Come proteggere il tuo sito WordPress da attacchi di forza bruta (passo dopo passo)
Vuoi proteggere il tuo sito WordPress dagli attacchi brute force? Questi attacchi possono rallentare il tuo sito web, renderlo inaccessibile e persino violare le password per installare malware sul tuo sito web. In questo articolo, ti mostreremo come proteggere il tuo sito WordPress dagli attacchi brute force.
Cos'è un attacco di forza bruta?
Brute Force Attack è un metodo di hacking che utilizza tecniche di prova ed errore per entrare in un sito Web, una rete o un sistema informatico.
Gli hacker utilizzano software automatico per inviare un numero elevato di richieste al sistema di destinazione. Con ogni richiesta, questi software tentano di indovinare le informazioni necessarie per ottenere l'accesso, come password o codici PIN.
Questi strumenti possono anche mascherarsi utilizzando indirizzi IP e posizioni differenti, il che rende più difficile per il sistema di destinazione identificare e bloccare queste attività sospette.
Un attacco di forza bruta di successo può consentire agli hacker di accedere all'area di amministrazione del tuo sito web. Possono installare backdoor, malware, rubare informazioni utente ed eliminare tutto sul tuo sito.
Anche gli attacchi di forza bruta senza successo possono causare il caos con l'invio di troppe richieste che rallentano i server di hosting WordPress e addirittura causano il crash di tali server.
Detto questo, diamo un'occhiata a come proteggere il tuo sito WordPress dagli attacchi brute force.
Passaggio 1. Installare un plugin per WordPress Firewall
Gli attacchi di forza bruta mettono molto carico sui tuoi server. Anche quelli che non riescono possono rallentare il tuo sito Web o bloccare completamente il server. Questo è il motivo per cui è importante bloccarli prima che arrivino al tuo server.
Per fare ciò, avrai bisogno di una soluzione firewall per sito web. Un firewall filtra il cattivo traffico e impedisce di accedere al tuo sito.
Esistono due tipi di firewall del sito Web che è possibile utilizzare.
Firewall a livello di applicazione - Questi plugin firewall esaminano il traffico una volta raggiunto il server ma prima di caricare la maggior parte degli script di WordPress. Questo metodo non è così efficiente perché un attacco di forza bruta può comunque influenzare il carico del tuo server.
Firewall del sito Web di livello DNS - Questi firewall indirizzano il traffico del tuo sito web attraverso i loro server proxy cloud. Ciò consente loro di inviare solo traffico autentico al server di hosting Web principale, aumentando al contempo la velocità e le prestazioni di WordPress.
Raccomandiamo l'uso di Sucuri. È il leader del settore nella sicurezza dei siti Web e il miglior firewall WordPress sul mercato. Dal momento che si tratta di un firewall per il sito Web di livello DNS, significa che tutto il traffico sul tuo sito web passa attraverso il proxy in cui viene filtrato il cattivo traffico.
Usiamo Sucuri sul nostro sito Web e puoi leggere la nostra recensione completa Sucuri per saperne di più.
Passaggio 2. Installa aggiornamenti di WordPress
Alcuni attacchi di forza bruta comuni bersagliano attivamente vulnerabilità note in versioni precedenti di WordPress, popolari plugin WordPress o temi.
I plug-in di WordPress e WordPress più popolari sono open source e le vulnerabilità vengono spesso risolte molto rapidamente con un aggiornamento. Tuttavia, se non si riesce a installare gli aggiornamenti, si lascia il sito Web vulnerabile a quelle vecchie minacce.
Semplicemente vai Dashboard »Aggiornamenti pagina nell'area admin di WordPress per verificare gli aggiornamenti disponibili. Questa pagina mostrerà tutti gli aggiornamenti per il core, i plugin e i temi di WordPress.
Per maggiori dettagli, consulta la nostra guida su come aggiornare correttamente i plugin di WordPress.
Passaggio 3. Protezione della directory di amministrazione di WordPress
La maggior parte degli attacchi di forza bruta su un sito WordPress sta tentando di accedere all'area di amministrazione di WordPress. È possibile aggiungere la protezione della password sulla directory di amministrazione di WordPress a livello di server. Ciò bloccherebbe l'accesso non autorizzato all'area amministrativa di WordPress.
È sufficiente accedere al pannello di controllo di hosting WordPress (cPanel) e fare clic sull'icona 'Privacy Directory' nella sezione File.
Nota: Stiamo usando Bluehost nel nostro screenshot ma impostazioni simili sono disponibili su altre società di hosting come pure SiteGround, HostGator, ecc..
Successivamente, è necessario individuare la cartella wp-admin e fare clic sul nome della cartella.
cPanel ti chiederà ora di fornire un nome per la cartella, il nome utente e la password limitati. Dopo aver inserito queste informazioni, fare clic sul pulsante Salva per memorizzare le impostazioni.
La directory di amministrazione di WordPress ora è protetta da password. Vedrai un nuovo prompt di accesso quando visiti la tua area admin di WordPress.
Se riscontri un errore 404 o un errore di troppo reindirizzamento del messaggio, devi aggiungere la seguente riga al tuo file .htaccess di WordPress.
ErrorDocument 401 predefinito
Per ulteriori dettagli, consulta il nostro articolo su come proteggere con password la directory di amministrazione di WordPress.
Passaggio 4. Aggiungi l'autenticazione a due fattori in WordPress
L'autenticazione a due fattori aggiunge un ulteriore livello di sicurezza alla schermata di accesso di WordPress. Fondamentalmente, gli utenti avranno bisogno dei loro telefoni per generare un passcode monouso insieme alle loro credenziali di accesso per accedere all'area amministrativa di WordPress.
L'aggiunta dell'autenticazione a due fattori renderà più difficile l'accesso agli hacker anche se sono in grado di decifrare la password di WordPress.
Per istruzioni dettagliate passo passo, consulta la nostra guida su come aggiungere l'autenticazione a due fattori in WordPress
Passaggio 5. Utilizza password univoche e potenti
Le password sono le chiavi per accedere al tuo sito WordPress. Devi utilizzare password uniche e solide per tutti i tuoi account. Una password complessa è una combinazione di numeri, lettere e caratteri speciali.
È importante utilizzare password complesse non solo per gli account utente di WordPress ma anche per FTP, pannello di controllo di hosting Web e database di WordPress.
La maggior parte dei principianti ci chiede come ricordare tutte queste password uniche? Beh, non è necessario. Sono disponibili eccellenti app per la gestione delle password che memorizzeranno le tue password in modo sicuro e le riempiranno automaticamente per te.
Per ulteriori informazioni, consulta la nostra guida per principianti sul modo migliore di gestire le password per WordPress.
Passaggio 6. Disabilitare la navigazione nella directory
Per impostazione predefinita, quando il tuo server web non trova un file indice (ad esempio un file come index.php o index.html), visualizza automaticamente una pagina indice che mostra il contenuto della directory.
Durante un attacco di forza bruta, gli hacker possono utilizzare la navigazione nella directory per cercare i file vulnerabili. Per risolvere questo problema, è necessario aggiungere la seguente riga nella parte inferiore del file .htaccess di WordPress.
Opzioni -Index
Per maggiori dettagli, consulta il nostro articolo su come disabilitare la navigazione nella directory in WordPress.
Passaggio 7. Disabilitare l'esecuzione di file PHP in cartelle specifiche di WordPress
Gli hacker potrebbero voler installare ed eseguire uno script PHP nelle tue cartelle WordPress. WordPress è scritto principalmente in PHP, il che significa che non è possibile disabilitarlo in tutte le cartelle di WordPress.
Tuttavia, ci sono alcune cartelle che non hanno bisogno di script PHP. Ad esempio, la cartella di caricamento di WordPress si trova in / wp-content / uploads.
Puoi tranquillamente disabilitare l'esecuzione di PHP nella cartella dei caricamenti, che è un luogo comune che gli hacker usano per nascondere i file backdoor.
Per prima cosa, devi aprire un editor di testo come Blocco note sul tuo computer e incollare il seguente codice:
rifiutato da tutti
Ora, salva questo file come .htaccess e caricalo in / wp-content / uploads / folders sul tuo sito web usando un client FTP.
Passaggio 8. Installa e installa un plug-in di WordPress Backup
I backup sono lo strumento più importante nel tuo arsenale di sicurezza WordPress. Se tutto il resto fallisce, i backup ti permetteranno di ripristinare facilmente il tuo sito web.
La maggior parte delle società di hosting WordPress offre opzioni di backup limitate. Tuttavia, questi backup non sono garantiti e l'utente è l'unico responsabile della creazione dei propri backup.
Esistono diversi ottimi plug-in di backup di WordPress, che consentono di pianificare backup automatici.
Raccomandiamo l'uso di UpdraftPlus. È adatto ai principianti e consente di configurare rapidamente backup automatici e archiviarli in posizioni remote come Google Drive, Dropbox, Amazon S3 e altro.
Per istruzioni dettagliate, consulta la nostra guida su come eseguire il backup e il ripristino del tuo sito WordPress con UpdraftPlus
Tutti i suggerimenti sopra menzionati ti aiuteranno a proteggere il tuo sito WordPress dagli attacchi di forza bruta. Per una configurazione di sicurezza più completa, dovresti seguire le istruzioni della nostra ultima guida alla sicurezza di WordPress per principianti.
Speriamo che questo articolo ti abbia aiutato a imparare come proteggere il tuo sito WordPress dagli attacchi brute force. Potresti anche voler cercare i segni che il tuo WordPress è stato violato e come riparare un sito di WordPress compromesso.
Se questo articolo ti è piaciuto, ti preghiamo di iscriverti al nostro canale YouTube per le esercitazioni video di WordPress. Puoi anche trovarci su Twitter e Facebook.