App di cybersicurezza web per TSEO PRO. Consente di accedere tramite codice QR, monitorare i tentativi di accesso, bloccare IP, rilevare modifiche ai file e gestire la sicurezza del sito direttamente dal telefono mobile, senza dipendere da servizi esterni e riducendo il rischio che Google Search Console mostri avvisi di sito compromesso o contenuti dannosi sul tuo sito web.
Cybersicurezza web avanzata
TSEO Security è l’applicazione di sicurezza ufficiale per gli amministratori che utilizzano il template TSEO PRO in WordPress. Il suo obiettivo è trasformare l’accesso alla dashboard in un processo molto più sicuro e controllato, tenendo lontani attacchi automatizzati, intrusioni silenziose e accessi non autorizzati.
Codici QR e autenticazione a due fattori (2FA)
Il cuore dell’app è l’accesso tramite codici QR e l’autenticazione a due fattori (2FA). Invece di basarsi solo su nome utente e password in wp-login.php, l’amministratore scansiona un codice QR con TSEO Security per completare l’accesso. Questo rende molto più difficili gli attacchi brute force o l’uso di credenziali compromesse, poiché l’attaccante avrebbe bisogno anche dell’accesso fisico al telefono mobile.
L’applicazione si connette alla tua installazione TSEO PRO dopo aver verificato il dominio e utilizzando una password specifica dell’applicazione.
Una volta collegata, consente di monitorare in tempo reale i tentativi di accesso: login riusciti, tentativi falliti, schemi sospetti e attività che possono indicare un attacco in corso.
Da lì puoi prendere decisioni rapide: bloccare IP, rafforzare le regole del firewall o verificare quale utente è preso di mira dai tentativi di accesso.
In questo modo eviti che qualcuno acceda alla dashboard, modifichi i contenuti o crei URL spazzatura che in seguito possono apparire come problemi di sicurezza in Google Search Console.
Livelli multipli di sicurezza
TSEO Security aggiunge un ulteriore livello di protezione con funzionalità avanzate: firewall IP integrato nel sito, audit tecnico, rilevamento di modifiche e intrusioni nei file e un’attenzione chiara alle prestazioni per non rallentare il lavoro quotidiano. Tutti i dati vengono archiviati localmente e in forma crittografata, senza dipendere da server esterni, riducendo la superficie di esposizione e migliorando la privacy dell’amministratore.
L’app è progettata per chi gestisce progetti WordPress sensibili (negozi, siti aziendali, intranet, siti con dati critici) e desidera andare oltre il semplice nome utente/password. Combinando TSEO PRO sul server e TSEO Security sul dispositivo mobile, l’accesso al pannello di amministrazione diventa un flusso molto più sicuro, tracciabile e facile da monitorare.
Punti di forza principali di TSEO Security
TSEO Security è il sistema di sicurezza avanzato per WordPress integrato in TSEO PRO e nella sua app mobile. Insieme trasformano l’accesso all’area di amministrazione in un processo controllato, crittografato e monitorato in tempo reale, ben oltre il classico nome utente e password di wp-login.php. Il sistema si basa su due principali livelli di protezione:
Blocco aggiuntivo con “Security Word”
Ancora prima di raggiungere il modulo di login, TSEO PRO consente di attivare una parola o frase di sicurezza che deve essere aggiunta all’URL per accedere a wp-login.php o wp-admin.
Ad esempio: domain.com/wp-admin/?key=yoursecurityword.
Quando la chiave è corretta, viene generato un cookie sicuro con un hash crittografato e un tempo di validità configurabile (10 minuti di default). Senza quel cookie, qualsiasi tentativo di accesso al login o alla dashboard viene reindirizzato e bloccato. Questo filtra direttamente bot, scanner automatici e attacchi massivi che non dovrebbero nemmeno visualizzare il modulo di accesso.
Filtrando questi accessi prima del login, riduci il rischio di intrusioni e che il sito finisca per servire pagine spam o compromesse che danneggiano la SEO.
Autenticazione a due fattori con QR e app mobile
Il secondo livello è la validazione tramite QR integrata con l’app TSEO Security. Una volta che l’amministratore inserisce nome utente e password nel login, il sistema genera un token temporaneo di soli 30 secondi, lo crittografa con una chiave AES a 256 bit condivisa tra il sito web e l’app e lo visualizza in un codice QR sullo schermo.
L’app TSEO Security, precedentemente associata tramite la scansione della “Secure Key” (la chiave AES mostrata nel pannello Sicurezza di TSEO PRO), scansiona il QR, decritta il token e chiama un endpoint sicuro del tuo sito web per validare il secondo fattore. Solo quando il QR viene validato, WordPress crea la sessione dell’amministratore e consente l’accesso.
Se il QR scade, il token viene distrutto. Se viene validato correttamente, le credenziali temporanee vengono utilizzate una sola volta e poi eliminate dal database. In questo modo, anche con nome utente e password corretti, senza il telefono mobile autorizzato non è possibile accedere al pannello di amministrazione.
Monitoraggio, logging e limitazione dei tentativi
In parallelo, TSEO Security registra ogni tentativo di accesso in tabelle di database dedicate: utente, IP, user agent, metodo, stato (riuscito, fallito, in attesa, attacco), motivo del fallimento (utente inesistente, password errata, QR in sospeso, attacco XML-RPC, ecc.), numero di tentativi accumulati e livello di rischio (normale, sospetto, attacco). Su questi dati applica un sistema intelligente di limitazione delle richieste per IP e per utente:
- Dopo diversi tentativi falliti dallo stesso IP, questo viene contrassegnato come comportamento sospetto.
- Se viene superata una soglia di tentativi, l’IP entra in un blocco temporaneo (minuti o ore).
- Se il comportamento è molto aggressivo, viene registrato come attacco e l’IP viene bloccato in modo persistente per diversi giorni.
Tutti questi blocchi vengono memorizzati in una tabella firewall dedicata e sincronizzati con un sistema di transients personalizzato, con pulizia automatica tramite cron per rimuovere i record scaduti.
Firewall gestibile dal telefono mobile
L’app TSEO Security non serve solo per scansionare il QR. Dal telefono mobile puoi consultare i tentativi di accesso registrati, visualizzare statistiche aggregate per giorni, metodi e livelli di attacco e gestire il firewall: elencare gli IP bloccati, aggiungerne manualmente di nuovi, estendere la durata di un blocco o rimuoverlo se si tratta di un falso positivo. Tutto questo avviene tramite endpoint REST specifici, protetti dai permessi di amministratore di WordPress.
Gestione degli utenti e rilevamento di account sospetti
Un’altra funzionalità chiave è l’audit degli utenti. Il sistema raccoglie tutti gli utenti con ruoli critici (amministratori, editor, autori, collaboratori e, se WooCommerce è presente, gestori del negozio) e li visualizza come “utenti sensibili”.
Inoltre, analizza l’intero elenco degli utenti per individuare pattern sospetti: account senza un’email valida, senza ruoli assegnati, con nomi utente generati in massa o poco chiari, ecc. Questi account vengono contrassegnati come “sospetti”, consentendoti di individuarli rapidamente e intervenire dall’app: visualizzare i dettagli, disattivare l’account (senza eliminarlo), chiudere tutte le sessioni attive o eliminarlo dal sito o dalla rete nelle installazioni Multisite.
Protezione aggiuntiva contro XML-RPC e enumerazione utenti
TSEO Security controlla anche i punti di accesso comuni negli attacchi a WordPress:
- XML-RPC: il sistema rileva i metodi tipici di brute force (wp.getUsersBlogs, system.multicall) e li registra direttamente come attacchi. Inoltre, espone un endpoint per abilitare o disabilitare completamente XML-RPC dall’app, senza bisogno di modificare codice o file.
- REST API: gli endpoint pubblici degli utenti (/wp/v2/users) vengono rimossi per i visitatori non autenticati, riducendo l’esposizione dei nomi utente ai bot che tentano di raccoglierli per lanciare attacchi successivi.
Pulizie automatiche e compatibilità Multisite
Per evitare che le tabelle di sicurezza crescano indefinitamente, TSEO PRO programma attività automatiche che puliscono i transients scaduti e mantengono sotto controllo il database di sicurezza.
Negli ambienti Multisite, il sistema è progettato per mostrare le informazioni di ogni sito separatamente (utenti con permessi, utenti sospetti, iscritti e clienti), con supporto per i super admin e la possibilità di passare temporaneamente tra i blog durante la gestione degli utenti o la revisione dei dati.
Nel complesso, TSEO Security trasforma TSEO PRO in qualcosa di più di un semplice tema: lo converte in un avanzato livello di sicurezza per WordPress, con autentificazione a due fattori reale basata su QR e mobile, firewall IP integrato, registrazione dettagliata dei tentativi, protezione contro attacchi XML-RPC e strumenti di audit utenti, tutto gestibile dal pannello di amministrazione e dall’app ufficiale sul tuo telefono.
Installa TSEO Security da Google Play
Faq – TSEO Security
Che cos’è TSEO Security all’interno di TSEO PRO?
TSEO Security è il modulo di sicurezza avanzata integrato nel tema TSEO PRO che controlla l’accesso al pannello di amministrazione di WordPress e registra tutto ciò che avviene attorno al login.
È responsabile dell’aggiunta di un ulteriore livello con una parola di sicurezza nell’URL, di un sistema a due fattori basato su QR e un’app mobile, e di un registro dettagliato di tentativi, IP e motivi di errore.
Non mira a sostituire un firewall di server, ma a coprire la parte critica: chi entra nel back office, da dove e con quale schema. Questo riduce il rischio che qualcuno prenda il controllo del sito e lo trasformi in una fonte di spam, malware o contenuti compromessi.
Quale ruolo svolge l’app mobile TSEO Security in tutto questo?
L’app TSEO Security funziona come la chiave principale per gli amministratori. Viene associata al sito web tramite una chiave sicura che viene mostrata nel pannello di TSEO PRO e scansionata una sola volta.
Da quel momento in poi, ogni volta che l’amministratore accede a WordPress con nome utente e password, l’applicazione valida il codice QR del secondo fattore e conferma al server che il tentativo è legittimo.
Inoltre, consente di visualizzare i log di accesso, controllare cosa sta accadendo con i tentativi di login e gestire il firewall e alcune impostazioni senza dover entrare nella dashboard di WordPress. In questo modo, un attaccante in possesso della password non può ottenere l’accesso se non ha anche il dispositivo mobile.
In che modo TSEO Security aiuta a prevenire i problemi di siti web compromessi in Google Search Console?
Il problema non nasce in Search Console, ma quando qualcuno ottiene accesso alla dashboard e inizia a creare URL spazzatura, iniettare link o modificare contenuti che erano già posizionati. È questo che Google rileva successivamente e riflette come contenuti compromessi o problemi di sicurezza.
TSEO Security agisce alla fonte rafforzando l’accesso e registrando tutti i tentativi anomali, rendendo molto più difficile modificare i contenuti dall’interno. Riducendo la probabilità di intrusioni e bloccando i pattern di attacco prima che abbiano successo, limita le possibilità che compaiano pagine strane nell’indice di Google.
In pratica, riduce al minimo la comparsa di avvisi di sito compromesso o contenuti sospetti in Search Console, perché il problema viene fermato prima che qualcuno possa alterare i contenuti del sito web.
Di cosa ho bisogno per avere il sistema di sicurezza completo operativo?
Per utilizzare la parte base, è sufficiente avere TSEO PRO attivo e configurare la parola di sicurezza nella sezione Security del tema.
Se desideri sfruttare l’autenticazione a due fattori con QR, devi anche generare la Secure Key dal pannello e scansionarla con l’app TSEO Security installata sul tuo dispositivo mobile.
Da quel momento in poi, ogni accesso dell’amministratore passerà attraverso il mobile senza che tu debba modificare nulla nel tuo modo di lavorare quotidiano. Tutto è controllato dalle opzioni del tema, senza la necessità di installare plugin aggiuntivi o toccare il codice.
Se perdo il telefono o non posso usare temporaneamente l’app, cosa succede?
Se perdi il telefono o devi disattivare temporaneamente l’autenticazione a due fattori per qualsiasi motivo, il sistema include un meccanismo di emergenza. Un amministratore con accesso alla dashboard può disabilitare temporaneamente la validazione QR dalle opzioni di sicurezza o utilizzando l’endpoint corrispondente, in modo che il login torni a funzionare solo con nome utente e password mentre il problema viene risolto.
Quando hai un nuovo dispositivo o ripristini l’app, puoi riattivare il QR e, se lo ritieni necessario, rigenerare la chiave sicura per invalidare l’associazione precedente. L’idea è che la 2FA offra protezione, ma non ti lasci bloccato in una situazione estrema.
Posso utilizzare solo la funzione della parola di sicurezza senza attivare la 2FA con QR?
Sì, i due livelli sono indipendenti. La parola di sicurezza nell’URL funziona come un filtro preliminare che blocca molti bot e scanner automatici, anche se non utilizzi il QR.
Se preferisci non lavorare con l’app o hai progetti in cui l’accesso mobile non è adatto, puoi utilizzare solo questo livello e sfruttare il sistema di logging e di limitazione dei tentativi. Per i progetti più sensibili, la combinazione della parola di sicurezza e della 2FA con QR rende la dashboard molto più difficile da violare.
In che modo TSEO Security gestisce i tentativi sospetti, gli IP bloccati e gli utenti anomali?
Ogni tentativo di accesso viene salvato con tutti i dati rilevanti e il sistema calcola se il comportamento è normale, sospetto o direttamente un attacco. Quando rileva troppi fallimenti dallo stesso IP o pattern aggressivi, aumenta il livello di risposta: prima aggiunge ritardi, poi blocchi temporanei e, se necessario, blocchi persistenti che vengono memorizzati nel firewall.
Inoltre, analizza gli utenti del sito per individuare account incoerenti o potenzialmente pericolosi, come profili senza un’email valida, senza ruoli definiti o con nomi generati in massa. Dal pannello o dall’app puoi esaminare queste informazioni e prendere decisioni, come disattivare utenti, espellere sessioni attive o ripulire IP che non dovrebbero essere riammessi.
È compatibile con installazioni Multisite e con siti che utilizzano WooCommerce?
Sì, il sistema è progettato per funzionare sia su siti singoli sia su reti Multisite. Nelle reti, è in grado di identificare quali utenti hanno permessi elevati su ciascun sito, quanti iscritti e clienti ci sono e quali account risultano sospetti all’interno di ogni blog.
Rispetta inoltre il concetto di super admin quando si tratta di eliminare utenti a livello di rete o su un singolo sito. Se utilizzi WooCommerce, ruoli aggiuntivi come shop manager vengono aggiunti all’elenco dei profili che devono essere monitorati con maggiore attenzione.
L’obiettivo è che la sicurezza si adatti alla struttura reale del progetto, non il contrario.
Languages
