• User Attivo

    Login WP

    Tempo fa parlando con uno sviluppatore di siti web sedicente esperto, mi disse che WP è fatto in un modo, proprio per come è progettato che da il modo di accedere anche senza sapere la pw, e disse che era entrato nel pannello di amministrazione del mio sito solo per verificare se avevo messo in atto qualche protezione da questa caratteristica di WP.
    Io al tempo per sicurezza protessi la cartella wpadmin ma non ho capito cosa intendesse dire e se fosse vero, non riesco a trovare nulla online, qualcuno sa di cosa si tratta relativamente a questa caratteristica di wp che permette l'accesso al pannello di amministrazione?


  • User Attivo

    Sinceramente non ho mai sentito nulla di ciò, ma potrebbe esserci qualche bug in qualche plugin che permette di farlo…
    Comunque se vuoi fargli passare un brivido lungo la schiena digli che lo puoi querelare per accesso abusivo a sistema informatico (art. 615 ter c.p., fino a 3 anni reclusione!). 😉

    Saluti


  • Moderatore

    Ciao
    mmm la vedo dura salvo che ci siano falle a Plugin/Wordpress e che non tieni aggiornati entrambi. Fatti fare lo Screen del backend in modo da verificare che sia vero quello che ti ha detto.

    Questo solo se lo conosci ovviamente, non sfiderei mai un Programmatore ad entrare nel mio sito.


  • User Attivo

    Ciao a tutti, anche a me sembra strano, chiaramente se ci fossero falle nei plugin ad esempio allora si, ma se tutto è aggiornato e la password è complessa la vedo difficile.
    Chiaro che se uno ci si intestardisce e ci prova per due mesi, è probabile che prima o poi riesca ad entrare ma come diceva Riccardo, è una cosa illegale.
    C'è anche da dire una cosa, se fosse così semplice avrei i siti sempre hackerati visto che comunque l'hacking è oramai una piaga, è veramente pieno, ogni sito subisce attacchi continuamente.
    Utilizzo strumenti per la sicurezza e scandaglio con vari tool, per rilevare criticità, i siti sembrano ok, chiaro che non ci sono certezze assolute ma ragionevoli certezze che se tutti gli strumenti non rilevano nulla, il sito sia discretamente al sicuro.


  • User Attivo

    A meno che non si riferisse a questa vulnerabilità, che risulta non ancora "fixed" ma a quanto pare le versioni di WP > 5 non ne sono affette:
    https://wpvulndb.com/vulnerabilities/8807
    Il consiglio è quello di mantenere sempre aggiornato WP, plugin e temi.

    P.S. e comunque ti saresti accorto di un reset della password.


  • User Attivo

    Parliamo di circa 2/3 anni fa non saprei proprio...
    Concordo, temi, plugin, WP sempre aggiornati, e i plugin controllare che non vengano abbandonati da tempo senza rilascio di aggiornamenti, in più anche scansioni del sito con strumenti online e plugin dedicati come wordfence o sucuri e controllare periodicamente nel server, i file del sito, nel core di wp o in altre cartelle se ci sono file che non apaprtengono al sito o sono state apportate modifiche..che battaglia..


  • User

    Sì confermo anche io che non mai sentito nulla del genere. Non si può assolutamente entrare nel pannello di WP senza sapere la password (falle a parte).

    Aggiungerei che un livello di sicurezza aggiuntiva è quella di cambiare l'url di accesso al pannello dal classico /wp-admin ad uno personalizzato (ci sono vari plugin che permettono ciò), di non usare il nickname "admin" per l'amministratore e di settore nel profilo di mostrare il nome e/o cognome anzichè il nickname (in wordpress si può generare una lista degli utenti e se lasci di mostrare i nickname di default, dai già un dato al fantomatico hacker).

    Solo con questi due passi l'hacker ha vita dura, perchè prima deve indovinare l'url di accesso e inoltre deve indovinare il nickname con cui provare un brute force della password.


  • User Attivo

    Ciao, si concordo, anche la protezione della cartella wp-admin da un ulteriore liverllo, anche se dvo dire che questa protezione a volte crea problemi con certi plugin.