Come proteggere il tuo sito WordPress dagli attacchi brute force

Il tuo sito WordPress è vulnerabile ad attacchi brute-force? Questi attacchi non solo possono rallentare il tuo sito web e renderlo difficile da accedere, ma possono persino consentire agli hacker di decifrare le tue password e installare malware. Questo può danneggiare gravemente il tuo sito e la tua attività.

In questo articolo ti mostreremo come proteggere il tuo sito WordPress dagli attacchi brute-force.

Che cos’è un attacco brute force?

Un attacco brute force è un metodo di hacking che utilizza tentativi ed errori per penetrare in un sito web, una rete o un sistema informatico.

Il tipo più comune di attacco brute force è l’indovinamento delle password. Gli hacker utilizzano software automatizzati per indovinare continuamente le tue credenziali di accesso in modo da poter accedere al tuo sito web.

Questi strumenti di hacking automatizzati possono anche camuffarsi utilizzando indirizzi IP e posizioni diverse, il che rende più difficile identificare e bloccare attività sospette.

Un attacco brute force riuscito può consentire agli hacker di accedere all’area di amministrazione del tuo sito web . Possono installare malware , rubare informazioni sugli utenti ed eliminare tutto il contenuto del tuo sito.

Anche gli attacchi brute force non riusciti possono creare problemi inviando troppe richieste ai server di hosting WordPress , rallentando o addirittura mandando in crash il sito web.

Installa un plugin firewall per WordPress

Gli attacchi brute force mettono a dura prova i tuoi server. Anche quelli falliti possono rallentare il tuo sito web o mandare completamente in crash il server. Ecco perché è importante bloccarli prima che raggiungano il tuo server.

Per farlo, avrai bisogno di una soluzione firewall per il tuo sito web . Un firewall filtra il traffico dannoso e gli impedisce di accedere al tuo sito.

Esistono due tipi di firewall per siti web che puoi utilizzare:

I firewall a livello di applicazione esaminano il traffico una volta raggiunto il server, ma prima di caricare la maggior parte degli script di WordPress. Questo metodo non è altrettanto efficiente perché un attacco brute-force può comunque influire sul carico del server.
I firewall per siti web a livello DNS indirizzano il traffico del tuo sito web attraverso i loro server proxy cloud. Questo consente loro di inviare solo traffico autentico al tuo server di web hosting principale, migliorando al contempo la velocità e le prestazioni di WordPress .
Consigliamo di utilizzare Forti-Web . È leader nel settore della sicurezza dei siti web e offre il miglior firewall WordPress sul mercato. Grazie al firewall a livello DNS, tutto il traffico del tuo sito web passa attraverso il loro proxy, dove il traffico dannoso viene filtrato.

Installa gli aggiornamenti di WordPress

Alcuni comuni attacchi brute force prendono di mira attivamente vulnerabilità note nelle vecchie versioni di WordPress, nei plugin WordPress più diffusi o nei temi.

Il core di WordPress e i plugin più popolari sono open source e le vulnerabilità vengono spesso risolte molto rapidamente con un aggiornamento. Tuttavia, se non si installano gli aggiornamenti, il sito web rimane vulnerabile a queste vecchie minacce.

Basta andare alla pagina Dashboard » Aggiornamenti nell’area di amministrazione di WordPress per verificare la disponibilità di aggiornamenti. Questa pagina mostrerà tutti gli aggiornamenti per il core, i plugin e i temi di WordPress.

Proteggi la directory di amministrazione di WordPress

La maggior parte degli attacchi brute force su un sito WordPress mirano ad accedere all’area di amministrazione di WordPress. Puoi aggiungere una protezione con password alla directory di ammini di WordPress a livello di server. Questo bloccherà l’accesso non autorizzato all’area di amministrazione di WordPress.

Guida su questo sito: https://learnpress.it/come-proteggere-con-password-la-cartella-wp-admin/

Aggiungi l’autenticazione a due fattori in WordPress

L’autenticazione a due fattori aggiunge un ulteriore livello di sicurezza alla schermata di accesso di WordPress. Gli utenti dovranno utilizzare i loro telefoni per generare un codice di accesso monouso insieme alle credenziali di accesso per accedere all’area di amministrazione di WordPress.

L’aggiunta dell’autenticazione a due fattori renderà più difficile per gli hacker ottenere l’accesso, anche se riescono a decifrare la password di WordPress .

Usa password univoche e complesse

Le password sono la chiave per accedere al tuo sito WordPress o al tuo negozio di e-commerce . Devi utilizzare password univoche e complesse per tutti i tuoi account. Una password complessa è una combinazione di numeri, lettere e caratteri speciali.

È importante utilizzare password complesse non solo per gli account utente di WordPress, ma anche per il client FTP , il pannello di controllo dell’hosting web e il database di WordPress.

Molti principianti ci chiedono come ricordare tutte queste password uniche. Beh, non è necessario. Esistono ottime app di gestione delle password che le memorizzano in modo sicuro e le compilano automaticamente.

Disabilitare la navigazione nelle directory

Per impostazione predefinita, quando il server web non riesce a trovare un file indice (ad esempio index.php o index.html), visualizza automaticamente una pagina indice che mostra il contenuto della directory.

Durante un attacco brute force, gli hacker possono utilizzare un’esplorazione delle directory come questa per cercare file vulnerabili. Per risolvere questo problema, è necessario aggiungere la seguente riga in fondo al file .htaccess di WordPress tramite un servizio FTP :

Options -Indexes

Disabilitare l’esecuzione dei file PHP in cartelle specifiche di WordPress

Gli hacker potrebbero voler installare ed eseguire uno script PHP nelle cartelle di WordPress. WordPress è scritto principalmente in PHP, il che significa che non è possibile disabilitarlo in tutte le cartelle di WordPress.

Tuttavia, ci sono alcune cartelle che non necessitano di script PHP, come la cartella dei caricamenti di WordPress che si trova in /wp-content/uploads.

È possibile disattivare in tutta sicurezza l’esecuzione di PHP nella cartella dei caricamenti, un luogo comunemente utilizzato dagli hacker per nascondere file backdoor.

Per prima cosa, devi aprire un editor di testo come Blocco note sul tuo computer e incollare il seguente codice:

<Files *.php>
deny from all
</Files>

Ora salva questo file .htaccesse caricalo nelle /wp-content/uploads/cartelle del tuo sito web utilizzando un client FTP .

Installa e configura un plugin di backup di WordPress

I backup sono lo strumento più importante nel tuo arsenale di sicurezza WordPress. Se tutto il resto fallisce, i backup ti permetteranno di ripristinare facilmente il tuo sito web .

La maggior parte delle società di hosting WordPress offre opzioni di backup limitate. Tuttavia, questi backup non sono garantiti e l’utente è l’unico responsabile della loro creazione.

Esistono diversi ottimi plugin di backup per WordPress che consentono di pianificare backup automatici.

Consigliamo di utilizzare Duplicator . È adatto anche ai principianti e consente di impostare rapidamente backup automatici e di archiviarli su posizioni remote come Google Drive, Dropbox , Amazon S3, One Drive e altro ancora.

Esiste anche una versione gratuita di Duplicator che puoi utilizzare per iniziare.

Per istruzioni dettagliate, puoi seguire questa guida su come eseguire il backup del tuo sito WordPress con Duplicator.

Tutti i suggerimenti sopra menzionati ti aiuteranno a proteggere il tuo sito WordPress dagli attacchi brute-force

Potrebbe anche piacerti

Allegati Email: Una Porta Aperta agli Exploit

Cos’è RAID e come funziona: livelli controller e prestazioni

“Web Design Analisi Strategia Sviluppo”