, potete consultare la nostra guida su come installare un plugin per WordPress.
Dopo l’attivazione, tutto ciò che dovete fare è andare su Code Snippets “ +AddSnippet dalla vostra dashboard di amministrazione di WordPress. Poi, al passaggio del mouse su “Aggiungi codice personalizzato”, fare clic su “Usa snippet”.
Dopodiché, è sufficiente assegnare un nome al nuovo snippet e incollare il seguente codice nell’area “Anteprima codice”:
function no_wordpress_errors(){
return 'Something is wrong!';
}
add_filter( 'login_errors', 'no_wordpress_errors' );
Questo codice cambia l’errore predefinito della pagina di login in un messaggio personalizzato, come ad esempio “Qualcosa non va!
Inoltre, questo codice indica a WordPress di mostrare un messaggio personalizzato al posto dell’errore predefinito. Nell’esempio di codice qui sopra, usiamo “Something is wrong!” come messaggio di errore.
È possibile modificare questa riga per mostrare qualsiasi messaggio si desideri. Ad esempio, qui usiamo “Something is wrong!” come messaggio di errore:
return 'Something is wrong!';
Assicurarsi di selezionare PHP dal menu a tendina “Tipo di codice”, quindi passare da “Inattivo” ad “Attivo” e fare clic su “Salva snippet”.
Una volta fatto questo, è bene testare il nuovo messaggio di errore.
Per eseguire questo test, è sufficiente recarsi alla pagina di accesso del sito web e digitare il nome utente, la password o l’email sbagliati. Poi, fate clic sul pulsante “Accedi”.
A questo punto, WordPress mostrerà il nuovo messaggio di errore senza fornire alcun suggerimento su cosa potrebbe essere sbagliato.
Si noti che questo codice disabilita i suggerimenti per l’accesso in WordPress, ma non protegge da tentativi più avanzati o da attacchi brute-force.
Il modo più semplice per impedire agli hacker di accedere al vostro sito è utilizzare un plugin di sicurezza per WordPress come Cloudflare o WordFence.
Per saperne di più, potete leggere la nostra guida definitiva su come proteggere il vostro sito web WordPress.
Video tutorial
Per semplificare le cose, abbiamo creato anche un video tutorial su come disabilitare i suggerimenti per l’accesso nei messaggi di errore di WordPress.
Suggerimento bonus: migliorare la sicurezza dell’accesso a WordPress
Ora che conoscete l’importanza di un nome utente e di una password forti, esploriamo altri modi per aumentare la sicurezza del vostro accesso. È importante non solo per voi, ma anche per tutti coloro che contribuiscono al vostro blog, soprattutto se a gestirlo sono più autori.
Ecco alcuni suggerimenti per rendere i vostri account ancora più sicuri:
- Abilitate l’autenticazione a due fattori (2FA): Aggiunge un ulteriore livello di sicurezza rendendo necessario un secondo modulo di verifica, come un codice via SMS o una domanda di sicurezza.
- Utilizzate un gestore di password: Questi strumenti aiutano a creare e memorizzare password complesse in modo sicuro, in modo da non doverle ricordare tutte.
- Aggiornare la password in modo normale: Modificate le password ogni pochi mesi per ridurre al minimo il rischio di accesso non autorizzato. È ancora meglio se potete forzare gli aggiornamenti delle password per gli utenti.
- Evitate di usare il Wi-Fi pubblico per gli accessi sensibili: Se possibile, utilizzate una connessione sicura e privata quando accedete ad account importanti.
- Aggiornate il vostro software: Aggiornamenti normali possono proteggervi dalle vulnerabilità di sicurezza che gli aggressori potrebbero sfruttare.
In alto, potreste voler limitare i tentativi di accesso al vostro sito WordPress.
Durante un attacco a forza bruta, gli hacker utilizzano un software automatizzato per indovinare ripetutamente le password a causa dei tentativi di accesso illimitati consentiti di default dalla piattaforma.
La limitazione dei tentativi di accesso falliti, ad esempio bloccando temporaneamente gli utenti dopo 5 tentativi non riusciti, riduce significativamente il rischio di accesso non autorizzato da attacchi di forza bruta.
Speriamo che questo articolo vi abbia aiutato a capire come nascondere i suggerimenti per il login dai messaggi di errore di accesso di WordPress. A seguire, potete consultare la nostra guida su come creare un portale clienti con pagine e login privati o su come aggiungere un accesso sociale a WordPress.
Se questo articolo vi è piaciuto, iscrivetevi al nostro canale YouTube per le esercitazioni video su WordPress. Potete trovarci anche su Twitter e Facebook.
Thomas Maier
Hello how can i translate the code above in different languages? I need it for the woocommerce login for the customers.
WPBeginner Support
You would want to change the ‘Something is wrong!’ text to the text you want but if you want the text to change into multiple languages, that would require a bit more coding than we would have for a beginner article. In that case you would want to take a look at multilingual plugins.
Admin
Vahn
Thank you loads! I spent hours looking for the place to change this.
WPBeginner Support
Glad our guide was helpful
Admin
Izzy
When I add this to my WpTouch plugin, it shows a part of the code in my header…
WPBeginner Support
As long as the code is working on the desktop version you would want to reach out to WPTouch to let them know about that issue to take a look.
Admin
Anand
Well it is easy to know the username if it is right, as when entered correct username and the wrong password, the username field does not get blank even after getting the ‘something is wrong’ warning. Which clearly is a hint the yes this is the correct username. Is there any way to make the username field blank in this scenario. Please help.
Shane
Is there a way to change the text of the error message on the lostpassword page that says by default, “Please enter your username or email address. You will receive a link to create a new password via email.”?
I can’t seem to find any material on the subject
Nick
I was wondering the same thing. Why can’t we just change the wording of the error message instead of adding a function that might be overwritten with the next update?
Paco
The only thing is that when you enter a correct username and an incorrect password, it gives a message “something is wrong” but you can see the username, which confirms it in case you have guessed it. I don´t know if this happens in WordPress 4.5. Is there any way of leaving the username field blank even though it´s correct? Thank you
maudenicholson2
I am curious to find out what blog system you’re using? I’m having some small security issues with my latest website and I would like to find something more safeguarded. Do you have any solutions?
WPBeginner Support
We are using WordPress with Sucuri.
Admin
freyaewu73605919
I am truly thankful to the owner of this web page who has shared this enormous article at at this time.
deneengranger
Do you have any video of that? I’d like to find out some additional information.
WPBeginner Support
Video will be available soon. Please subscribe to our YouTube Channel.
Admin
Bob
WP Simple Firewall or Shield gives you the ability to hide the login menu, lock down the Dashboard and it comes with Sucuri and Brute Attack prevention. It is a free plugin, use it in conjunction with a password manager, so you don’t forget or misplace your passwords. I use Lastpass, which is also free. Shield replaced six security plugins and sped up my website.
Phillip George
Is there a help line in Australia as I have forgotten my user name for logon being a little old it is a problem
Bob
G’day Phillip, sorry mate no help line. Try going through whoever hosts your website, they should be able to help you out. Once reset use a password manager like Lastpass, you only have to remember one password. WRITE IT DOWN; did I say write it down because if you don’t, WRITE IT DOWN you’ll really will be up the creek, without a paddle.