WPBeginner - Tutorial WordPress per principianti

Tutorial WordPress affidabili, quando ne hai più bisogno.
Guida per principianti a WordPress
WPB Cup
25 Milioni+
Siti web che utilizzano i nostri plugin
16+
Anni di esperienza con WordPress
3000+
Tutorial WordPress di esperti

Come Interrompere e Prevenire un Attacco DDoS su WordPress

Di Staff editoriale | | Divulgazione del lettore

Shares 267 ChatGPT Perplexity X LinkedIn WhatsApp

WordPress è uno dei costruttori di siti web più popolari al mondo perché offre funzionalità potenti e un codice sicuro. Tuttavia, questa popolarità lo rende un bersaglio per gli attacchi DDoS.

Gli hacker utilizzano attacchi DDoS per rallentare i siti web e renderli inaccessibili agli utenti. Questi attacchi possono colpire sia siti web piccoli che grandi. Le conseguenze di un attacco DDoS possono essere gravi, con conseguente perdita di entrate, danni alla reputazione e visitatori frustrati.

WPBeginner è stato il bersaglio di molti di questi attacchi e abbiamo imparato come intraprendere misure per ridurre al minimo il rischio e mantenere sicuro il nostro sito web. Potresti chiederti come un sito web di piccole imprese che utilizza WordPress possa prevenire tali attacchi DDoS con risorse limitate.

Questa guida ti mostrerà come prevenire e fermare gli attacchi DDoS in WordPress, permettendoti di gestire con sicurezza la sicurezza del tuo sito web contro gli attacchi come un vero professionista.

Fermare e prevenire un attacco DDOS su un sito WordPress

Cos'è un attacco DDoS?

DDoS (Distributed Denial of Service) è un tipo di attacco informatico che utilizza computer e dispositivi compromessi per inviare o richiedere dati da un server di hosting WordPress. Lo scopo di queste richieste è rallentare e infine bloccare il server di destinazione.

Gli attacchi DDoS si sono evoluti dagli attacchi DoS (Denial of Service). A differenza di un attacco DoS, sfruttano molte macchine o server compromessi distribuiti in diverse regioni.

Queste macchine compromesse formano una rete, talvolta chiamata botnet. Ogni macchina interessata agisce come un bot e lancia attacchi contro il sistema o il server di destinazione. Ciò consente loro di passare inosservati per un po' e causare danni massimi prima di essere bloccati.

Diagramma di attacco DDoS

Anche le più grandi aziende di Internet sono vulnerabili agli attacchi DDoS.

Nel 2018, GitHub, una popolare piattaforma di hosting di codice, ha subito un massiccio attacco DDoS che ha inviato 1,3 terabyte al secondo di traffico ai propri server.

Potresti anche ricordare il famigerato attacco del 2016 a DYN (un provider di servizi DNS). Questo attacco ha ricevuto una copertura mediatica mondiale poiché ha interessato molti siti web popolari come Amazon, Netflix, PayPal, Visa, Airbnb, The New York Times, Reddit e migliaia di altri siti web.

FAQ DDoS

Ecco alcune risposte alle domande frequenti sugli attacchi DDoS.

Perché avvengono gli attacchi DDoS?

Ci sono diverse motivazioni dietro gli attacchi DDoS. Ecco alcune comuni:

  • Persone tecnicamente esperte che si annoiano lo trovano avventuroso
  • Persone e gruppi che esprimono un punto politico
  • Gruppi che prendono di mira siti web e servizi di un particolare paese o regione
  • Attacchi mirati a una specifica attività o fornitore di servizi per causare danni monetari
  • Ricatto per riscuotere denaro di riscatto

Qual è la differenza tra un attacco brute force e un attacco DDoS?

Attacco di forza bruta

Gli attacchi brute force tentano di ottenere l'accesso non autorizzato a un sistema indovinando le password o provando combinazioni casuali.

Gli attacchi DDoS vengono utilizzati esclusivamente per bloccare il sistema di destinazione, rendendolo lento o inaccessibile.

Per maggiori dettagli, consulta la nostra guida su come bloccare gli attacchi brute-force su WordPress.

Quali danni possono essere causati da un attacco DDoS?

Gli attacchi DDoS possono ridurre le prestazioni di un sito web o renderlo inaccessibile. Ciò si traduce in una cattiva esperienza utente, perdita di affari e costi di mitigazione dell'attacco, che possono essere di migliaia di dollari.

Ecco una ripartizione di questi costi:

  • Perdita di affari dovuta all'inaccessibilità del sito web
  • Costo del servizio clienti per rispondere alle richieste relative all'interruzione del servizio
  • Costo di mitigazione dell'attacco assumendo servizi di sicurezza o supporto
  • Il costo maggiore è la scarsa esperienza utente e la reputazione del marchio

Come posso fermare e prevenire gli attacchi DDoS in WordPress?

Gli attacchi DDoS possono essere abilmente mascherati e difficili da gestire. Tuttavia, con alcune pratiche di sicurezza di base, puoi prevenire e fermare facilmente gli attacchi DDoS dall'influenzare il tuo sito web WordPress.

Ecco i passaggi che devi intraprendere per prevenire e fermare gli attacchi DDoS sul tuo sito:

  1. Rimuovi i verticali di attacco DDoS / Brute Force
  2. Attiva un WAF (Web Application Firewall)
  3. Identifica se si tratta di un attacco Brute Force o DDoS
  4. Cosa fare durante un attacco DDoS
  5. Come mantenere sicuro il tuo sito web WordPress

Rimuovi i verticali di attacco DDoS / Brute Force

La cosa migliore di WordPress è che è altamente flessibile. WordPress consente l'integrazione di plugin e strumenti di terze parti nel tuo sito web per aggiungere nuove funzionalità.

Per fare ciò, WordPress mette a disposizione diversi API per i programmatori. Queste API sono metodi tramite i quali plugin e servizi di terze parti di WordPress possono interagire con WordPress.

Tuttavia, alcune di queste API possono anche essere sfruttate durante un attacco DDoS inviando una tonnellata di richieste. Puoi disabilitarle in modo sicuro per ridurre tali richieste.

Disabilita XML RPC in WordPress

XML-RPC consente alle app di terze parti di interagire con il tuo sito web WordPress. Ad esempio, hai bisogno di XML-RPC per utilizzare l'app WordPress sul tuo dispositivo mobile.

Se sei come la stragrande maggioranza degli utenti che non utilizzano l'app mobile per gestire il proprio sito web, allora puoi disabilitare XML-RPC aggiungendo semplicemente il seguente codice al file .htaccess del tuo sito:

# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>
Hosted with ❤️ by WPCode
1-click Use in WordPress

Per metodi alternativi, consulta la nostra guida su come disabilitare facilmente XML-RPC in WordPress.

Disabilita REST API in WordPress

La REST API JSON di WordPress consente a plugin e strumenti di accedere ai dati di WordPress, aggiornare contenuti e/o persino eliminarli. Ecco come puoi disabilitare la REST API in WordPress.

Ti consigliamo di utilizzare il plugin WPCode. Questo è il miglior plugin per snippet di codice che ti consentirà di disabilitare la REST API in pochi clic.

Per maggiori informazioni, consulta la nostra guida su come disabilitare JSON REST API in WordPress.

In alternativa, puoi utilizzare il plugin Disable WP Rest API. Il plugin funziona subito e disabiliterà la REST API per tutti gli utenti non registrati.

Attiva un WAF (Web Application Firewall)

Firewall per applicazioni web (WAF)

La disabilitazione di vettori di attacco come REST API e XML-RPC fornisce una protezione limitata contro gli attacchi DDoS. Il tuo sito web è ancora vulnerabile alle normali richieste HTTP.

Sebbene tu possa mitigare un piccolo attacco DDoS cercando di catturare gli IP delle macchine dannose e bloccandoli manualmente, questo approccio è meno efficace quando si tratta di un attacco su larga scala.

Il modo più semplice per bloccare richieste sospette è attivare un firewall per applicazioni web.

Un firewall per applicazioni web agisce come un proxy tra il tuo sito web e tutto il traffico in entrata. Utilizza un algoritmo intelligente per intercettare tutte le richieste sospette e bloccarle prima che raggiungano il server del tuo sito web.

Firewall per applicazioni web

Ti consigliamo di utilizzare Sucuri perché è il miglior plugin di sicurezza per WordPress e firewall per siti web. Funziona a livello DNS, il che significa che può intercettare un attacco DDoS prima che possa effettuare una richiesta al tuo sito web.

I prezzi per Sucuri partono da $199,99 all'anno.

Usiamo Sucuri su WPBeginner. Vedi il nostro caso di studio su come aiutano a bloccare centinaia di migliaia di attacchi sul nostro sito web.

In alternativa, puoi usare Cloudflare. Tuttavia, il servizio gratuito di Cloudflare offre solo una protezione DDoS limitata. Dovrai iscriverti almeno al loro piano business per la protezione DDoS di livello 7, che costa circa $200 al mese.

Vedi il nostro articolo su Sucuri vs. Cloudflare per un confronto dettagliato fianco a fianco.

Nota: I Web Application Firewall (WAF) che operano a livello applicativo sono meno efficaci durante un attacco DDoS. Bloccano il traffico una volta che ha già raggiunto il tuo web server, quindi influisce comunque sulle prestazioni generali del tuo sito web.

Identifica se si tratta di un attacco Brute Force o DDoS

Sia gli attacchi brute force che quelli DDoS utilizzano intensivamente le risorse del server, il che significa che i loro sintomi appaiono piuttosto simili. Il tuo sito web diventerà più lento e potrebbe bloccarsi.

Puoi scoprire facilmente se si tratta di un attacco brute force o di un attacco DDoS esaminando i report di accesso del plugin Sucuri.

Installa e attiva semplicemente il plugin gratuito Sucuri e poi vai alla pagina Sucuri Security » Last Logins.

Accessi falliti

Se stai vedendo un gran numero di richieste di accesso casuali, ciò significa che il tuo wp-admin è sotto attacco brute-force. Per fermarlo, puoi consultare la nostra guida su come bloccare gli attacchi brute force in WordPress.

Cosa fare durante un attacco DDoS

Gli attacchi DDoS possono verificarsi anche se disponi di un firewall per applicazioni web e altre protezioni. Aziende come CloudFlare e Sucuri gestiscono questi attacchi regolarmente e, la maggior parte delle volte, non ne sentirai mai parlare poiché sono in grado di mitigarli facilmente.

Tuttavia, in alcuni casi, quando questi attacchi sono di grandi dimensioni, possono comunque avere un impatto su di te. In tal caso, è meglio essere preparati a mitigare i problemi che potrebbero sorgere durante e dopo l'attacco DDoS.

Di seguito sono riportate alcune cose che puoi fare per ridurre al minimo l'impatto di un attacco DDoS.

1. Avvisa i membri del tuo team

Se hai un team, devi informare i colleghi del problema.

Questo li aiuterà a prepararsi per le richieste di assistenza clienti, a individuare potenziali problemi e ad aiutare durante o dopo l'attacco.

2. Informa i clienti sull'inconveniente

Un attacco DDoS può influire sull'esperienza utente sul tuo sito web. Se gestisci un negozio WooCommerce, i tuoi clienti potrebbero non essere in grado di effettuare un ordine o accedere ai propri account.

Puoi annunciare tramite i tuoi account sui social media che il tuo sito web sta riscontrando difficoltà tecniche e che tutto tornerà presto alla normalità.

Se l'attacco è di grandi dimensioni, puoi anche utilizzare il tuo servizio di email marketing per comunicare con i clienti e chiedere loro di seguire i tuoi aggiornamenti sui social media.

Se hai clienti VIP, potresti voler utilizzare il tuo servizio telefonico aziendale per effettuare chiamate individuali e far sapere loro come stai lavorando per ripristinare i servizi.

La comunicazione durante questi momenti difficili fa un'enorme differenza nel mantenere forte la reputazione del tuo marchio.

3. Contatta il supporto di hosting e sicurezza

Mettiti in contatto con il tuo provider di hosting WordPress. L'attacco al tuo sito potrebbe far parte di un attacco più ampio che prende di mira i loro sistemi. In tal caso, saranno in grado di fornirti gli ultimi aggiornamenti sulla situazione.

Contatta il tuo servizio firewall e informa che il tuo sito web è sotto attacco DDoS. Potrebbero essere in grado di mitigare la situazione ancora più velocemente e fornirti maggiori informazioni.

Con provider di firewall come Sucuri, puoi anche impostare le tue impostazioni su 'Modalità Paranoica', che aiuta a bloccare molte richieste e a rendere il tuo sito web accessibile agli utenti normali.

Come mantenere sicuro il tuo sito web WordPress

WordPress è piuttosto sicuro fin da subito. Tuttavia, essendo il costruttore di siti web più popolare al mondo, è spesso preso di mira dagli hacker.

Fortunatamente, ci sono molte best practice di sicurezza che puoi applicare al tuo sito web per renderlo ancora più sicuro.

Abbiamo compilato una guida completa passo dopo passo sulla sicurezza di WordPress per principianti. Ti guiderà attraverso le migliori impostazioni di sicurezza di WordPress per proteggere il tuo sito web e i suoi dati da minacce comuni.

Potresti anche voler consultare altri articoli relativi al miglioramento della sicurezza di WordPress:

Speriamo che questo articolo ti abbia aiutato a imparare come bloccare e prevenire un attacco DDoS su WordPress. Potresti anche voler consultare la nostra guida su come prevenire gli attacchi di iniezione SQL su WordPress e la nostra lista di controllo essenziale di attività di manutenzione cruciali di WordPress da eseguire regolarmente.

Se ti è piaciuto questo articolo, iscriviti al nostro canale YouTube per tutorial video su WordPress. Puoi anche trovarci su Twitter e Facebook.

Popolare su WPBeginner Adesso!

Dichiarazione: Il nostro contenuto è supportato dai lettori. Ciò significa che se fai clic su alcuni dei nostri link, potremmo guadagnare una commissione. Vedi come è finanziato WPBeginner, perché è importante e come puoi supportarci. Ecco il nostro processo editoriale.

Il Toolkit WordPress Definitivo

Ottieni l'accesso GRATUITO al nostro toolkit - una raccolta di prodotti e risorse relative a WordPress che ogni professionista dovrebbe avere!

Scarica ora

Interazioni del lettore

9 CommentsLeave a Reply

  1. Ho ottenuto ottimi risultati usando Sucuri sui siti dei miei clienti – funziona davvero!
    Ecco un rapido consiglio dalla mia esperienza: non dimenticare di mantenere aggiornati i tuoi plugin e temi. Plugin/temi obsoleti possono essere un punto debole durante gli attacchi.
    Passerò sicuramente questi consigli di sicurezza ai miei clienti. È super importante rimanere aggiornati sulla sicurezza di WordPress e non finire nei guai più tardi.

    Reply

  2. La prevenzione è sempre fondamentale. Indago spesso su quali soluzioni DDoS abbia il provider web stesso. Spesso dispongono di software automatizzati eccellenti e costosi che possono rilevare questi attacchi fin dall'inizio. Un'altra soluzione eccellente è CloudFlare. Sono semplicemente i migliori sul mercato per questo. Quando occasionalmente sento parlare dei massicci attacchi che hanno filtrato dalle notizie, so che il mio sito web è sempre al sicuro con loro.

    Reply

  3. Grazie mille per questa analisi sugli attacchi DDoS. Essere in grado di distinguere tra DDoS e Brute Force è uno dei passaggi chiave per offrire una soluzione con l'aiuto del plugin Sucuri. Il plugin Sucuri è solitamente raccomandato per la sicurezza di WordPress se sei una piccola impresa, poiché è conveniente, e puoi poi passare a Cloudflare che, a mio parere, offre un servizio superiore. Anche l'utilizzo di un servizio di hosting specifico per WordPress è vantaggioso, poiché la maggior parte di essi dispone di sistemi per prevenire problemi di sicurezza che potrebbero interessare il tuo sito WordPress.

    Reply

  4. Articolo utile, ho imparato e capito cos'è un attacco DDoS e come fermarli e prevenirli su un sito web, ma come può qualcuno dire se si tratta di un attacco brute force o DDoS quando non ha utilizzato alcun plugin firewall?

    Reply

    • Il tuo provider di hosting può aiutarti a restringere il tipo di attacco che ha interessato il tuo sito.

      Reply

      Amministratore

  5. Attualmente, oso dire che un'ottima protezione gratuita contro gli attacchi DDoS è Cloudflare. Il record A DNS è nascosto dietro un proxy DNS, quindi l'attacco è per lo più diretto non al server di destinazione ma al server Cloudflare. Cloudflare filtra quindi efficacemente l'attacco DDoS. Per me, attualmente una delle migliori soluzioni disponibili.

    Reply

  6. Disabilitare XML RPC nel codice di WordPress è sbagliato,
    Il codice finisce con ma tu hai finito con il che genera un errore. Si prega di risolvere questo problema.

    Grazie

    Reply

    • We di bit see your recommendations in your comment but we did find a typo and it should be fixed :)

      Reply

      Amministratore

  7. Ottimi articoli, ma ne faresti uno di confronto tra
    Attacco DDoS e Attacco Brute Force, e come rilevarli entrambi.

    Grazie.

    Reply

Lascia una risposta

Grazie per aver scelto di lasciare un commento. Tieni presente che tutti i commenti sono moderati secondo la nostra politica sui commenti, e il tuo indirizzo email NON verrà pubblicato. Si prega di NON utilizzare parole chiave nel campo del nome. Avviamo una conversazione personale e significativa.

Copyright © 2009 - 2025 WPBeginner LLC. Tutti i diritti riservati. WPBeginner® è un marchio registrato.

Gestito da Awesome Motive | Hosting WordPress da SiteGround

Il marchio WordPress® è proprietà intellettuale della WordPress Foundation. L'uso di WordPress® e dei nomi su questo sito web è solo a scopo identificativo e non implica un'approvazione da parte della WordPress Foundation. WPBeginner non è approvato, posseduto o affiliato alla WordPress Foundation.

Ho bisogno di aiuto con...

Ricerche popolari:

Avviare un blog SEO WordPress Prestazioni di WordPress Errori di WordPress Sicurezza WordPress Creare un negozio online