Trusted WordPress tutorials, when you need them most.
Beginner’s Guide to WordPress
Coppa WPB
25 Million+
Websites using our plugins
16+
Years of WordPress experience
3000+
WordPress tutorials
by experts

Attacchi di forza bruta a WordPress e cosa bisogna fare per chi ci è abituato

Diverse fonti importanti hanno confermato che in questo momento sono in corso attacchi massicci di forza bruta contro siti WordPress e Joomla. HostGator, InMotion Hosting, LiquidWeb e molti altri hanno informato i loro clienti di questo problema. La botnet di hacker contiene oltre 90.000 IP diversi e sta sfruttando i principianti di WordPress che commettono alcuni errori molto comuni. Sì, tutto questo suona spaventoso, quindi ecco cosa dovete fare per ridurre le vostre possibilità di essere hackerati.

1. Smettete di usare il nome utente dell’amministratore

Spesso i principianti usano nomi utente molto comuni come admin, amministratore, test, root ecc. I nostri amici di Sucuri hanno riferito che questi nomi utente sono stati pesantemente presi di mira in questo momento. Se avete un nome utente generico di WordPress come admin, dovreste cambiarlo subito.

Abbiamo un tutorial facile da seguire che vi mostrerà come cambiare il vostro nome utente in WordPress.

2. Usate una password forte

NON SI TRADUCE, per favore, usa una password molto forte. Questi attacchi di forza bruta cercano di colpire tutte le password più comuni che le persone usano. Una password forte contiene lettere maiuscole e minuscole, numeri e simboli. Non utilizzate la stessa password in più luoghi. Non è mai troppo tardi per iniziare a utilizzare una soluzione di gestione delle password come 1Password o LastPass.

3. Mantenere buone copie di backup

La migliore sicurezza che potete avere per il vostro sito web è un’ottima soluzione di backup. Noi utilizziamo VaultPress, che è un servizio mensile. Tuttavia, se non vi piace pagare mensilmente, vi consigliamo vivamente di acquistare BackupBuddy.

NON SI TRADUCE, perché la maggior parte delle aziende che ospitano il sito non lo fa.

4. Usare l’autenticazione a due fattori

Iniziate a utilizzare l’autenticazione a due fattori. In questo modo, anche se qualcuno indovina la password, non può accedere al sito perché non ha il codice di sicurezza. Vi consigliamo vivamente di farlo subito.

5. Proteggere con password WP-Admin e limitare i tentativi di accesso

Raccomandiamo sempre ai nostri utenti di limitare i tentativi di accesso. Tuttavia, questo da solo non può proteggere tutti gli attacchi perché questa botnet contiene 90.000 IP. Un’altra cosa da fare è proteggere con password la directory WP-admin. Potete anche limitare il file wp-login.php a un IP specifico.

6. Iniziate a usare Sucuri

Se non utilizzate Sucuri, vi consigliamo vivamente di iniziare a farlo. Sono sempre in alto e non c’è nessun altro di cui ci fideremmo di più quando si tratta della sicurezza di WordPress. Scoprite i 5 motivi per cui usiamo Sucuri.

Non sappiamo quale sia l’obiettivo finale di questi attacchi, ma qualunque sia, non vorremmo che i nostri utenti ne fossero vittime. NON SI TRADUCE mantenere i propri siti aggiornati e seguire tutti i consigli di cui sopra.

Divulgazione: I nostri contenuti sono sostenuti dai lettori. Ciò significa che se cliccate su alcuni dei nostri link, potremmo guadagnare una commissione. Vedi come WPBeginner è finanziato , perché è importante e come puoi sostenerci. Ecco il nostro processo editoriale .

Avatar

Editorial Staff at WPBeginner is a team of WordPress experts led by Syed Balkhi with over 16 years of experience in WordPress, Web Hosting, eCommerce, SEO, and Marketing. Started in 2009, WPBeginner is now the largest free WordPress resource site in the industry and is often referred to as the Wikipedia for WordPress.

Il kit di strumenti WordPress definitivo

Ottenete l'accesso gratuito al nostro kit di strumenti - una raccolta di prodotti e risorse relative a WordPress che ogni professionista dovrebbe avere!

Reader Interactions

13 commentiLascia una risposta

  1. Janet

    I am working at securing sites for my clients, and need to password-protect their wp-admin folder. I am having a problem and hope someone can help. When I go to cPanel to pw-protect that folder, I get an error about Frontpage Extensions being installed, which prevents pw-protecting. When I go to uninstalled the extensions, I get this message:

    Warning: Installing or uninstalling FrontPage extensions will result in the loss of all “.htaccess” files. Any changes you have made to your “.htaccess” files will be lost.

    If I made a .htacess backup as instructed on this page https://www.wpbeginner.com/wp-tutorials/how-to-password-protect-your-wordpress-admin-wp-admin-directory/ , would that be enough?

    Thanks for your help and all your VERY helpful information!

      • Janet

        Thank you! I ended up having some problems with the .htacess, but our web host fixed everything for us. Thanks so much for the help!

  2. Sarah B R

    Hello,
    I followed your guidelines for two steps authentication and it worked fine the first time a few days ago.
    I wanted to log in today and went to the app on my phone and the wordpress account I had added is nowhere to be found. So now I can’t log in.
    Thanks for the help.

    • Editorial Staff

      That’s weird. Well the easiest thing would be to delete that plugin via FTP and login again. Set it up again once you are logged in :)

      Admin

  3. Edwin Lynch

    I use WP Better Security. It’s free, does nearly everything Sucuri does except promote affiliate marketing spam :)

  4. Ratnesh

    Login lock down is the best plugin to secure Wordpresss blog by brute force attack

  5. Robert Connor

    Some good advice my site admin panel is getting bombarded daily with login attemps!

  6. Jane

    How do you know when you’ve been Brute-Force attacked? My client has been having issues with his WP site recently, so I’m wondering if this has to do with it.

  7. Jennifer

    I have a site that is currently getting hit with a brute force attack. It is RELENTLESS. The site uses SUCURI (thank goodness!) and they have already done one clean-up for us.

    Thank you, Syed & team, for all of the great information. I just added the two factor authentication and will put the rest of your suggestions in place ASAP.

  8. Esther

    Thank you for the link to the free video, I just started my WP site yesterday, after running a Blogger site, and it is, kicking, my, butt! I am fairly tech savvy, so I have no idea what my problem is, only that I have one! lol

  9. Keith Davis

    Hi guys
    Read the article over on the Sucuri website – I’m with those guys and I use a few other security measures.

    Just given you a callout on #WordPress

  10. Scott Hack

    Would love to see a limit to logins added to core for 3.6

Lascia una risposta

Grazie per aver scelto di lasciare un commento. Tenga presente che tutti i commenti sono moderati in base alle nostre politica dei commenti e il suo indirizzo e-mail NON sarà pubblicato. Si prega di NON utilizzare parole chiave nel campo del nome. Avremo una conversazione personale e significativa.