Una guida completa alla protezione dalla forza bruta di WordPress (+4 migliori plugin)

Gli attacchi di forza bruta si verificano quando gli hacker tentano di accedere ai file del tuo sito provando costantemente nuove password. Se ci riescono, potrebbero rubare i tuoi dati privati, aggiungere malware o persino distruggere completamente il tuo sito web.

Fortunatamente, puoi facilmente prevenire questi attacchi di forza bruta. Semplicemente aggiornando le tue informazioni di accesso o abilitando l'autenticazione a due fattori, puoi rendere più difficile per gli hacker l'accesso al tuo sito web. Un altro metodo efficace è installare un plug-in di protezione dalla forza bruta come Jetpack.

In questo post, spiegheremo cosa sono gli attacchi di forza bruta e come puoi prevenirli. Quindi, ti consiglieremo i migliori plugin per la protezione dalla forza bruta.

Un'introduzione agli attacchi di forza bruta

Gli attacchi di forza bruta si verificano quando gli hacker utilizzano tentativi ed errori per accedere al tuo sito web. Questo di solito comporta indovinare le tue informazioni di accesso utilizzando un software automatizzato. In sostanza, gli hacker proveranno molte password e combinazioni di nomi utente diverse finché non troveranno la tua.

Altre forme di hacking di solito sfruttano le vulnerabilità del tuo sito Web WordPress. Ad esempio, gli hacker possono accedere ai tuoi dati tramite software, plug-in o temi non aggiornati. Anche una vecchia versione di PHP può lasciare il tuo sito vulnerabile.

D'altra parte, gli attacchi di forza bruta si basano su credenziali di accesso deboli. Se hai una password indovinabile come "123456", gli hacker possono utilizzare un software automatizzato per accedere al tuo sito.

Gli attacchi di forza bruta sono più comuni di quanto si possa pensare. In effetti, stanno diventando una minaccia più che mai. Verso la fine del 2021, il tasso di attacchi di forza bruta è aumentato del 160%.

Se il tuo sito web subisce un attacco di forza bruta, gli hacker possono:

• Ruba i tuoi dati privati
• Aggiungi malware al tuo sito
• Diminuisci la tua credibilità e/o il ranking di ricerca
• Rimuovi completamente i tuoi contenuti

Inutile dire che vorrai proteggere il tuo sito Web da questi pericoli. Sebbene le impostazioni predefinite di WordPress non offrano una protezione aggiuntiva contro gli attacchi di forza bruta, puoi adottare alcune misure per evitare che si verifichino.

Come bloccare gli attacchi di forza bruta su WordPress

Ora che conosci gli attacchi di forza bruta, discutiamo di come proteggere il tuo sito Web WordPress da loro.

Passaggio 1: aggiorna il tuo nome utente

Poiché gli attacchi di forza bruta comportano indovinare le informazioni di accesso, puoi proteggere il tuo sito Web WordPress aggiornando le tue credenziali. Innanzitutto, dovresti considerare di scegliere un nome utente univoco.

Nelle versioni precedenti di WordPress, il nome utente predefinito era "admin". Ora, i nuovi titolari di account possono scegliere i loro nomi utente al primo accesso. Ma potresti dover aggiornare il tuo nome utente se hai un account precedente.

Per vedere qual è il tuo nome utente attuale, apri la dashboard di WordPress. Quindi, vai su Utenti → Profilo . Troverai il tuo nome utente nella sezione Nome .

Se hai già un nome utente univoco, vai ai passaggi successivi. Se vedi admin come nome utente, probabilmente vorrai cambiarlo. Sfortunatamente, non potrai modificare direttamente il tuo profilo nella dashboard.

Uno dei modi più semplici per cambiare il tuo nome utente WordPress è creare un nuovo utente. Quindi, puoi assegnargli un nome utente univoco e assegnargli gli stessi privilegi di amministratore. L'unico aspetto negativo di questo metodo è che dovrai utilizzare un nuovo indirizzo email.

Per prima cosa, vai su Utenti → Aggiungi nuovo . In questa pagina, crea un nuovo nome utente e inserisci il tuo indirizzo email. Assicurati di impostare il ruolo utente come amministratore .

Se desideri utilizzare lo stesso indirizzo email, puoi semplicemente aggiungere un segno più con lettere aggiuntive dopo il nome utente. Ad esempio, se il tuo indirizzo email normale è "email di [email protected]", puoi utilizzare "email di [email protected]". WordPress lo considererà un nuovo indirizzo email, ma utilizzerà la stessa casella di posta.

Successivamente, dovrai disconnetterti da WordPress e utilizzare il nuovo nome utente per accedere nuovamente. Quindi, vai alla pagina Tutti gli utenti e fai clic su Elimina sotto il ruolo utente amministratore .

Durante il processo di eliminazione, dovrai spostarne il contenuto nel nuovo nome utente. Per fare ciò, seleziona Attribuisci tutto il contenuto a [nuovo nome utente] . Questo è un passaggio fondamentale, altrimenti i tuoi contenuti verranno eliminati.

Infine, fai clic su Conferma eliminazione . Se vuoi iniziare a utilizzare lo stesso indirizzo email assegnato al nome utente amministratore , puoi aggiornarlo ora.

Se desideri modificare il tuo nome utente esistente, dovrai farlo tramite il tuo database WordPress. Tieni presente che apportare modifiche al database può essere pericoloso, quindi è meglio farlo se hai già esperienza in questo settore. Per modificare il tuo nome utente, procedi nel seguente modo:

1. Fai clic sullo strumento phpMyAdmin nel pannello c del tuo provider di hosting. La posizione esatta può variare in base al tuo host.
2. Fai clic sul database del tuo sito WordPress nel pannello di sinistra. Questo aprirà le tabelle del database.
3. Fare clic sulla tabella wp_users . Il prefisso "wp_" è impostato per impostazione predefinita, ma il tuo host potrebbe averlo modificato in qualcos'altro. Ad esempio, la tabella può essere chiamata "janb_users".
4. Trova il nome utente che desideri modificare sul lato destro, in questo caso "Amministratore" e fai clic su Modifica.
5. Nel campo user_login , digita il nuovo nome utente che desideri impostare.
6. Fare clic sul pulsante Vai .

Ora puoi accedere con il nuovo nome utente!

Passaggio 2: utilizzare una password complessa

Un altro modo per proteggere il tuo sito dagli attacchi di forza bruta è utilizzare una password complessa. Poiché gli hacker utilizzano le botnet (reti di robot) per indovinare casualmente le password, può essere utile averne una con una stringa univoca di numeri e lettere.

Queste sono le caratteristiche di una password complessa:

• Ha tra i dieci ei 50 caratteri
• Utilizza lettere maiuscole e minuscole
• Utilizza numeri e caratteri speciali
• È univoco dalle password utilizzate per altri account o siti Web

Per aggiornare la tua password WordPress, vai su Utenti → Profilo . Quindi, scorri verso il basso fino a Gestione account .

Quindi, fai clic su Imposta nuova password . Una volta fatto, WordPress genererà automaticamente una password complessa per te. Questa sarà una credenziale complessa che è difficile da indovinare.

Puoi usare questa password o crearne una tua. Durante la digitazione, WordPress indicherà quanto è forte o debole la tua nuova password.

Per assicurarti che la tua nuova password sia sicura e casuale, puoi utilizzare un generatore di password. Questo strumento può creare automaticamente una password con lettere maiuscole e minuscole, nonché numeri e simboli.

Dopo aver incollato la tua nuova password nella casella di testo, scorri fino alla fine della pagina. Fare clic su Aggiorna profilo per salvare le modifiche. Per la massima protezione dagli attacchi di forza bruta, valuta la possibilità di cambiare la password di WordPress ogni quattro mesi.

Passaggio 3: aggiungi l'autenticazione a due fattori

Quando accedi al tuo sito WordPress con solo una password, questo viene chiamato autenticazione in un solo passaggio. Puoi anche implementare l'autenticazione a due passaggi oa due fattori.

Con l'autenticazione in due passaggi, fornirai due forme di verifica per accedere al tuo sito. Inserirai comunque la tua password, ma dovrai anche confermare la tua identità sul telefono o su un altro dispositivo.

Jetpack semplifica l'aggiunta di un'autenticazione sicura al tuo sito web. Innanzitutto, installa e attiva Jetpack in WordPress. Quindi, nella dashboard di Jetpack, fai clic su Gestisci impostazioni di sicurezza .

Scorri fino in fondo alla pagina e trova la sezione di accesso di WordPress.com . Qui, attiva Richiedi account per utilizzare l'autenticazione in due passaggi di WordPress.com .

Quindi, trova la pagina Autenticazione in due passaggi nella scheda Sicurezza . Puoi scegliere di configurare l'autenticazione a due fattori con un'app o un SMS.

Se scegli la prima opzione, dovrai scaricare un'app come Google Authenticator (iPhone | Android). WordPress fornirà un codice QR, che puoi scansionare con l'app e quindi inserire il codice generato.

Quando fai clic su Configura tramite SMS , dovrai inserire il tuo numero di telefono. Dopo aver verificato il codice inviato al telefono, puoi iniziare a utilizzare l'autenticazione a due fattori.

Ora puoi verificare la tua identità ogni volta che accedi a WordPress! Questa configurazione può offrire una maggiore protezione contro gli attacchi di forza bruta.

Passaggio 4: installare un plug-in di protezione dagli attacchi di forza bruta

Dopo aver eseguito alcuni passaggi di base per proteggere la tua pagina di accesso, puoi anche trarre vantaggio dall'installazione di un plug-in di protezione dalla forza bruta. Lo strumento giusto può bloccare automaticamente gli attacchi di forza bruta prima che abbiano un impatto sul tuo sito.

Mentre stai cercando di scegliere il miglior plug-in per la protezione dalla forza bruta, dovresti tenere a mente alcuni fattori. Per proteggere il tuo sito web, ti consigliamo di trovare un plug-in che funzioni dietro le quinte per prevenire e fermare gli attacchi di forza bruta.

Ecco alcune funzionalità di base che dovresti cercare in un plug-in di protezione dalla forza bruta:

• Tentativi di accesso limitati
• Autenticazione a due fattori
• Un firewall
• Block list di indirizzi IP

Inoltre, molti plug-in di protezione dalla forza bruta forniscono una sicurezza generale per il tuo sito web. Ad esempio, Jetpack Security non solo previene gli attacchi di forza bruta, ma esegue scansioni di malware, crea backup automatici e scherma lo spam.

Jetpack è anche uno dei plugin di protezione dalla forza bruta più semplici da configurare. Dopo aver installato e attivato Jetpack, puoi attivare la protezione dalla forza bruta nella dashboard.

Con questo clic, puoi abilitare Jetpack per prevenire attacchi di forza bruta!

I quattro migliori plugin di WordPress per la protezione dagli attacchi di forza bruta

L'installazione di un plug-in può essere il modo più efficace per prevenire attacchi di forza bruta. Tuttavia, potresti non sapere quale opzione è giusta per il tuo sito web. Sebbene ci siano molti plugin per la protezione della forza bruta, quattro si distinguono come i migliori!

1. Jetpack

Quando scarichi Jetpack, puoi accedere alla protezione dagli attacchi di forza bruta e a molte altre funzionalità di sicurezza. Jetpack offre anche strumenti per prestazioni e crescita, così puoi scegliere un piano perfetto per le tue esigenze.

Se la protezione dagli attacchi di forza bruta è tutto ciò di cui hai bisogno, la grande notizia è che è completamente gratuita!

Caratteristiche principali della protezione dagli attacchi di forza bruta di Jetpack :

• Attivazione con un clic
• IP consentiti
• La possibilità di vedere il numero di attacchi bloccati
• Autenticazione a due fattori

Pro :

• Se sei accidentalmente bloccato dalla tua pagina di accesso a causa delle misure di protezione di Jetpack, puoi inviare un link di accesso speciale al tuo indirizzo email.
• Jetpack confronta ogni nuovo indirizzo IP con il suo database globale di indirizzi dannosi.
• Con Jetpack, puoi anche accedere a misure di sicurezza estese, come il monitoraggio dei tempi di inattività, i backup dei siti e le scansioni di malware.

Contro :

• Jetpack richiede la connessione a un account WordPress.com.
• Se il tuo server è configurato in modo errato, potrebbe non restituire un indirizzo IP, il che può disabilitare la funzione di protezione dalla forza bruta.

Facilità d'uso :

Con Jetpack, puoi implementare la prevenzione degli attacchi di forza bruta in un solo passaggio. Dopo l'installazione, visita la dashboard principale di Jetpack per attivare la funzione. Quindi, puoi semplicemente consentire a Jetpack di eseguire il lavoro senza alcuna manutenzione.

Prezzo :

Qualsiasi utente di WordPress può iniziare a utilizzare la protezione dalla forza bruta gratuitamente con Jetpack.

2. Sucuri

Sucuri è uno strumento specializzato nel monitoraggio, protezione e prestazioni di siti Web. Implementando un Web Application Firewall (WAF), Sucuri può bloccare gli attacchi di forza bruta al tuo sito web.

Caratteristiche principali :

• Firewall delle applicazioni Web (WAF)
• Limita i tentativi di accesso
• Strumenti automatizzati per bloccare i bot
• Lista consentita
• Autenticazione a due fattori, CAPTCHA e codici di accesso

Pro :

• Sucuri include il geo-blocco in modo da poter bloccare tutti i visitatori da intervalli IP specifici. Questa funzione può prevenire attacchi di forza bruta da determinati paesi.
• Il firewall di Sucuri sanifica il traffico prima ancora che raggiunga il tuo sito Web WordPress.

Contro :

• La versione gratuita di Sucuri non prevede la prevenzione della forza bruta. Per accedere a un WAF, dovrai acquistare un abbonamento.
• Sebbene Sucuri sia un'opzione efficace per la prevenzione degli attacchi di forza bruta, è costoso. Ci sono altri plugin gratuiti con caratteristiche simili.

Facilità d'uso :

Rispetto ad altri plugin, Sucuri ha un processo di installazione più complicato. Per iniziare a utilizzare Sucuri, dovrai acquistare un piano e configurare un firewall. Ciò comporta l'integrazione del tuo account cPanel e la modifica manuale dei record DNS.

Prezzo :

Con Sucuri, la protezione dalla forza bruta richiede un piano premium. Questa funzione viene fornita con tutte le sue opzioni di abbonamento, che partono da $ 199,99 all'anno.

3. Sicurezza di Wordfence

Wordfence Security è un plugin che fornisce un firewall e uno scanner di sicurezza tutto in uno. Questo strumento offre molte forme di sicurezza dell'accesso, tra cui l'autenticazione a due fattori, gli indirizzi IP consentiti e le chiavi reCAPTCHA.

Caratteristiche principali :

• Limita i tentativi di accesso
• Registra i tentativi di accesso riusciti e non riusciti
• Blocklist IP continuamente aggiornata
• Strumenti di blocco manuale
• Autenticazione a due fattori e reCAPTCHA

Pro :

• Poiché viene fornito con un Web Application Firewall, Wordfence può identificare e bloccare il traffico dannoso sul tuo sito.
• Se una password amministrativa viene compromessa, puoi bloccare qualsiasi accesso da quell'utente.
• Wordfence esegue scansioni di sicurezza programmate ogni tre giorni quando utilizzi la versione gratuita.

Contro :

• Per la versione gratuita di Wordfence, i dati generati sono posticipati di 30 giorni. Per ricevere informazioni sulle minacce in tempo reale, dovrai passare a un piano a pagamento.
• Inoltre, il plug-in gratuito non ti consente di pianificare manualmente la scansione.

Facilità d'uso :

Wordfence fornisce un processo di installazione molto semplice per gli utenti alle prime armi. Dopo aver installato e attivato il plugin gratuito, ti verrà chiesto di inserire un indirizzo email a cui Wordfence può inviare avvisi. Quindi, puoi aggiungere la protezione dalla forza bruta implementando un firewall e funzionalità di sicurezza dell'accesso.

Prezzo :

Anche la versione gratuita di Wordfence Security è dotata di protezione incorporata dalla forza bruta per siti illimitati. Se hai bisogno di supporto avanzato, puoi acquistare un piano premium. Questi partono da $ 99 all'anno.

4. Sicurezza di iThemes

iThemes Security ti consente di iniziare a proteggere il tuo sito Web da attacchi di forza bruta in meno di dieci minuti. Con questo plug-in, puoi personalizzare rapidamente la tua pagina di accesso con l'autenticazione a due fattori e i requisiti della password. Inoltre, iThemes aggiungerà automaticamente il tuo sito alla sua rete di protezione dalla forza bruta.

Caratteristiche principali :

• Numero massimo di tentativi di accesso per host e utenti
• Protezione dalla forza bruta locale e di rete
• Grafici dei recenti attacchi di forza bruta
• La possibilità di impostare i requisiti della password per tutti gli utenti
• Autenticazione a due fattori

Pro :

• Uno dei principali vantaggi di iThemes Security è la sua rete di protezione dalla forza bruta. Registra attività sospette su un milione di siti Web diversi, identificando IP dannosi.
• Puoi impostare un numero massimo di tentativi di accesso per il tuo sito Web, che può impedire l'ipotesi di accesso automatizzata.

Contro :

• Se desideri aggiungere ulteriori funzionalità di sicurezza alla tua pagina di accesso, come un campo reCAPTCHA, dovrai acquistare il plug-in premium.
• Il plug-in gratuito non include rapporti sulla sicurezza in tempo reale.

Facilità d'uso :

Dopo l'installazione, il plug-in iThemes ti guiderà attraverso un processo di configurazione passo dopo passo. Qui puoi abilitare la protezione dalla forza bruta sia locale che di rete. Puoi anche scegliere di aggiungere l'autenticazione a due fattori per una maggiore sicurezza.

Prezzo :

iThemes Security è un plugin gratuito per WordPress. Se desideri utilizzare la dashboard di sicurezza in tempo reale, puoi acquistare la versione premium, a partire da $ 80 all'anno.

Confronto dei migliori plugin che bloccano gli attacchi di forza bruta

Domande frequenti (FAQ)

Ora che sai tutto sugli attacchi di forza bruta e su come prevenirli, rispondiamo ad alcune domande!

Quanto costa la protezione dalla forza bruta in WordPress?

La protezione dalla forza bruta può essere gratuita se scarichi un plug-in di protezione dalla forza bruta come Jetpack. Altri fornitori come Sucuri richiedono un abbonamento a pagamento.

Come posso impostare la protezione dagli attacchi di forza bruta in WordPress?

L'impostazione della protezione dalla forza bruta varia in base al provider scelto. Alcune opzioni richiedono la configurazione di un firewall, operazione che può essere complicata. In alternativa, Jetpack è un plugin che semplifica questo processo. Dopo l'attivazione, puoi attivare la protezione dalla forza bruta con una sola impostazione.

Cos'altro posso fare per proteggere il mio sito WordPress?

Ci sono molte misure di sicurezza generali che puoi adottare per proteggere il tuo sito web. Innanzitutto, considera l'esecuzione di aggiornamenti coerenti per il software principale, i temi e i plug-in. Puoi anche proteggere i tuoi dati eseguendo il backup del tuo sito web.

Un'altra semplice misura di sicurezza è il blocco dello spam. È anche una buona idea eliminare i plug-in inutilizzati e monitorare l'attività del tuo sito. Infine, assicurati di eseguire regolarmente la scansione alla ricerca di malware e di agire immediatamente se viene trovato qualcosa.

Proteggi il tuo sito web dagli attacchi di forza bruta

Senza la giusta protezione, il tuo sito web può cadere preda di attacchi di forza bruta. Fortunatamente, un plug-in di protezione dalla forza bruta è una semplice aggiunta al tuo sito. Con le giuste misure di sicurezza, puoi impedire agli hacker di rubare i tuoi dati.

Per rivedere, ecco come implementare la protezione dagli attacchi di forza bruta in WordPress:

1. Aggiorna il tuo nome utente.
2. Usa una password complessa.
3. Aggiungi l'autenticazione a due fattori.
4. Installa un plug-in di protezione dagli attacchi di forza bruta come Jetpack.

Dopo aver seguito questi passaggi, sarai in grado di mantenere le tue informazioni private e sicure! Quindi, si tratta solo di mantenere aggiornato il software, eseguire il backup dei file e monitorare il tuo sito Web per spam e attività sospette.