Il tuo sito WordPress è vulnerabile agli attacchi brute-force? Questi attacchi non solo possono rallentare il tuo sito e renderlo difficile da accedere, ma possono anche consentire agli hacker di decifrare le tue password e installare malware. Questo può danneggiare gravemente il tuo sito e la tua attività.
Su WPBeginner, ci affidiamo pesantemente a strumenti di sicurezza come Sucuri e Cloudflare per mantenere il nostro sito sicuro. Sucuri una volta ci ha aiutato a bloccare 450.000 attacchi WordPress in un periodo di 3 mesi.
In questo articolo, ti mostreremo come proteggere il tuo sito WordPress dagli attacchi brute-force.
Cos'è un attacco brute force?
Un attacco brute force è un metodo di hacking che utilizza tentativi ed errori per violare un sito web, una rete o un sistema informatico.
Il tipo più comune di attacco brute force è l'indovinamento della password. Gli hacker utilizzano software automatizzati per continuare a indovinare le tue informazioni di accesso in modo da poter accedere al tuo sito web.
Questi strumenti di hacking automatizzati possono anche mascherarsi utilizzando diversi indirizzi IP e posizioni, il che rende più difficile identificare e bloccare attività sospette.
Un attacco brute force riuscito può dare agli hacker l'accesso all'area admin del tuo sito web. Possono installare malware, rubare informazioni sugli utenti ed eliminare tutto dal tuo sito.
Anche gli attacchi brute force non riusciti possono causare danni inviando troppe richieste ai server di hosting WordPress, rallentando o addirittura bloccando completamente il tuo sito web.
Detto questo, diamo un'occhiata a come proteggere il tuo sito web WordPress dagli attacchi brute-force. Ecco i passaggi che seguiremo:
- Installa un plugin firewall per WordPress
- Installa gli aggiornamenti di WordPress
- Proteggi la directory di amministrazione di WordPress
- Aggiungi l'autenticazione a due fattori in WordPress
- Usa password uniche e robuste
- Disabilita la navigazione delle directory
- Disabilita l'esecuzione di file PHP in cartelle specifiche di WordPress
- Installa e configura un plugin di backup per WordPress
1. Installa un plugin firewall per WordPress
Gli attacchi brute force mettono a dura prova i tuoi server. Anche quelli non riusciti possono rallentare il tuo sito web o bloccare completamente il server. Ecco perché è importante bloccarli prima che raggiungano il tuo server.
Per fare ciò, avrai bisogno di una soluzione firewall per siti web. Un firewall filtra il traffico dannoso e lo blocca dall'accesso al tuo sito.
Ci sono due tipi di firewall per siti web che puoi utilizzare:
- Firewall a livello di applicazione esaminano il traffico una volta che raggiunge il tuo server ma prima di caricare la maggior parte degli script di WordPress. Questo metodo non è molto efficiente perché un attacco brute-force può comunque influire sul carico del tuo server.
- I firewall per siti web a livello DNS instradano il traffico del tuo sito web attraverso i loro server proxy cloud. Questo consente loro di inviare solo traffico autentico al tuo server di hosting web principale, aumentando al contempo la velocità e le prestazioni di WordPress.
Ti consigliamo di utilizzare Sucuri. Sono leader del settore nella sicurezza dei siti web e il miglior firewall per WordPress sul mercato. Poiché dispongono di un firewall per siti web a livello DNS, ciò significa che tutto il traffico del tuo sito web passa attraverso il loro proxy, dove il traffico dannoso viene filtrato.
Utilizziamo Sucuri sul nostro sito web e puoi leggere la nostra recensione completa di Sucuri per saperne di più.
2. Installa gli aggiornamenti di WordPress
Alcuni attacchi di forza bruta comuni prendono di mira attivamente vulnerabilità note in versioni precedenti di WordPress, plugin WordPress popolari o temi.
Il core di WordPress e la maggior parte dei plugin WordPress più diffusi sono open source e le vulnerabilità vengono spesso corrette molto rapidamente con un aggiornamento. Tuttavia, se non installi gli aggiornamenti, lasci il tuo sito web vulnerabile a quelle vecchie minacce.
Vai semplicemente alla pagina Dashboard » Aggiornamenti nell'area di amministrazione di WordPress per verificare la disponibilità di aggiornamenti. Questa pagina mostrerà tutti gli aggiornamenti per il core di WordPress, i plugin e i temi.
Per maggiori dettagli, consulta le nostre guide su come aggiornare WordPress in sicurezza e aggiornare correttamente i plugin di WordPress.
3. Proteggi la directory di amministrazione di WordPress
La maggior parte degli attacchi di forza bruta su un sito WordPress sta cercando di accedere all'area di amministrazione di WordPress. Puoi aggiungere la protezione tramite password alla tua directory di amministrazione di WordPress a livello di server. Questo bloccherà l'accesso non autorizzato alla tua area di amministrazione di WordPress.
Accedi semplicemente al pannello di controllo del tuo hosting WordPress (cPanel) e fai clic sull'icona 'Directory Privacy' nella sezione File.
Nota: Nello screenshot utilizziamo Bluehost, ma impostazioni simili sono disponibili anche su altre società di hosting principali come HostGator.
Successivamente, è necessario individuare la cartella wp-admin.
Una volta trovata, dovresti fare clic sul pulsante 'Modifica'.
Nella pagina successiva è possibile impostare le impostazioni di sicurezza per la cartella.
Innanzitutto, è necessario selezionare la casella 'Proteggi questa directory con password'. Successivamente, è possibile inserire un nome per la directory protetta.
Successivamente, ti verrà chiesto di fornire un nome utente e una password.
Ti verranno richieste queste informazioni ogni volta che tenterai di accedere a questa directory.
Dopo aver inserito queste informazioni, fai clic sul pulsante 'Salva' per memorizzare le tue impostazioni.
La tua directory di amministrazione di WordPress è ora protetta da password.
Vedrai una nuova richiesta di accesso quando visiti la tua area di amministrazione di WordPress.
Se incontri un errore 404 o un messaggio di errore troppi reindirizzamenti, allora devi aggiungere la seguente riga al tuo file .htaccess di WordPress:
ErrorDocument 401 default
Per maggiori dettagli, consulta il nostro articolo su come proteggere con password la directory di amministrazione di WordPress.
4. Aggiungi l'autenticazione a due fattori in WordPress
L'autenticazione a due fattori aggiunge un ulteriore livello di sicurezza alla schermata di accesso di WordPress. Gli utenti avranno bisogno dei loro telefoni per generare un codice di accesso monouso insieme alle loro credenziali di accesso per accedere all'area di amministrazione di WordPress.
L'aggiunta dell'autenticazione a due fattori renderà più difficile per gli hacker ottenere l'accesso anche se riescono a decifrare la tua password di WordPress.
Per istruzioni dettagliate passo dopo passo, consulta la nostra guida su come aggiungere l'autenticazione a due fattori in WordPress.
5. Usa password uniche e complesse
Le password sono le chiavi per accedere al tuo sito WordPress o al tuo negozio eCommerce. Devi usare password uniche e complesse per tutti i tuoi account. Una password complessa è una combinazione di numeri, lettere e caratteri speciali.
È importante utilizzare password complesse non solo per i tuoi account utente WordPress, ma anche per il tuo client FTP, il pannello di controllo dell'hosting web e il tuo database WordPress.
Molti principianti ci chiedono come ricordare tutte queste password uniche. Beh, non devi farlo. Esistono eccellenti app di gestione password disponibili che memorizzeranno in modo sicuro le tue password e le inseriranno automaticamente per te.
Per saperne di più, consulta la nostra guida per principianti sui migliori modi per gestire le password per WordPress.
6. Disabilita la navigazione delle directory
Per impostazione predefinita, quando il tuo server web non riesce a trovare un file di indice (come index.php o index.html), visualizza automaticamente una pagina indice che mostra il contenuto della directory.
Durante un attacco di forza bruta, gli hacker possono utilizzare la navigazione delle directory in questo modo per cercare file vulnerabili. Per risolvere questo problema, devi aggiungere la seguente riga in fondo al tuo file .htaccess di WordPress utilizzando un servizio FTP:
Options -Indexes
Per maggiori dettagli, consulta il nostro articolo su come disabilitare la navigazione delle directory in WordPress.
7. Disabilita l'esecuzione di file PHP in cartelle specifiche di WordPress
Gli hacker potrebbero voler installare ed eseguire uno script PHP nelle tue cartelle di WordPress. WordPress è scritto principalmente in PHP, il che significa che non puoi disabilitarlo in tutte le cartelle di WordPress.
Tuttavia, ci sono alcune cartelle che non necessitano di script PHP, come la cartella di caricamenti di WordPress situata in /wp-content/uploads.
Puoi tranquillamente disabilitare l'esecuzione di PHP nella cartella di caricamenti, che è un luogo comune utilizzato dagli hacker per nascondere file backdoor.
Innanzitutto, devi aprire un editor di testo come Blocco note sul tuo computer e incollare il seguente codice:
<Files *.php>
deny from all
</Files>
Ora, salva questo file come .htaccess e caricalo nelle cartelle /wp-content/uploads/ sul tuo sito web utilizzando un client FTP.
8. Installa e configura un plugin di backup per WordPress
I backup sono lo strumento più importante nel tuo arsenale di sicurezza per WordPress. Se tutto il resto fallisce, i backup ti permetteranno di ripristinare facilmente il tuo sito web.
La maggior parte delle aziende di hosting WordPress offre opzioni di backup limitate. Tuttavia, questi backup non sono garantiti e sei l'unico responsabile della creazione dei tuoi backup.
Esistono diversi ottimi plugin di backup per WordPress che ti consentono di pianificare backup automatici.
Ti consigliamo di utilizzare Duplicator. È facile da usare per i principianti e ti consente di configurare rapidamente backup automatici e memorizzarli in posizioni remote come Google Drive, Dropbox, Amazon S3, OneDrive e altro ancora.
Esiste anche una versione gratuita di Duplicator che puoi utilizzare per iniziare.
Per istruzioni dettagliate, puoi seguire questa guida su come eseguire il backup del tuo sito WordPress con Duplicator.
Tutti i suggerimenti sopra menzionati ti aiuteranno a proteggere il tuo sito WordPress dagli attacchi brute-force. Per una configurazione di sicurezza più completa, dovresti seguire le istruzioni nella nostra guida definitiva alla sicurezza di WordPress per principianti.
Speriamo che questo articolo ti abbia aiutato a capire come proteggere il tuo sito WordPress dagli attacchi brute-force. Potresti anche voler consultare la nostra guida su come riparare un sito WordPress hackerato e le nostre scelte esperte dei migliori plugin firewall per WordPress.
Se ti è piaciuto questo articolo, iscriviti al nostro canale YouTube per tutorial video su WordPress. Puoi anche trovarci su Twitter e Facebook.
Olaf
Questi sono suggerimenti molto preziosi. Un attacco brute force può essere molto pericoloso, soprattutto se il provider di hosting non ha soluzioni di base e, soprattutto, se gli utenti hanno password deboli composte da frasi semplici. Personalmente, tutto inizia sempre con la password. Caratteri, simboli, numeri... è l'unica combinazione giusta. Nomi e frasi sono il peggio. Se le persone capiscono questo, sono in gran parte protette, a condizione che le password siano lunghe almeno otto caratteri. Tuttavia, è difficile insegnare questo alle persone, poiché vogliono password che possano ricordare. Ecco perché è bene usare dispositivi mnemonici per le password. Uso password che non hanno senso ma le ricordo tramite mnemonici. Aggiungere un ulteriore livello di sicurezza migliora solo la sicurezza generale, e considero l'autenticazione a due fattori il miglior secondo livello. Con essa, la possibilità di una violazione diventa quasi minima.
Dayo Olobayo
Questa è un'ottima guida per proteggere il tuo sito WordPress! Un consiglio aggiuntivo che consiglierei è di monitorare regolarmente i tentativi di accesso. Molti plugin di sicurezza offrono log dettagliati dove puoi tracciare i tentativi di accesso, inclusi gli indirizzi IP di origine. Questo può aiutarti a identificare attività sospette e potenzialmente bloccare IP dannosi.
Mrteesurez
Grazie per il tuo consiglio.
Di solito controllavo i dettagli dei log per identificare l'indirizzo IP dei tentativi di accesso. Ma c'è un modo per ricevere una notifica per i tentativi di accesso direttamente via email?
Conosci qualche plugin che faccia questo?
Dayo Olobayo
Credo che il plugin Limit Login Attempts Reloaded possa inviare notifiche via email per i tentativi di accesso. Puoi dargli un'occhiata.
Mrteesurez
Ok, grazie per la tua risposta, Dayo. È difficile e richiede tempo accedere frequentemente per controllare i tentativi di accesso ai log su più siti web, ecco perché preferivo ricevere email su qualsiasi tentativo. Grazie.
Jiří Vaněk
Ho notato che non hai incluso l'opzione per cambiare l'URL dell'amministrazione di WordPress nell'elenco. C'è un motivo? È anche uno dei metodi molto validi per prevenire attacchi, poiché gli aggressori non conosceranno l'URL dell'amministrazione del sito web.
Supporto WPBeginner
Non lo consigliamo poiché ciò può causare problemi con i plugin e il debug e non aggiunge molto alla sicurezza di un sito.
Amministratore
Jiří Vaněk
Beh, probabilmente hai esperienza con questo. Lo uso sul mio blog e non ho mai avuto problemi su tutti i siti. Ho ipotizzato che cambiare l'URL potesse rendere l'amministrazione più sicura non conoscendo l'URL per l'aggressore, ma seguirò il tuo consiglio.
Moinuddin Waheed
Questo è un problema molto comune per gli utenti di WordPress. La maggior parte delle volte prestiamo poca o nessuna attenzione alla protezione del nostro sito web o blog e poi ci lamentiamo quando succede qualcosa del genere.
Sono stato vittima di questo attacco brute force nel 2017 e da allora mi sono assicurato di utilizzare backup del mio sito web completo e l'autenticazione a due fattori per accedere.
C'è un modo per identificare se è stato installato software dannoso o se la nostra dashboard è stata compromessa?
Supporto WPBeginner
Puoi utilizzare alcune delle opzioni di scanner che raccomandiamo nel nostro articolo qui sotto!
https://www.wpbeginner.com/plugins/how-to-scan-your-wordpress-site-for-potentially-malicious-code/
Amministratore
Moinuddin Waheed
Grazie per la risposta e la raccomandazione del tutorial.
Sto esplorando queste guide per creare un'agenzia di siti web WordPress di successo.
Voglio assicurarmi che i siti web che creo per i miei clienti siano a prova di proiettile per quanto riguarda la sicurezza.
Renuga
CIAO,
Per la protezione dell'amministratore al passo 3, dobbiamo mostrare il login solo in WP-admin ma viene mostrato anche sul sito. Quindi, per favore, aiutateci a capire come mostrarlo solo in WP-admin.
Supporto WPBeginner
Se intendi che si trova nell'area widget, potresti voler controllare un widget meta sotto Aspetto>Widget
Amministratore
Dreamandu
Sono sotto attacco brute force in questo momento da diversi IP. Cosa posso fare per proteggere il mio sito adesso?
Supporto WPBeginner
Puoi usare uno qualsiasi dei metodi in questo articolo per iniziare a combattere l'attacco brute force
Amministratore
Chidubem Ezenwa
Un'altra guida utile. Grazie ragazzi.