Condividi questo contenuto!
Vuoi proteggere dagli attacchi brute force in sito WordPress? Questi attacchi possono rallentare il tuo sito Web, renderlo inaccessibile e persino decifrare le password per poi installare malware sul tuo sito Web. In questa guida ti mostreremo come proteggere dagli attacchi brute force un sito WordPress.
Che cos’è un attacco brute force?
Brute Force Attack è un metodo di hacking che utilizza tecniche di prova ed errore per irrompere in un sito Web, una rete o un sistema informatico.
Gli hacker utilizzano software automatizzati per inviare un gran numero di richieste al sistema di destinazione. Con ogni richiesta, questi software tentano di indovinare le informazioni necessarie per ottenere l’accesso, come password o codici PIN.
Questi strumenti possono anche mascherarsi utilizzando diversi indirizzi IP e posizioni, il che rende più difficile per il sistema target identificare e bloccare queste attività sospette.
Un attacco brute force di successo può dare agli hacker l’accesso all’area di amministrazione del tuo sito web . Possono installare backdoor, malware, rubare informazioni sugli utenti ed eliminare tutto sul tuo sito.
Anche gli attacchi di forza bruta senza successo possono provocare il caos inviando troppe richieste che rallentano i server di hosting di WordPress e addirittura li bloccano.
Detto questo, diamo un’occhiata a come proteggere dagli attacchi brute force un sito WordPress.
Come proteggere dagli attacchi brute force un sito WordPress
1. Installa un plug-in per firewall di WordPress
Gli attacchi brute force caricano molto i tuoi server. Anche quelli non riusciti possono rallentare il tuo sito Web o arrestare completamente il server. Ecco perché è importante bloccarli prima che arrivino al tuo server.
Per fare ciò, avrai bisogno di una soluzione firewall per siti Web. Un firewall filtra il traffico cattivo e impedisce l’accesso al tuo sito.
Esistono due tipi di firewall per siti Web che è possibile utilizzare.
Firewall a livello di applicazione : questi plugin firewall esaminano il traffico una volta raggiunto il server ma prima di caricare la maggior parte degli script di WordPress. Questo metodo non è così efficace perché un attacco di forza bruta può comunque influire sul carico del server.
Firewall per siti Web di livello DNS : questi firewall indirizzano il traffico del tuo sito Web attraverso i loro server proxy cloud. Ciò consente loro di inviare solo traffico autentico al server di hosting Web principale, aumentando in questo modo la velocità e le prestazioni di WordPress .
2. Installa gli aggiornamenti di WordPress
Alcuni comuni attacchi brute force colpiscono attivamente vulnerabilità note nelle versioni precedenti di WordPress, plugin WordPress popolari o temi.
Il core di WordPress e i plugin WordPress più popolari sono open source e le vulnerabilità vengono spesso risolte molto rapidamente con un aggiornamento. Tuttavia, se non installi gli aggiornamenti, lasci il tuo sito Web vulnerabile a quelle vecchie minacce.
Vai alla pagina Dashboard »Aggiornamenti nell’area di amministrazione di WordPress per verificare la disponibilità di aggiornamenti. Questa pagina mostrerà tutti gli aggiornamenti per core, plugin e temi di WordPress.
Per maggiori dettagli, consulta la nostra guida su come aggiornare correttamente i plugin di WordPress .
3. Proteggi la directory di amministrazione di WordPress
La maggior parte degli attacchi brute force su un sito WordPress sono per tentare di accedere all’area di amministrazione di WordPress. È possibile aggiungere la protezione con password nella directory di amministrazione di WordPress a livello di server. Ciò bloccherà l’accesso non autorizzato alla tua area di amministrazione di WordPress.
Accedi al pannello di controllo dell’hosting di WordPress (cPanel) e fai clic sull’icona “Directory Privacy” nella sezione File.
Nota: stiamo usando Bluehost nel nostro screenshot ma impostazioni simili sono disponibili su altre principali società di hosting, come ad esempio SiteGround, che noi consigliamo .
Successivamente, è necessario individuare la cartella wp-admin e fare clic sul nome della cartella.
cPanel ora ti chiederà di fornire un nome per la cartella riservata, nome utente e password. Dopo aver inserito queste informazioni, fare clic sul pulsante Salva per salvare le impostazioni.
La tua directory di amministrazione di WordPress è ora protetta da password. Vedrai un nuovo prompt di accesso quando visiti la tua area di amministrazione di WordPress.
Se si verifica un errore 404 o un messaggio di reindirizzamento eccessivo , è necessario aggiungere la seguente riga al file .htaccess di WordPress .
ErrorDocument 401 default
4. Aggiungere autenticazione a due fattori in WordPress per difenderti da attacchi brute force
L’autenticazione a due fattori aggiunge un ulteriore livello di sicurezza alla schermata di accesso di WordPress. Fondamentalmente, gli utenti avranno bisogno dei loro telefoni per generare un passcode una tantum insieme alle loro credenziali di accesso per accedere all’area di amministrazione di WordPress.
L’aggiunta dell’autenticazione a due fattori renderà più difficile l’accesso agli hacker anche se sono in grado di decifrare la password di WordPress.
Per istruzioni dettagliate dettagliate, consulta la nostra guida su come aggiungere l’autenticazione a due fattori in WordPress
5. Utilizzare password complesse univoche per difenderti da attacchi brute force
Le password sono le chiavi per ottenere l’accesso al tuo sito WordPress. Devi utilizzare password complesse univoche per tutti i tuoi account. Una password complessa è una combinazione di numeri, lettere e caratteri speciali.
È importante utilizzare password complesse non solo per gli account utente di WordPress ma anche per FTP, pannello di controllo dell’hosting Web e database di WordPress.
La maggior parte dei principianti ci chiede come ricordare tutte queste password uniche? Bene, non è necessario. Sono disponibili eccellenti app per la gestione delle password che memorizzano in modo sicuro le password e le inseriscono automaticamente.
Per saperne di più, consulta la nostra guida per principianti sul modo migliore di gestire le password per WordPress .
6. Disabilitare la navigazione nella directory
Per impostazione predefinita, quando il tuo server web non trova un file indice (cioè un file come index.php o index.html), visualizza automaticamente una pagina indice che mostra il contenuto della directory.
Durante un attacco brute force, gli hacker possono utilizzare la navigazione nella directory per cercare file vulnerabili. Per risolvere questo problema, è necessario aggiungere la seguente riga nella parte inferiore del file .htaccess di WordPress.
Options -Indexes
7. Disabilitare l’esecuzione di file PHP in cartelle specifiche di WordPress
Gli hacker potrebbero voler installare ed eseguire uno script PHP nelle cartelle di WordPress. WordPress è scritto principalmente in PHP, il che significa che non è possibile disabilitarlo in tutte le cartelle di WordPress.
Tuttavia, ci sono alcune cartelle che non richiedono script PHP. Ad esempio, la cartella dei tuoi caricamenti di WordPress si trova in / wp-content / uploads.
Puoi disabilitare in modo sicuro l’esecuzione di PHP nella cartella dei caricamenti che è un luogo comune usato dagli hacker per nascondere i file backdoor.
Innanzitutto, devi aprire un editor di testo come Blocco note sul tuo computer e incollare il seguente codice:
<Files *.php> deny from all </Files>
Ora, salva questo file come .htaccess e caricalo nella cartella / wp-content / uploads / sul tuo sito web usando un client FTP .
8. Installa e configura un plug-in di backup di WordPress
I backup sono lo strumento più importante nel tuo arsenale di sicurezza di WordPress. Se tutto il resto fallisce, i backup ti consentiranno di ripristinare facilmente il tuo sito Web.
La maggior parte delle società di hosting WordPress offre opzioni di backup. Tuttavia, questi backup non sono garantiti e l’utente è l’unico responsabile della realizzazione dei propri backup.
Esistono diversi plug-in di backup di WordPress che ti consentono di pianificare backup automatici.
Ti consigliamo di utilizzare UpdraftPlus . È adatto ai principianti e ti consente di impostare rapidamente backup automatici e archiviarli in posizioni remote come Google Drive, Dropbox, Amazon S3 e altro.
Per istruzioni dettagliate, consulta la nostra guida su come eseguire il backup e il ripristino del tuo sito WordPress con UpdraftPlus
Tutti i suggerimenti sopra menzionati ti aiuteranno a proteggere il tuo sito WordPress dagli attacchi brute force. Per una configurazione di sicurezza più completa, dovresti seguire le istruzioni nella nostra guida alla sicurezza di WordPress.
E’ tutto! Speriamo che questo articolo ti abbia aiutato a imparare come proteggere dagli attacchi brute force un sito WordPress.
Condividi questo contenuto!
Related Posts