Immagina un ladro che prova ripetutamente diverse chiavi per entrare in casa tua. Una cosa simile accade durante un attacco di forza bruta, in cui gli hacker provano migliaia di combinazioni di password per accedere al tuo sito.
Probabilmente suona spaventoso, ma fortunatamente puoi difendere facilmente il tuo sito web come facciamo noi limitando i tentativi di accesso. 🔒
Questo impone un limite a quante volte qualcuno può provare ad accedere prima di essere bloccato, dando agli hacker quasi nessuna possibilità di entrare con la forza bruta.
In questo articolo, ti guideremo attraverso il processo di impostazione dei limiti di tentativi di accesso sul tuo sito WordPress. Esploreremo perché è importante per la sicurezza del tuo sito web e ti guideremo attraverso i passaggi, anche se non sei un esperto di tecnologia.
Ecco una rapida panoramica di ciò che tratteremo in questa guida:
- Perché dovresti limitare i tentativi di accesso in WordPress?
- Come limitare i tentativi di accesso in WordPress
- Suggerimenti professionali per proteggere il tuo sito WordPress
- Frequently Asked Questions About Limiting Login Attempts
Perché dovresti limitare i tentativi di accesso in WordPress?
Un attacco di forza bruta è un metodo di hacking in cui gli aggressori utilizzano tentativi ed errori per indovinare i tuoi dati di accesso.
Utilizzano software automatizzati per provare migliaia di combinazioni di nome utente e password, sperando che una alla fine funzioni.
Per impostazione predefinita, WordPress consente agli utenti di inserire una password tutte le volte che desiderano. Questa funzionalità può essere sfruttata dagli hacker, che utilizzano script per eseguire combinazioni infinite finché non ottengono l'accesso al tuo sito.
Puoi interrompere facilmente questi attacchi limitando il numero di tentativi di accesso non riusciti.
Dopo un certo numero di tentativi falliti, il sistema bloccherà temporaneamente quell'utente, rendendo impossibile il tentativo di indovinare la password in modo automatizzato.
Detto questo, diamo un'occhiata a come limitare il numero di tentativi di accesso in WordPress.
Come limitare i tentativi di accesso in WordPress
La prima cosa da fare è installare e attivare il plugin Limit Login Attempts Reloaded. Per maggiori dettagli, consulta la nostra guida passo passo su come installare un plugin WordPress.
La versione gratuita è tutto ciò di cui hai bisogno per questo tutorial.
Dopo l'attivazione, dovresti visitare la pagina Impostazioni » Limit Login Attempts e quindi fare clic sulla scheda 'Impostazioni' in alto.
Le impostazioni predefinite funzioneranno per la maggior parte dei siti web, ma ti guideremo attraverso come configurare le impostazioni del plugin di sicurezza per il tuo sito.
Per essere conformi alle leggi GDPR, puoi fare clic sulla casella di controllo ‘Conformità GDPR’ per visualizzare un messaggio sulla tua pagina di accesso. Puoi saperne di più sul GDPR nella nostra guida su WordPress e conformità GDPR.
Successivamente, sceglierai se ricevere una notifica quando qualcuno è stato bloccato. Puoi modificare l'indirizzo email a cui viene inviata la notifica, se lo desideri. Per impostazione predefinita, riceverai una notifica alla terza volta che l'utente viene bloccato.
Dopodiché, dovresti scorrere verso il basso fino alla sezione App locali, dove puoi definire quanti tentativi di accesso possono essere effettuati e il tempo di blocco che un utente dovrà attendere prima di poter riprovare.
Innanzitutto, devi definire quanti tentativi di accesso possono essere effettuati. Successivamente, scegli quanti minuti un utente dovrà attendere se supera quel numero di tentativi falliti. Il valore predefinito è 20 minuti.
Puoi anche aumentare il tempo di attesa una volta che l'utente è stato bloccato un numero specificato di volte. Ad esempio, le impostazioni predefinite non consentiranno all'utente di tentare di accedere per 24 ore una volta che è stato bloccato 4 volte.
Per l'impostazione 'Origini IP attendibili', la maggior parte degli utenti può lasciarla così com'è. Tuttavia, se utilizzi una CDN o un firewall del sito web come Sucuri o Cloudflare, potrebbe essere necessario configurare questa impostazione.
Ti consigliamo di controllare la documentazione del tuo servizio per assicurarti che il plugin possa identificare correttamente il vero indirizzo IP del visitatore.
Non dimenticare di fare clic sul pulsante 'Salva impostazioni' in fondo alla schermata per memorizzare le modifiche.
🔍 Post correlato: Per maggiori dettagli su questo plugin, consulta la nostra recensione completa di Limit Login Attempts.
Suggerimenti professionali per proteggere il tuo sito WordPress
Limitare i tentativi di accesso è un ottimo primo passo, ma la vera sicurezza del sito web coinvolge più livelli.
Ecco alcune altre pratiche essenziali che puoi seguire per mantenere i tuoi siti al sicuro:
- Usa password complesse: Questo è il livello di sicurezza più basilare. Ti consigliamo di imporre password complesse a tutti gli utenti sui tuoi siti e di utilizzare un gestore di password per tenerne traccia.
- Aggiungi Google reCAPTCHA: Se la tua pagina di accesso è ancora sotto attacco, l'aggiunta di reCAPTCHA fornisce un altro potente livello di difesa contro i bot automatizzati.
- Esegui backup regolari: Nessun sito web è immune al 100% dalle minacce, motivo per cui i backup sono non negoziabili. Per molte delle nostre proprietà web, utilizziamo Duplicator per gestire i backup e le migrazioni dei nostri siti.
- Utilizza un firewall per siti web (WAF): Un firewall è uno dei modi migliori per bloccare il traffico dannoso prima che raggiunga il tuo sito. Per una soluzione all-in-one che include un potente WAF e servizi di pulizia malware, consigliamo Sucuri.
Per ulteriori suggerimenti sulla sicurezza dei siti web, assicurati di consultare la nostra guida definitiva alla sicurezza di WordPress.
Domande frequenti sulla limitazione dei tentativi di accesso
Ecco alcune domande che i nostri lettori pongono frequentemente riguardo alla limitazione dei tentativi di accesso:
Cosa devo fare se vengo bloccato dal mio stesso sito?
È possibile bloccare se stessi se si inserisce la password sbagliata troppe volte. Se ciò accade, sarà necessario sbloccare manualmente il proprio indirizzo IP.
Puoi seguire i semplici passaggi nella nostra guida su come sbloccare Limit Login Attempts in WordPress.
Quanti tentativi di accesso dovrei consentire?
Per la maggior parte dei siti web, l'impostazione predefinita di 4 tentativi di accesso è un ottimo punto di partenza. Questo fornisce un forte equilibrio tra il mantenimento della sicurezza del tuo sito e la garanzia che gli utenti legittimi non vengano bloccati per errore.
Cos'altro posso fare per proteggere la mia pagina di accesso?
Oltre a limitare i tentativi di accesso, puoi aggiungere domande di sicurezza alla tua schermata di accesso per un ulteriore livello di protezione. Puoi anche personalizzare la tua pagina di accesso utilizzando WPForms per migliorare sia la sicurezza che l'esperienza utente.
Tutorial video
Se non preferisci istruzioni scritte, puoi guardare il nostro video tutorial:
Speriamo che questo tutorial ti abbia aiutato a imparare come limitare i tentativi di accesso in WordPress. Potresti anche voler consultare la nostra guida su come aggiungere domande di sicurezza alla schermata di accesso di WordPress o la nostra scelta esperta dei migliori plugin per la pagina di accesso.
Se ti è piaciuto questo articolo, iscriviti al nostro canale YouTube per tutorial video su WordPress. Puoi anche trovarci su Twitter e Facebook.
Dennis Muthomi
Un'altra cosa che suggerirei è di utilizzare l'autenticazione a due fattori insieme a tentativi di accesso limitati. Questa combinazione fornisce un ulteriore livello di sicurezza, rendendo ancora più difficile per i potenziali hacker ottenere un accesso non autorizzato al tuo sito WordPress.
Jiří Vaněk
C'è un altro modo oltre a un plugin? Ad esempio, usando htaccess o un componente simile? Ho il mio server e vorrei avere questo limite sul mio sito. Tuttavia, ho già abbastanza plugin e non vorrei aggiungerne altri. Quindi sto cercando un modo per farlo senza un plugin.
Supporto WPBeginner
We do not have a recommended way without a plugin, a snippet would be fairly complex which is why we recommend the plugin. We also recommend taking a look at our list of how many plugins can be installed on a site to help remove your fear of having too many plugins
https://www.wpbeginner.com/opinion/how-many-wordpress-plugins-should-you-install-on-your-site/
Amministratore
Jiří Vaněk
Grazie per la tua risposta. Stavo cercando uno snippet anche altrove, ma hai ragione: l'intero processo sarebbe stato piuttosto complicato e praticamente nessuno degli snippet che ho trovato ha funzionato. Alla fine ho usato la tua soluzione e funziona perfettamente. Quindi, per me, il problema è risolto e apprezzo il tuo ottimo consiglio per migliorare la sicurezza del sito web.
Linda Willis
Grazie mille per questo articolo molto utile su un plugin per fermare l'enorme numero di attacchi brute force che il nostro sito ha subito di recente. L'ho appena installato, seguendo la tua guida passo passo facile da seguire per le sue impostazioni. Non vedo l'ora di vedere come funziona!
Ho anche seguito il link ai gestori di password. Grazie ai vostri commenti, riproverò LastPass. Usiamo Dashlane (versione gratuita) da alcuni anni, ma siamo frustrati da alcune delle sue regole. La versione a pagamento di LastPass sembra un affare molto migliore. Ora devo capire come effettuare il passaggio... facilmente!
Grazie ancora!
Linda
Supporto WPBeginner
Glad our article and recommendations could help
Amministratore
Adil
L'eccellente articolo sulla sicurezza del sito web. Ho usato questo plugin sui nostri numerosi siti web.
Supporto WPBeginner
Thank you, glad you found the plugin helpful
Amministratore
kristyburkholder
Buongiorno! Questo è un po' fuori tema, ma ho bisogno di un consiglio da un blog affermato. È difficile creare un proprio blog? Non sono molto tecnico, ma riesco a capire le cose abbastanza velocemente. Sto pensando di crearne uno mio, ma non sono sicuro da dove iniziare. Avete qualche dritta o suggerimento? Grazie mille
Supporto WPBeginner
Non è eccessivamente difficile avviare un blog, abbiamo una guida su come avviarne uno qui: https://www.wpbeginner.com/start-a-wordpress-blog/
Amministratore
Paul Gent
Ho Limit Login Attempts (sì, devo aggiornarlo a qualcosa di più recente) e vengo attaccato continuamente. Ho aggiunto un nuovo utente come amministratore nel tentativo di poter accedere al mio sito web senza dover aspettare. Ma anche così sono stato espulso prima di poter creare qualsiasi post.
Qualcuno ha qualche consiglio per favore?
Shyam Chathuranga
Sì, hai ragione. Ho usato il plugin Limit Login Attempts per tutto questo tempo e di recente ha iniziato a bloccare tutti gli utenti invece di bloccare l'attaccante in base al suo IP.
Quindi, immagino che dovrò dire addio a quel plugin e usarne un altro ora.
Miguel
Ho recentemente installato WordFence per monitorare la sicurezza del mio sito web. Offre una funzione per limitare i tentativi di accesso. Di conseguenza, ho disattivato ed eliminato Limit Login Attempts Reloaded.
Tuttavia, in WP Admin> Impostazioni, rimane il limite ai tentativi di accesso. Sai se è installato per impostazione predefinita con WP e, indipendentemente da ciò, come posso eliminarlo?
Credo che stia sovrascrivendo le impostazioni di WordFence.
Grazie per il tuo tempo,
Miguel
erlindawva
Ciao, questo è un po' fuori tema ma volevo sapere se i blog usano editor WYSIWYG o se devi codificare manualmente con HTML. Sto per iniziare un blog ma non ho conoscenze di codifica, quindi volevo chiedere consiglio a qualcuno con esperienza. Qualsiasi aiuto sarebbe molto apprezzato!
Supporto WPBeginner
WordPress viene fornito con un editor WYSIWYG. Ti permette anche di aggiungere HTML per scrivere post.
Amministratore
Jorge Manuel
Oggi ho ricevuto il messaggio ‘superato il numero massimo di tentativi’ – ma con una password assolutamente corretta!
Come è possibile?
Ho iniziato a configurare questo sito WP solo due giorni fa, non ha contenuti a parte un tema gratuito e un titolo. Ho installato login lockdown, ma NON è attivato.
Mi sfugge il motivo per cui ci dovrebbe essere un attacco BF su un nome di sito oscuro con appena 90 MB di contenuto…
Alam Khan
Ciao Team di WPBginner,
Grazie mille per aver creato contenuti così vasti e utili per utenti WordPress come noi. Cerco sempre soluzioni sul vostro sito e le trovo ogni volta da 2-3 anni a questa parte.
Oggi è la prima volta che posto un commento per il problema sopra menzionato, sto usando il plugin Limit Login Attempts e mi aiuta davvero a mantenere il mio sito sicuro, ogni giorno vedo 10-15 tentativi di accesso falliti, ma a volte viene bloccato per 24 ore, il che limita anche noi. È possibile utilizzare anche Login LockDown e bloccare i tentativi errati per IP, in modo che i nostri utenti legittimi non vengano bloccati.
È possibile utilizzare contemporaneamente il plugin Limit Login Attempts e il plugin Login LockDown sullo stesso sito web?
Grazie
Alam Khan
Fondatore
Supporto WPBeginner
Ciao Alam,
Raccomandiamo di usare Login LockDown da solo e non con Limit Login Attempts.
Amministratore
cheryleduryea
Hmm, sembra che il tuo sito abbia mangiato il mio primo commento (era lunghissimo) quindi immagino che riassumerò quello che ho scritto e dirò che mi sto godendo appieno il tuo blog. Anch'io sono una aspirante blogger ma sono ancora nuova in tutto questo. Hai qualche consiglio per i blogger principianti? Lo apprezzerei sicuramente.
agustinpenny920
Ciao, ovviamente questo articolo è veramente buono e ho imparato molte cose da esso riguardo al blogging. grazie.
adelaida5489
Avendo così tanti contenuti e articoli, ti imbatti mai in problemi di plagio o violazione del copyright? Il mio blog ha molti contenuti unici che ho creato io stesso o esternalizzato, ma sembra che gran parte di essi compaia ovunque sul web senza il mio accordo. Conosci metodi per aiutare a prevenire che i contenuti vengano rubati? Lo apprezzerei sicuramente.
Supporto WPBeginner
Si prega di consultare la nostra guida su prevenire lo scraping dei contenuti del blog in WordPress.
Amministratore
Suji
Ciao
Grazie per l'articolo. Informativo.
Esiste un'opzione per limitare i tentativi di accesso senza utilizzare plugin?
YNS
Ciao,
Con un pacchetto di plugin affidabili (che allo stesso tempo offrono molte altre funzionalità di sicurezza), non è più così difficile proteggere i siti WordPress da attacchi come i tentativi di accesso.
Coloro che si lamentano del fatto che la funzionalità non sia integrata dovrebbero rendersi conto che le estensioni di funzionalità hanno uno scopo. L'ecosistema WordPress è semplicemente scalabile, mi piace molto. Ma serve più collaborazione con provider CDN potenti. In paesi come la Cina, un buon plugin come JetPack diventa inutile perché tutti gli IP a cui si connette sono dannosi per il Great Firewall.
Questo blog è molto utile, specialmente quando si promuovono progetti open source di successo con WordPress.
Brad
Uno dei miei siti riceve quasi 100 tentativi di accesso al mese. Come molti di voi, lo trovo strano poiché non è un sito di e-commerce e non raccogliamo informazioni sugli utenti. Ho installato il plugin Wordfence Security che offre opzioni di blocco per qualsiasi nome utente errato, nonché per IP e persino per interi paesi.
Ha anche diverse altre difese che si sono rivelate inestimabili. Il web non è sicuro senza una qualche forma di protezione. Se qualcuno di voi conosce una soluzione migliore, per favore condivida.
Programmazione sicura!
Brad
Ed Dogan
Mi piace di più questo
https://www.wpbeginner.com/wp-tutorials/how-to-limit-access-by-ip-to-your-wp-login-php-file-in-wordpress/
marian chapa
ciao.. ho dimenticato la mia password di amministratore per il mio sito web.. come posso accedere per modificare il mio sito
Supporto WPBeginner
Si prega di consultare la nostra guida cosa fare quando si è bloccati nell'area di amministrazione di WordPress.
Amministratore
Steve
Nessuno ha menzionato Jetpack, che ha un modulo chiamato Brute Protect. Questo blocca automaticamente gli utenti da indirizzi IP sospetti. Si basa su una rete globale che può tracciare gli spammer da tutto il web.
Pete
Grazie per un altro consiglio. Uso BackupBuddy e mi piace che esegua automaticamente i miei backup, ma consente anche agli utenti di migrare facilmente i siti su altri server. Soprattutto passando da un host locale a un server live.
Donna
È divertente che riceva questa email perché ho riscontrato fino a 27 tentativi sul mio sito durante la notte da tutto il mondo... Voglio dire, davvero cosa vogliono? Ho un blog di cucito e moda? Cosa cercano di ottenere prendendo il controllo del mio sito e pagandoli?? Ho appena cambiato le mie impostazioni qualche giorno fa prima di questo articolo perché stavo ricevendo parecchi hack. Ora stamattina più di 27, che è il numero più alto che abbia mai visto.
Connor Rickett
È una domanda che ha davvero bisogno di una risposta? Perché impedisce gli attacchi brute force (o almeno li rallenta parecchio).
Perché WP non viene fornito con tentativi di accesso limitati "out of the box", ora QUESTA è una domanda a cui vorrei vedere un post sul blog che ne parli.
Iza
Sto usando Limit Login Attempts in combinazione con un altro fantastico plugin di sicurezza chiamato WP-Ban. Il plugin Limit Login Attempts mi invia un'e-mail dopo il secondo tentativo di accesso non riuscito, credo, con l'IP dell'utente. Incollo questo utente nel plugin Ban e la prossima volta, l'utente non sarà in grado di provare ad accedere affatto. Solo un altro livello di sicurezza contro i troll.
Nika
Limit Login Attempts non è stato aggiornato da oltre 3 anni. È obsoleto. Login LockDown ha funzionalità scadenti e non so perché venga raccomandato qui.
Qualche settimana fa ho installato WP Cerber invece.
Sembra una soluzione valida. Fa tutto come previsto.
Supporto WPBeginner
Non siamo d'accordo sul fatto che Login Lockdown abbia una funzionalità scadente. Fa esattamente quello che dice. Non abbiamo ancora testato WP Cerber, quindi non possiamo commentare in merito.
Amministratore
Joris Heyndrickx
Penso che sia ora che WordPress abbia percorsi configurabili in modo da poter finalmente liberarci di example.com/wp-admin. Ho visto richieste per questo, 8 anni fa.
Jon Schear
L'ho usato un paio di volte. Ha ridotto il solito carico di 50 email all'ora sulle notifiche di blocco a 0.
Recaptcha è un altro buon strumento, ma molto più difficile da implementare.
Han Balk
Sono passato da LLA a Wordfence, a causa di tutte le funzionalità di sicurezza aggiuntive che offre.
Ogni sistema operativo ha una funzionalità per limitare i tentativi di accesso. So che WordPress è un CMS e non un sistema operativo, ma è un CMS maturo e la community di WordPress trarrebbe grande beneficio da una limitazione di accesso integrata che sia abilitata per impostazione predefinita. Molti siti WordPress sono "vulnerabili" a tentativi di accesso illimitati, perché non sono adeguatamente protetti e i proprietari non sono consapevoli della sicurezza.
Non può essere così difficile integrare una limitazione di accesso e abilitarla per impostazione predefinita in una delle prossime versioni di WordPress?
Howard
Limit Login Attempts non è stato aggiornato da un paio d'anni e presenta alcune "falle". L'ho scoperto nei miei log, dove ho trovato quasi 100 "blocchi" in un periodo di 10 minuti dallo stesso IP. I blocchi sono stati attivati dopo il secondo tentativo non riuscito e avrebbero dovuto durare 72 ore. Stavano arrivando così velocemente che era un efficace DoS e ha richiesto uno sforzo per fermarli. È abbastanza ovvio che lo script kiddie ha aggirato il blocco. Gli attacchi da quell'indirizzo IP si sono interrotti quando sono finalmente riuscito ad aggiungerlo all'elenco di negazione in .htaccess.
.
Utilizzo ancora LLA per le informazioni e le notifiche limitate ma utili, ma non mi affido ad esso per mantenere sicuro il mio sito.
FranE
Ho notato questa funzionalità su alcuni dei miei siti, anche se non hanno il plugin installato. È inclusa in determinati temi? Forse Genesis?
Staff di WPBeginner
Non siamo a conoscenza di temi che includano questa funzionalità. Ricorda che i temi non dovrebbero aggiungere funzionalità al tuo sito WordPress. Le funzionalità provengono dai plugin. Forse è qualcosa aggiunto dal tuo web host?
Grayhambo
Sembrano esserci alcuni problemi di compatibilità con questo plugin con WP 4.0, dato che non è stato aggiornato da oltre 2 anni. Può bloccarti fuori dal pannello di amministrazione. Se ciò accade, dovrai disabilitare il plugin nel solito modo, utilizzando qualcosa come l'accesso a cPanel.
Joe
Sembra funzionare ancora bene su tutti i miei 10 siti wp
Torben Heikel Vinther
Sembra un plugin buono e semplice, ma perché non usare Better WP Security invece? BWS ha un'intera sezione su Limit Login Attempts E molti altri problemi di sicurezza in un unico plugin! Inoltre BWS è stato aggiornato l'ultima volta il 24-8-2013. Limit Login Attempts non è stato aggiornato dal 01-6-2012!
Staff editoriale
Torben, ci sono molti plugin che offrono questa funzionalità. Limit Login Attempts è un plugin semplice che fa una cosa e la fa molto bene. Ciò non significa che BWS sia una soluzione sbagliata. È un'ottima soluzione (oltre 1 milione di download sul plugin lo dimostrano già).
Amministratore
Nika
Uso il plugin Limit Login Attempts per i miei siti da un po' di tempo. Ora questo plugin è obsoleto. Sii onesto. Hai usato Limit Login Attempts sul tuo sito?
Supporto WPBeginner
Dato che è scaduto, abbiamo aggiornato l'articolo e lo abbiamo sostituito con il plugin login lockdown.
abdelhafidcom
che mi dici del plugin login lookdown? è utile? dovrei sostituirlo con questo plugin?
wpbeginner
@abdelhafidcom Anche quello è buono. Fa la stessa cosa. Solo che non è stato aggiornato da un po'.
AlbertAlbs
Grazie per aver condiviso queste informazioni sulla sicurezza di WordPress.
ColeRuddick
Ottimo consiglio! Dato che WordPress è la piattaforma più utilizzata al momento, la sicurezza del sito dovrebbe essere presa sul serio da tutti gli utenti e questo plugin è di grande aiuto. Grazie per aver condiviso!
namaserajesh
Concordo con te, Limit Login Attempts è un ottimo plugin per proteggere il nostro blog WordPress.
joeytribbiani
Preferisco Login Lock. È ufficialmente compatibile fino alla versione 3.3.1
http://wordpress.org/extend/plugins/login-lock/
merrittsgret
@joeytribbiani Login Lock ha bloccato efficacemente tutti dal mio sito di recente. Sto passando a Limit Login Attempts.
Aqif
preferisco non consumare pronto:)
Alan
Grazie per questo!
doug_eike
Stavo cercando modi per proteggere il mio blog e il tuo suggerimento di plugin sembra che potrebbe essere utile. Ci darò un'occhiata. Grazie!