X

Come Limitare i Tentativi di Accesso in WordPress (Passo Dopo Passo)

Ultimo aggiornamento il da Alvin Collin
LinkedInPinCondivisioni22
Come limitare i tentativi di accesso

Sei preoccupato che gli hacker possano violare il tuo sito?

Per impostazione predefinita, WordPress ti consente di provare un numero illimitato di nomi utente e password per accedere al tuo sito.

Sebbene ciò ti offra una migliore esperienza di accesso, offre anche agli hacker la possibilità di violare il tuo sito utilizzando "attacchi di forza bruta" in cui effettuano migliaia di tentativi per indovinare le tue credenziali di accesso.

In questo post, ti mostreremo come limitare i tentativi di accesso sul tuo sito per impedire agli hacker di accedervi.

Ma prima, chiariamo cosa sono gli attacchi di forza bruta e perché sono un problema così serio.

Cos'è esattamente un attacco di forza bruta?

Molte persone su Internet impostano nomi utente comuni e password deboli come credenziali di accesso. Selezionano credenziali facili da ricordare e che richiedono il minimo sforzo per digitarle.

Per i nomi utente, i più comuni sono 'admin' o il nome effettivo dell'utente. E le password tendono ad essere '123456' o 'qwerty'.

Gli hacker ne sono ben consapevoli e programmano bot per trovare la pagina di accesso del tuo sito e quindi provare un lungo elenco di credenziali comunemente utilizzate e diverse combinazioni di esse.

Questi bot sono in grado di tentare centinaia di combinazioni in pochi secondi. E quando indovinano quella giusta, violano il tuo sito e causano danni ingenti.

Il modo migliore per prevenire questi attacchi di forza bruta è limitare i tentativi di accesso sul tuo sito. Quindi, quando un utente inserisce credenziali errate, diciamo 3 o 5 volte, viene bloccato.

Password dimenticata in WordPress

Gli utenti dovranno fare clic sull'opzione 'Password dimenticata' per recuperare la propria password.

Detto questo, limitare i tentativi di accesso non è sufficiente quando si tratta di bloccare hacker e altre minacce.

È necessario utilizzare una soluzione di sicurezza completa che proteggerà completamente il tuo sito Web da tali attacchi. Ciò include protezione CAPTCHA, autenticazione a 2 fattori, protezione firewall e blocco IP.

Con questa migliore comprensione degli attacchi di forza bruta, iniziamo a proteggere il tuo sito.

Limitare i tentativi di accesso sul tuo sito WordPress

Se desideri una semplice soluzione gratuita per limitare i tentativi di accesso, dai un'occhiata al plugin Limit Login Attempts Reloaded. Devi semplicemente installare il plugin sul tuo sito e applicherà automaticamente la misura di sicurezza al tuo sito.

Detto questo, c'è molto di più sulla sicurezza del sito Web e sugli attacchi di forza bruta.

Una soluzione di sicurezza più completa per limitare i tentativi di accesso e proteggere il tuo sito è utilizzare Sucuri. È una soluzione di sicurezza totale che include tutte le misure di sicurezza necessarie per proteggere il tuo sito.

Plugin Sucuri per la rimozione di malware da WordPress

Il Web Application Firewall di Sucuri rileva browser fasulli e bot dannosi e li blocca automaticamente.

E ha un potente motore di correlazione che blocca i tentativi di forza bruta senza influire sugli utenti del tuo sito Web.

Ecco come Sucuri blocca gli attacchi di forza bruta sul tuo sito:

  • Limita i tentativi di accesso: agli utenti verrà concesso un numero massimo di tentativi per inserire le credenziali corrette prima che venga chiesto loro di reimpostare la password
  • Rilevamento firme – Sucuri cerca pattern noti di hacker e malware e li blocca prima che raggiungano il tuo sito.
  • Blocco bot e scansioni – Identifica e blocca strumenti automatizzati e bot di forza bruta che attaccano il tuo sito.
  • Autenticazione a 2 fattori – Puoi aggiungere un ulteriore livello di sicurezza al tuo sito che richiede agli utenti di fornire una password monouso generata in tempo reale.
  • CAPTCHA e codici di accesso – Ti consente di aggiungere la protezione CAPTCHA alla tua pagina di accesso, in modo che i bot non possano superare l'autenticazione di accesso. Oppure puoi persino richiedere agli utenti di inserire un codice di accesso statico.
  • Blocco geografico – Se il firewall di Sucuri rileva che la maggior parte dei tentativi di forza bruta proviene da una particolare località, puoi bloccare i visitatori da tali intervalli IP o persino bloccare un intero paese dall'accesso al tuo sito.
  • Allowlisting – Puoi anche bloccare ogni utente dalla tua pagina di accesso e consentire solo gli indirizzi IP del tuo team fidato.

Ora, impostiamo Sucuri sul tuo sito per implementare tentativi di accesso limitati e altre misure protettive.

Passaggio 1: Installa e attiva Sucuri

Sucuri ha uno scanner di sicurezza gratuito disponibile nel repository di WordPress.

Sucuri su WordPress org

Ti consigliamo di installare e attivare prima questo plugin sul tuo sito. Ciò ti consentirà di accedere e gestire le tue impostazioni di sicurezza direttamente dalla tua dashboard di WordPress.

Per accedere al potente firewall che proteggerà il tuo sito web dagli attacchi di forza bruta, dovrai iscriverti alla versione Pro.

Consigliamo di utilizzare il piano Pro che costa $299 all'anno. Ti dà accesso a tutte le funzionalità di cui avrai bisogno per bloccare non solo gli attacchi di forza bruta, ma anche altri hack come iniezioni di malware e attacchi DDoS.

Una volta effettuata l'iscrizione e creato un account con Sucuri, puoi iniziare.

Passaggio 2: Abilita lo scanner di sicurezza Sucuri

Dalla tua dashboard di WordPress, naviga nella scheda Sucuri » Dashboard.

In questa pagina, dovrai inserire la tua chiave API. Per farlo, fai clic sul pulsante ‘Genera chiave API’.

Sucuri genera chiave API

Si aprirà un popup in cui il tuo sito WordPress e l'e-mail dell'amministratore sono precompilati. Puoi cambiarli se lo desideri.

Quindi seleziona le caselle per accettare i termini di servizio e l'informativa sulla privacy. E seleziona il pulsante ‘Invia’ per generare la chiave API.

Genera chiave API in Sucuri

Vedrai un popup che dice che il tuo sito è stato registrato correttamente. Puoi dirigerti alla dashboard di Sucuri.

API riuscita in Sucuri

Con questo, il tuo sito ha uno scanner di sicurezza attivo. Ti mostrerà se il tuo sito è pulito o meno, e se sei su qualche lista di blocco.

Passaggio 3: Abilita il firewall di sicurezza Sucuri

Per abilitare il firewall Sucuri, naviga nella scheda Sucuri » Firewall (WAF) sulla tua dashboard di WordPress.

Qui, dovrai inserire la tua chiave API.

Chiave API firewall Sucuri

Puoi trovare questa chiave nel tuo account sul sito web di Sucuri nella scheda Impostazioni » API.

Scheda API Sucuri

Copia la chiave, inseriscila nella tua dashboard di WordPress e salva le impostazioni. E il gioco è fatto! Il tuo firewall è abilitato.

Passaggio 4: Modifica impostazioni DNS

Ora dovrai indirizzare il tuo traffico al firewall Sucuri in modo che possa controllarlo e filtrare gli elementi dannosi. Dopo averlo fatto, reindirizzerà il traffico al tuo server di web hosting.

Per configurare questo, vai alla scheda Impostazioni » Generali nella dashboard di Sucuri.

Innanzitutto, vedrai l'opzione più semplice che è Integrazione Automatica. Se disponi dei dettagli di accesso al tuo web hosting, puoi utilizzare questa opzione.

Integrazione automatica firewall Sucuri

Devi semplicemente selezionare l'hosting 'cPanel' o 'Plesk'. La maggior parte degli host web utilizza cPanel, ma puoi verificarlo con il team di supporto del tuo host se non sei sicuro di quale utilizzare.

Dovrai fornire i dettagli di accesso al tuo hosting e si integrerà automaticamente.

Se questo non funziona per te, sulla stessa pagina, vedrai le opzioni per utilizzare i server DNS di Sucuri o puoi configurare manualmente i tuoi server DNS.

Punta un record al Firewall

Segui le istruzioni fornite e aggiorna l'indirizzo IP per il record 'A' del tuo sito.

Se non capisci cosa significhi tutto ciò, non preoccuparti. Puoi contattare il tuo web host o registrar del dominio e ti guideranno. Oppure puoi anche aprire un ticket con Sucuri, e il loro team ti aiuterà a modificare i record DNS.

Una volta completato, il tuo traffico verrà indirizzato prima al firewall di Sucuri e poi ai tuoi server di hosting WordPress.

Le modifiche al tuo DNS possono richiedere fino a 48 ore per riflettersi, ma di solito avvengono in poche ore.

Passaggio 5: Monitora il tuo sito

Il firewall di Sucuri proteggerà il tuo sito e bloccherà qualsiasi attacco da parte di hacker e bot malevoli. E ti presenterà report sulla sua dashboard come attacchi bloccati, traffico medio all'ora e traffico per paese.

Dashboard Sucuri

Dovresti utilizzare questi report per monitorare la sicurezza del tuo sito e rimanere aggiornato sugli attacchi falliti.

Passaggio 6: Aggiungi alla whitelist gli IP degli utenti (Opzionale)

Nel caso in cui desideri bloccare tutti gli IP dall'accesso al tuo pannello di amministrazione e consentire solo al tuo team o agli utenti autorizzati, puoi farlo nella scheda Controllo Accessi.

Whitelist Sucuri

Qui puoi aggiungere tutti gli IP che desideri aggiungere alla whitelist. Successivamente, passa alla scheda Sicurezza.

Vedrai un'opzione per abilitare 'Pannello di amministrazione limitato ai soli indirizzi IP nella whitelist'.

Whitelist pannello admin Sucuri

Seleziona questa casella e salva le tue opzioni di sicurezza. Ora solo i tuoi IP nella whitelist potranno accedere alla tua pagina di accesso.

E questo è tutto! Sucuri applicherà automaticamente la protezione degli accessi al tuo sito. E non solo, il tuo sito sarà protetto contro tutti i tipi di malware e attacchi.

Speriamo che questo post ti sia stato utile. Se desideri migliorare ulteriormente la sicurezza del tuo sito, ti consigliamo di leggere:

Questi post possono aiutarti a rendere la sicurezza del tuo sito a prova di bomba in modo da poter tenere lontani gli hacker.

LinkedInPinCondivisioni22

Commenti   Lascia una risposta

Aggiungi un commento

Siamo lieti che tu abbia scelto di lasciare un commento. Tieni presente che tutti i commenti sono moderati secondo la nostra normativa sulla privacy e tutti i link sono nofollow. NON utilizzare parole chiave nel campo del nome. Avviamo una conversazione personale e significativa.

Checklist per il lancio di WordPress

La Guida Definitiva per il Lancio di WordPress

Abbiamo raccolto tutti gli elementi essenziali della checklist per il lancio del tuo prossimo sito web WordPress in un comodo ebook.
Sì, Inviami l'eBook Gratuito!
Copyright © 2015 - 2026 WPBeginner LLC. Tutti i diritti riservati. Gestito da Awesome Motive Inc.

NOTA EDITORIALE: Le opinioni espresse qui sono solo dell'autore, non di alcun provider di hosting, provider di plugin, provider di temi, Syed Balkhi o Fondazione WordPress, e non sono state revisionate, approvate o altrimenti avallate da nessuna di queste entità.

DISCLAIMER: Ci impegniamo a mantenere dati affidabili su tutte le offerte presentate. Tuttavia, questi dati sono forniti senza garanzia. Gli utenti dovrebbero sempre controllare il sito Web ufficiale del provider per i termini e i dettagli correnti. Le offerte di prodotti che appaiono sul sito Web provengono dalle rispettive società di hosting, società di plugin e società di temi da cui IsItWP riceve un compenso. Questo compenso può influire su come e dove i prodotti appaiono su questo sito (incluso, ad esempio, l'ordine in cui appaiono). Questo sito non include tutti i prodotti WordPress o tutte le offerte di prodotti disponibili.