Vai al contenuto
(+381) 60 3535 720
Il mio account
BeoHosting
BeoHosting
Il mio accountContatti
(+381) 60 3535 720
 
Sicurezza

Come proteggere WordPress dagli attacchi brute force

BeoHosting Team··8 min read di lettura
Come proteggere WordPress dagli attacchi brute force

Cos'è un attacco brute force?

Un attacco brute force è un metodo con cui l'aggressore prova automaticamente migliaia di combinazioni di nome utente e password finché non trova quella giusta. I bot possono tentare centinaia di accessi al minuto, testando le password più comuni come "admin123", "password" o "123456". Poiché WordPress utilizza la pagina standard /wp-login.php, gli aggressori sanno esattamente dove colpire.

Anche se l'aggressore non riesce a indovinare la password, il volume puro di richieste può rallentare o mandare in crash il tuo sito. Ecco perché la protezione dagli attacchi brute force è doppiamente importante: protegge sia i tuoi dati sia le prestazioni del tuo sito.

Cambia il nome utente admin predefinito

Se il tuo account WordPress utilizza il nome utente "admin", hai già dato all'aggressore metà delle informazioni di cui ha bisogno. Usa sempre un nome utente univoco che non sia facile da indovinare.

WordPress non consente di cambiare direttamente il nome utente dal pannello di amministrazione. Crea invece un nuovo account con diritti di amministratore e un nome univoco, poi elimina il vecchio account "admin". Durante l'eliminazione, WordPress ti chiederà a chi riassegnare i contenuti del vecchio account: scegli il nuovo account.

Usa password complesse

Una password complessa è la prima linea di difesa. Requisiti minimi:

  • Minimo 12 caratteri (idealmente 16+)
  • Combinazione di lettere maiuscole e minuscole, numeri e caratteri speciali
  • Non usare mai la stessa password su più siti
  • Evita parole del dizionario, date di nascita e informazioni personali

Usa gestori di password come Bitwarden o 1Password che generano e conservano password complesse al posto tuo. Non devi memorizzare una password se il gestore la conserva in modo sicuro.

Autenticazione a due fattori (2FA)

L'autenticazione a due fattori aggiunge un secondo livello di protezione che richiede qualcosa che possiedi (il telefono) oltre a qualcosa che conosci (la password). Anche se un aggressore indovina la tua password, senza accesso al tuo telefono non può effettuare il login.

Plugin 2FA consigliati:

  • WP 2FA: un plugin semplice che supporta Google Authenticator, Authy e codici via email. La versione gratuita copre le esigenze di base.
  • Wordfence: oltre alla 2FA, fornisce una sicurezza completa che include firewall, scansione malware e monitoraggio delle minacce in tempo reale.
  • miniOrange: supporta diversi metodi di autenticazione tra cui SMS, email, notifiche push e chiavi hardware.

Assicurati di generare e salvare i codici di backup in un luogo sicuro nel caso in cui perda l'accesso al tuo telefono.

Limita i tentativi di accesso

Per impostazione predefinita, WordPress consente un numero illimitato di tentativi di accesso. È come lasciare la chiave nella serratura e dire al ladro "prova quanto vuoi". Limitare i tentativi è una delle protezioni più importanti.

Limit Login Attempts Reloaded è il plugin più popolare per questo scopo. Per impostazione predefinita blocca l'IP dopo 4 tentativi falliti per 20 minuti, e dopo ripetuti blocchi estende il tempo a 24 ore. Puoi regolare questi valori in base alle tue esigenze.

Su BeoHosting, cPHulk Brute Force Protection è una protezione integrata a livello di server che blocca automaticamente gli IP con troppi accessi falliti, fornendo un livello di protezione aggiuntivo indipendente dai plugin di WordPress.

Cambia l'URL della pagina di login

La pagina di login standard di WordPress si trova sempre su /wp-login.php o /wp-admin. Cambiare questo URL con qualcosa di univoco (ad esempio /mio-accesso) elimina un gran numero di attacchi automatizzati che prendono di mira i percorsi standard.

Il plugin WPS Hide Login ti permette di cambiare l'URL di login con un solo clic. È leggero, non modifica i file del server ed è compatibile con la maggior parte dei temi e dei plugin.

Web Application Firewall (WAF)

Un WAF filtra il traffico malevolo prima che raggiunga il tuo sito. Può riconoscere e bloccare attacchi brute force, tentativi di SQL injection, attacchi XSS e altre minacce.

Cloudflare WAF: il piano gratuito fornisce una protezione di base (consulta la guida alla configurazione di Cloudflare), mentre il piano Pro ($20/mese) aggiunge regole avanzate specifiche per WordPress.

Firewall Wordfence: funziona a livello dell'applicazione WordPress e fornisce una protezione specifica per WordPress. La versione gratuita include regole di base, mentre la versione premium riceve aggiornamenti in tempo reale.

Sucuri: un WAF basato su cloud che protegge il sito prima che il traffico raggiunga il tuo server. Particolarmente efficace contro gli attacchi DDoS.

Misure di protezione aggiuntive

Disabilita XML-RPC: XML-RPC è un vecchio protocollo di WordPress che gli aggressori possono sfruttare per gli attacchi brute force. Se non lo usi (la maggior parte dei siti non lo fa), disabilitalo aggiungendo una singola riga al file .htaccess o usando il plugin Wordfence.

Disabilita la modifica dei file dal pannello di amministrazione: aggiungi define('DISALLOW_FILE_EDIT', true); al file wp-config.php per impedire la modifica di temi e plugin dal pannello di amministrazione di WordPress. Se un aggressore ottiene l'accesso, non può iniettare codice malevolo direttamente.

Aggiorna WordPress regolarmente: ogni aggiornamento di WordPress, dei temi e dei plugin corregge falle di sicurezza note. Valuta una manutenzione WordPress professionale per gli aggiornamenti automatici. Attiva gli aggiornamenti automatici per le versioni minori e aggiorna manualmente le versioni maggiori con cadenza regolare.

Usa SSL: la crittografia HTTPS garantisce che la password venga inviata cifrata tra il browser e il server. Senza SSL, qualcuno sulla stessa rete può intercettare la tua password. BeoHosting offre una protezione HTTPS gratuita con ogni piano hosting.

Conclusione

Proteggere un sito WordPress dagli attacchi brute force richiede più livelli di difesa. La combinazione di password complesse, autenticazione a due fattori, limiti ai tentativi di accesso e un firewall fornisce una protezione solida. Nessun singolo metodo è sufficiente da solo, ma insieme rendono il tuo sito estremamente difficile da compromettere. Ricorda: la prevenzione è sempre più economica che dover gestire le conseguenze di un attacco.

BeoHosting Team

10+ anni di esperienza — Specialisti di web hosting e infrastrutture

  • Web Hosting
  • WordPress Hosting
  • VPS
  • Dedicated Serveri
  • Domeni
  • SSL
  • cPanel
  • LiteSpeed
  • Linux administracija
  • DNS

Ultimo aggiornamento:

Articoli correlati

Come proteggere il tuo sito dagli attacchi DDoS - Guida completa

6. avgust 2025.

Certificato SSL: perché è obbligatorio e come installarlo

6. septembar 2025.

Certificato SSL e SEO - Perché l'HTTPS è obbligatorio

9. septembar 2025.
Torna al blogAltro dalla categoria: Sicurezza