Diverse fonti importanti hanno confermato che in questo momento sono in corso attacchi massicci di forza bruta contro siti WordPress e Joomla. HostGator, InMotion Hosting, LiquidWeb e molti altri hanno informato i loro clienti di questo problema. La botnet di hacker contiene oltre 90.000 IP diversi e sta sfruttando i principianti di WordPress che commettono alcuni errori molto comuni. Sì, tutto questo suona spaventoso, quindi ecco cosa dovete fare per ridurre le vostre possibilità di essere hackerati.
1. Smettete di usare il nome utente dell’amministratore
Spesso i principianti usano nomi utente molto comuni come admin, amministratore, test, root ecc. I nostri amici di Sucuri hanno riferito che questi nomi utente sono stati pesantemente presi di mira in questo momento. Se avete un nome utente generico di WordPress come admin, dovreste cambiarlo subito.
Abbiamo un tutorial facile da seguire che vi mostrerà come cambiare il vostro nome utente in WordPress.
2. Usate una password forte
NON SI TRADUCE, per favore, usa una password molto forte. Questi attacchi di forza bruta cercano di colpire tutte le password più comuni che le persone usano. Una password forte contiene lettere maiuscole e minuscole, numeri e simboli. Non utilizzate la stessa password in più luoghi. Non è mai troppo tardi per iniziare a utilizzare una soluzione di gestione delle password come 1Password o LastPass.
3. Mantenere buone copie di backup
La migliore sicurezza che potete avere per il vostro sito web è un’ottima soluzione di backup. Noi utilizziamo VaultPress, che è un servizio mensile. Tuttavia, se non vi piace pagare mensilmente, vi consigliamo vivamente di acquistare BackupBuddy.
NON SI TRADUCE, perché la maggior parte delle aziende che ospitano il sito non lo fa.
4. Usare l’autenticazione a due fattori
Iniziate a utilizzare l’autenticazione a due fattori. In questo modo, anche se qualcuno indovina la password, non può accedere al sito perché non ha il codice di sicurezza. Vi consigliamo vivamente di farlo subito.
5. Proteggere con password WP-Admin e limitare i tentativi di accesso
Raccomandiamo sempre ai nostri utenti di limitare i tentativi di accesso. Tuttavia, questo da solo non può proteggere tutti gli attacchi perché questa botnet contiene 90.000 IP. Un’altra cosa da fare è proteggere con password la directory WP-admin. Potete anche limitare il file wp-login.php a un IP specifico.
6. Iniziate a usare Sucuri
Se non utilizzate Sucuri, vi consigliamo vivamente di iniziare a farlo. Sono sempre in alto e non c’è nessun altro di cui ci fideremmo di più quando si tratta della sicurezza di WordPress. Scoprite i 5 motivi per cui usiamo Sucuri.
Non sappiamo quale sia l’obiettivo finale di questi attacchi, ma qualunque sia, non vorremmo che i nostri utenti ne fossero vittime. NON SI TRADUCE mantenere i propri siti aggiornati e seguire tutti i consigli di cui sopra.
Syed Balkhi says
Hey WPBeginner readers,
Did you know you can win exciting prizes by commenting on WPBeginner?
Every month, our top blog commenters will win HUGE rewards, including premium WordPress plugin licenses and cash prizes.
You can get more details about the contest from here.
Start sharing your thoughts below to stand a chance to win!
Janet says
I am working at securing sites for my clients, and need to password-protect their wp-admin folder. I am having a problem and hope someone can help. When I go to cPanel to pw-protect that folder, I get an error about Frontpage Extensions being installed, which prevents pw-protecting. When I go to uninstalled the extensions, I get this message:
Warning: Installing or uninstalling FrontPage extensions will result in the loss of all “.htaccess” files. Any changes you have made to your “.htaccess” files will be lost.
If I made a .htacess backup as instructed on this page https://www.wpbeginner.com/wp-tutorials/how-to-password-protect-your-wordpress-admin-wp-admin-directory/ , would that be enough?
Thanks for your help and all your VERY helpful information!
Editorial Staff says
As long as you have backups, then you should be good to go.
Admin
Janet says
Thank you! I ended up having some problems with the .htacess, but our web host fixed everything for us. Thanks so much for the help!
Sarah B R says
Hello,
I followed your guidelines for two steps authentication and it worked fine the first time a few days ago.
I wanted to log in today and went to the app on my phone and the wordpress account I had added is nowhere to be found. So now I can’t log in.
Thanks for the help.
Editorial Staff says
That’s weird. Well the easiest thing would be to delete that plugin via FTP and login again. Set it up again once you are logged in
Admin
Edwin Lynch says
I use WP Better Security. It’s free, does nearly everything Sucuri does except promote affiliate marketing spam
Ratnesh says
Login lock down is the best plugin to secure WordPresss blog by brute force attack
Robert Connor says
Some good advice my site admin panel is getting bombarded daily with login attemps!
Jane says
How do you know when you’ve been Brute-Force attacked? My client has been having issues with his WP site recently, so I’m wondering if this has to do with it.
Jennifer says
I have a site that is currently getting hit with a brute force attack. It is RELENTLESS. The site uses SUCURI (thank goodness!) and they have already done one clean-up for us.
Thank you, Syed & team, for all of the great information. I just added the two factor authentication and will put the rest of your suggestions in place ASAP.
Esther says
Thank you for the link to the free video, I just started my WP site yesterday, after running a Blogger site, and it is, kicking, my, butt! I am fairly tech savvy, so I have no idea what my problem is, only that I have one! lol
Keith Davis says
Hi guys
Read the article over on the Sucuri website – I’m with those guys and I use a few other security measures.
Just given you a callout on #WordPress
Scott Hack says
Would love to see a limit to logins added to core for 3.6