Proteggere WordPress dagli attacchi a forza bruta distribuiti

Come proteggere WordPress dagli attacchi a forza bruta distribuiti

Il team de IlTuoSpazioWeb, alla luce delle ultime statistiche sugli attacchi informatici indirizzati ai siti internet realizzati con WordPress, ritiene opportuno indicare ai propri utenti quali siano le principali strategie per mettere al riparo le proprie pagine web da eventuali attacchi di forza bruta (brute force attacks), i quali sono finalizzati a decifrare login e password che consentono l’accesso al pannello di amministrazione del Cms, in modo tale da poterne disporre liberamente. Vediamo nel dettaglio come è possibile proteggere WordPress dagli attacchi di forza bruta.

Brute force attacks: di cosa si tratta?

Per attacco di forza bruta si intende il tentativo da parte degli hacker, tramite l’utilizzo di un apposito software, di individuare le credenziali di accesso di un dato programma (nel nostro caso di accedere come admin al sito WordPress).
Il software utilizzato dai malintenzionati, in effetti, è in grado di generare automaticamente tutte le possibili combinazioni di lettere, numeri e simboli fino a individuare quella giusta. Si inizia con la produzione di password da un carattere, poi con due e così via dicendo.

Installazione del Limit Login Attempts

La primissima cosa da fare per tutelare il proprio sito WP da eventuali attacchi di forza bruta è installare il plugin Limit Login Attempts.
Esso è in grado, infatti, di prevenire alcuni tentativi di accesso fraudolento al vostro pannello di amministrazione. In particolare Limit Login Attempts provvede a bloccare tutti gli indirizzi IP degli utenti che hanno sbagliato per più volte a inserire login e password.
Tuttavia questa strategia di difesa risulta insufficiente qualora l’aspirante intruso abbia a disposizione una vasta gamma di indirizzi IP. In quest’ultimo caso è necessario agire diversamente, così come descritto nei successivi step.

Step 1

In primo luogo è opportuno assicurarsi che il sito Wordpress, il template e i plugin siano stati regolarmente aggiornati.

Step 2

A questo punto è necessario installare il seguente plugin: http://wordpress.org/plugins/rename-wp-login/. Esso è disponibile nella vostra bacheca di Wp. Per individuarlo sarà sufficiente cliccare sulla voce di menù “Plugin”, selezionare l’opzione “Aggiungi nuovo” e selezionare nel riquadro “Rename wp-login”.
Infine cliccate il tasto “Installa adesso” e attendete il tempo di installazione necessario.
Una volta completata questa operazione è necessario selezionare la voce “Attiva adesso”.

Step 3

Qualora la procedura sia stata effettuata in maniera corretta, il sistema vi reindirizzerà alla pagina delle impostazioni sui permalink. Sul fondo della schermata che vi comparirà troverete la dicitura Login url, al cui fianco dovrete inserire, nell’apposito box, il nuovo Url di accesso, avendo la premura di immettere una parola che potrete facilmente ricordare.
Quindi cliccare sul tasto “Salva modifiche”.

Step 4

L’ultimo step è finalizzato a bloccare tutte le richieste di visita al vostro vecchio file wp-login.php, oramai modificato.
Le eventuali visite infatti produrranno il famigerato errore HTTP 404, ovvero “pagina non trovata”.
A tal fine è necessario aggiungere il seguente codice all'inizio del vostro .htaccess:

<FilesMatch "wp-login.php">
Deny from All
ErrorDocument 403 "Forbidden"
< /FilesMatch>

Questo può essere fatto tramite un [client FTP] (ricordiamo di spuntare l’opzione “mostra file nascosti” per visualizzare .htaccess), oppure tramite il File Manager del [cPanel].

 

Ora che è stato cambiato l’indirizzo di WordPress questo codice bloccherà tutte le richieste al file wp-login. Questo proteggerà il tuo account sia impedendo l’accesso di attacchi contro le installazioni di WordPress, sia riducendo il volume delle esecuzioni PHP in fase di elaborazione.

Speriamo che tu abbia trovato questo tutorial utile, come sempre se hai bisogno di assistenza contattaci aprendo un ticket tramite la nostra Area Clienti ed uno dei nostri tecnici sarà lieto di aiutarti!

 

 

 


 

Hai trovato questa risposta utile?

 Stampa Articolo

Leggi

Come rinforzare il login di WordPress

Per proteggere il file wp-login.php è necessario definire una nuova utenza e password per il file...

Wordpress errore 404 con i permalink

Se il vostro sito wordpress presenta un errore 404 in una delle pagine interne, significa che...

Cosa fare quando non si dispone dei permessi per aggiornare WordPress o installare plugin?

I permessi di tutti gli utenti di Wordpress sono impostati nel database; come amministratore di...

406 Not Acceptable - WP Rate Limited

Di solito questo errore si verifica quando ci sono stati diversi tentativi di accesso alla pagina...

Come cambiare l'URL di amministrazione di Magento

Una delle operazioni consigliate per la sicurezza del vostro ecommerce Magento è sicuramente...

Powered by WHMCompleteSolution