X

Proteggere WordPress da attacchi di tipo ‘brute force’

Ci sono hacker e hacker. Oggetto di questo post non è discutere l’etica hacker ma cercare di proteggere un blog basato su WordPress e faticosamente costruito negli anni dagli attacchi di chi vuole semplicemente creare il caos.

Una delle tecniche per accedere al pannello di controllo di un blog basato su WordPress è quello di andare nella pagina di login

www.miosito.com/wp-login.php

e tentare, attraverso un computer, infinite combinazioni di user e password fino a trovare quella giusta. Un attacco di questo tipo si chiama ‘brute force‘.
Di base, WordPress permette infiniti tentativi favorendo di fatto un attacco di questo tipo.
Come ci si protegge? Innanzitutto creando una password robusta: molti caratteri (compresi quelli speciali), maiuscole e minuscole, lettere e numeri.
Poi si può utilizzare un plugin semplice ma efficace come Limit Login Attempts.
Esso limita il numero di tentativi falliti di login imponendo di aspettare prima del tentativo successivo. Sia il numero di tentativi che il tempo di attesa sono impostabili. Così come si può impostare un avviso che ci viene recapitato in posta e che segnala l’IP da cui stanno arrivando gli attacchi.
Consigliatissimo.

Link: Limit Login Attempts

Sergio Gandrus: Da febbraio 2024 lavoro come CTO presso Deva Connection Il mio stack è PHP/MySQL/Git/Docker. Lavoro con Agile (Scrum) e utilizzo principalmente AWS come cloud provider. Sono papà e marito. Nel tempo libero mi piace leggere, il buon vino e viaggiare.