X

Come fermare gli attacchi di forza bruta su un sito web WordPress?

Ultimo aggiornamento il da Team Editoriale
LinkedInPinCondivisioni12
come fermare gli attacchi di forza bruta

Vuoi interrompere e prevenire attacchi brute force sul tuo sito?

In un attacco brute force, gli hacker provano semplicemente migliaia di combinazioni di nome utente e password finché non ottengono quella giusta.

Una volta che entrano nel tuo sito, possono fare ogni sorta di cose come aggiungere pubblicità dannose, frodare i tuoi utenti e persino abbattere il tuo sito.

Questo tutorial ti mostrerà come fermare e prevenire attacchi brute force in modo che gli hacker non abbiano alcuna possibilità di entrare nel tuo sito.

Ma prima di passare ai passaggi, chiariamo cos'è un attacco brute force in modo che tu possa comprenderlo meglio durante il tutorial.

Cos'è un attacco Brute Force?

Quando diciamo che gli hacker provano diverse combinazioni di password sul tuo sito per accedere, potresti immaginare una persona reale seduta al computer che digita password, giusto?

Gli hacker sono molto più avanzati di così. Programmano bot per scansionare Internet e trovare siti web che funzionano su WordPress. Quindi prendono di mira la pagina di accesso che di solito è www.example.com/wp-admin.

esempio password wordpress

Una volta che sono sulla pagina di accesso, questi bot eseguono un'enorme database di nomi utente e password comunemente usati.

  • I nomi utente comuni includono "admin" o il nome della persona che possiede il sito.
  • Le password comuni includono password1234, 12345678 e qwerty1.

Questi bot hacker sono in grado di eseguire migliaia di tentativi di accesso al minuto. E continuano a provare ancora e ancora finché non ottengono quello giusto o esauriscono il loro database. Da qui il nome 'brute force' attack.

Ora potresti pensare che tutto ciò che devi fare è impostare una password davvero forte e il problema è risolto. Ma non è abbastanza.

Migliaia di tentativi di accesso possono rallentare il tuo sito e persino causarne il crash. Possono interrompere l'esperienza dei tuoi utenti, il che significa che i visitatori lasceranno il tuo sito poiché non si caricherà abbastanza velocemente.

Un modo migliore per proteggere il tuo sito sarebbe impedire all'hacker di effettuare questi tentativi. È quello che ti mostreremo come fare di seguito. Immergiamoci subito.

Come fermare gli attacchi Brute Force in WordPress

Di seguito, dettaglieremo 6 passaggi importanti che devi intraprendere per proteggere il tuo sito dagli hacker. Ci concentreremo sulla prevenzione degli attacchi brute force, ma tieni presente che questi passaggi aiuteranno anche a fermare altri attacchi malware.

Costruirai un robusto sistema di sicurezza che assicura che gli hacker non abbiano modo di danneggiare il tuo sito dall'interno o dall'esterno.

Ecco un elenco dei 6 passaggi che tratteremo:

  1. Installa un plugin Firewall
  2. Limita i tentativi di accesso
  3. Limita l'accesso alla pagina di accesso
  4. Scadenza password regolare
  5. Aggiungi l'autenticazione a 2 fattori
  6. Aggiungi l'autenticazione HTTP

Passaggio 1: Installa un plugin Firewall

Un firewall serve come tua prima linea di difesa. Analizzerà ogni visitatore che arriva sul tuo sito e bloccherà i bot dannosi. Ciò significa che solo il traffico buono potrà visualizzare il tuo sito.

Ci sono due tipi di firewall per siti web che puoi utilizzare.

  • Web Application Firewall: Questi firewall si posizionano davanti al tuo sito WordPress per analizzare il traffico in entrata. Sono abbastanza efficaci ma non offrono protezione a livello di server. Ciò significa che gli hacker possono comunque prendere di mira il tuo server e danneggiare il tuo sito.
  • Firewall del sito web a livello DNS: Questo firewall offre una migliore protezione contro gli hacker perché si posiziona davanti al tuo server. Quindi analizzerà tutto il traffico prima che raggiunga il tuo server web principale.

Consigliamo vivamente di investire in un firewall DNS per proteggere il tuo sito. Sucuri ha uno dei migliori firewall DNS del settore.

Sucuri

Sucuri è dotato di funzionalità integrate per bloccare gli attacchi di forza bruta senza influire sugli utenti del tuo sito web.

Blocca anche gli strumenti automatizzati utilizzati per scansionare il tuo sito web. Questo aiuta a mantenere il tuo sito web fuori dalla portata di qualsiasi attaccante.

Quindi monitora costantemente il tuo sito, in modo che se dei bot malevoli arrivano sul tuo sito, verranno bloccati automaticamente.

Se desideri maggiori dettagli, leggi la nostra Recensione di Sucuri.

Passaggio 2: Limita i tentativi di accesso

Se desideri bloccare specificamente gli attacchi di forza bruta, uno dei modi migliori per farlo è limitare il numero di tentativi che un utente ha per accedere.

Quindi, ad esempio, potresti concedere loro un massimo di 3 tentativi per inserire nome utente e password corretti. Se non riescono a farlo correttamente, possono utilizzare l'opzione 'Password dimenticata' e recuperare le proprie credenziali.

Password dimenticata in WordPress

Qualsiasi utente o bot che tenta di effettuare un attacco di forza bruta al tuo sito rinuncerà dopo 3 tentativi e passerà al bersaglio successivo.

Puoi aggiungere un plugin per limitare i tentativi di accesso al tuo sito WordPress per aggiungere questa funzionalità. Se stai utilizzando un plugin di sicurezza come Sucuri, allora dovresti già avere la limitazione dei tentativi di accesso aggiunta automaticamente al tuo sito.

Passaggio 2: Restringi l'accesso alla pagina di accesso

Un altro ottimo modo per proteggere il tuo sito dagli attacchi di forza bruta è concedere l'accesso all'URL della pagina di accesso solo alle persone di cui ti fidi.

Ogni dispositivo che utilizza Internet ha un indirizzo IP univoco. Puoi utilizzare un plugin di sicurezza per bloccare universalmente tutti gli indirizzi IP dall'accesso alla pagina di accesso e consentire solo quelli che desideri.

In questo modo solo gli utenti autorizzati possono aprire la pagina di accesso. Questo metodo è chiamato allowlisting ed è molto efficace nel tenere fuori gli hacker.

Se stai usando Sucuri, nella scheda Controllo Accessi della tua dashboard, puoi aggiungere indirizzi IP in whitelist.

Whitelist Sucuri

Successivamente, passa alla scheda Sicurezza.

Vedrai un'opzione per abilitare 'Pannello di amministrazione limitato ai soli indirizzi IP consentiti'.

whitelist in sucuri

Selezionando questa casella, Sucuri consentirà automaticamente solo ai tuoi utenti fidati di accedere alla pagina di accesso.

Passaggio 4: Scadenza regolare delle password

Va da sé che il modo migliore per proteggere qualsiasi account o sito web su Internet è utilizzare nomi utente e password robusti.

Oltre a ciò, devi anche cambiare la tua password regolarmente. Se sospetti un attacco, devi cambiarla immediatamente.

Ora, se hai più utenti che hanno accesso a wp-admin, potrebbero non ricordare di cambiare regolarmente le loro password.

Per superare questo problema, puoi impostare promemoria e costringerli a reimpostare la password a intervalli.

esempio password in scadenza

Puoi usare un plugin come Expire User Passwords per scadere periodicamente le password, obbligando l'utente a cambiarla prima di poter accedere nuovamente.

Passaggio 5: Aggiungi l'autenticazione a 2 fattori

Molto probabilmente hai già visto o utilizzi l'autenticazione a 2 fattori sulle tue app, specialmente sull'email.

Oltre a inserire la password, devi fornire un codice monouso che viene inviato al tuo telefono cellulare o email.

codice 2fa-sucuri

Potresti ricevere questo codice tramite SMS o tramite un'app di autenticazione.

Ciò significa che un utente dovrà verificarsi in tempo reale, rendendo estremamente difficile per gli hacker ottenere l'accesso.

Anche se dovessero riuscire a decifrare la tua password, avranno bisogno anche del codice in tempo reale.

Tutti i plugin di sicurezza più diffusi come Sucuri e MalCare ti consentono di abilitare l'autenticazione a 2 fattori all'interno della dashboard.

Quindi non avrai bisogno di toccare alcun codice per aggiungere questa misura al tuo sito.

Passaggio 6: Aggiungi l'autenticazione HTTP

L'ultimo passaggio che puoi intraprendere per proteggere il tuo sito dagli attacchi di forza bruta è aggiungere una pagina di accesso alla tua pagina di accesso.

Sembra un po' eccessivo, ma questo funge da ulteriore livello di protezione ed è un modo sicuro per impedire agli hacker di accedere al tuo sito tramite attacchi di forza bruta.

L'autenticazione HTTP funziona nascondendo la tua pagina di accesso e visualizzando una pagina vuota con una casella di accesso.

Una volta inserite le tue credenziali HTTP, apparirà la tua pagina di accesso a WordPress.

autenticazione http

Puoi aggiungere questa misura all'interno del cPanel del tuo hosting. Se non hai mai usato cPanel prima, non preoccuparti. Ti mostreremo come farlo in pochi semplici passaggi.

Accedi al tuo account di web hosting, accedi a cPanel e trova 'Directory Privacy'.

privacy della directory

All'interno, dall'elenco delle cartelle, individua la cartella wp-admin e modificala.

modifica privacy wpadmin

Nella pagina successiva, innanzitutto, abilita l'opzione 'Proteggi questa directory con password'. Ora cPanel ti chiederà di aggiungere un nome utente e una password.

aggiungi password alla directory

Assicurati di salvare le impostazioni prima di uscire da questa pagina. Ora la tua directory di amministrazione di WordPress è protetta da password.

Quando apri la tua pagina wp-admin, vedrai una richiesta di accesso per inserire il nome utente e la password che hai appena creato.

Nel caso in cui riscontri un errore 404 o troppi messaggi di reindirizzamento, devi aggiungere la seguente riga al tuo file .htaccess di WordPress.

ErrorDocument 401 default

Con ciò, il tuo sito web è protetto dagli attacchi di forza bruta.

Ti consigliamo inoltre di eseguire regolarmente il backup del tuo sito. Quando le cose vanno storte, che si tratti di un hack o di un semplice errore umano, puoi ripristinare rapidamente il tuo sito e riportarlo alla normalità. Ciò ti consente di ridurre al minimo i danni al tuo sito e all'esperienza utente.

Puoi usare UpdraftPlus per pianificare backup automatici che vengono archiviati in modo sicuro.

Per ulteriori opzioni di backup, consulta la nostra selezione dei Migliori Plugin di Backup per WordPress.

Speriamo che questo post sulla prevenzione degli attacchi di forza bruta ti sia stato utile. E ora che il tuo sito web è sicuro, puoi concentrarti sulla crescita del tuo sito e sull'ottenimento di più traffico. Ecco alcune risorse che abbiamo selezionato per te:

Questi post ti aiuteranno a migliorare il traffico, l'engagement e l'esperienza utente. L'ultimo post ti fornirà i migliori plugin e strumenti per semplificare i flussi di lavoro e far crescere la tua attività in modo esponenziale.

LinkedInPinCondivisioni12

Commenti   Lascia una risposta

Aggiungi un commento

Siamo lieti che tu abbia scelto di lasciare un commento. Tieni presente che tutti i commenti sono moderati secondo la nostra normativa sulla privacy e tutti i link sono nofollow. NON utilizzare parole chiave nel campo del nome. Avviamo una conversazione personale e significativa.

Checklist per il lancio di WordPress

La Guida Definitiva per il Lancio di WordPress

Abbiamo raccolto tutti gli elementi essenziali della checklist per il lancio del tuo prossimo sito web WordPress in un comodo ebook.
Sì, Inviami l'eBook Gratuito!
Copyright © 2015 - 2026 WPBeginner LLC. Tutti i diritti riservati. Gestito da Awesome Motive Inc.

NOTA EDITORIALE: Le opinioni espresse qui sono solo dell'autore, non di alcun provider di hosting, provider di plugin, provider di temi, Syed Balkhi o Fondazione WordPress, e non sono state revisionate, approvate o altrimenti avallate da nessuna di queste entità.

DISCLAIMER: Ci impegniamo a mantenere dati affidabili su tutte le offerte presentate. Tuttavia, questi dati sono forniti senza garanzia. Gli utenti dovrebbero sempre controllare il sito Web ufficiale del provider per i termini e i dettagli correnti. Le offerte di prodotti che appaiono sul sito Web provengono dalle rispettive società di hosting, società di plugin e società di temi da cui IsItWP riceve un compenso. Questo compenso può influire su come e dove i prodotti appaiono su questo sito (incluso, ad esempio, l'ordine in cui appaiono). Questo sito non include tutti i prodotti WordPress o tutte le offerte di prodotti disponibili.