Hai mai sentito parlare di ladri che cercano di entrare in una casa chiusa a chiave provando una serie di chiavi diverse? È più o meno così che funziona un attacco brute force sui siti web WordPress. Gli aggressori mirano a colpire gli utenti con password di amministratore deboli per forzare l'accesso. Se ti stai chiedendo come sei arrivato a questo punto, ve lo spieghiamo. Diverse versioni fa, WordPress utilizzava un nome utente predefinito chiamato "admin" per i suoi utenti. Gli aggressori sfruttano questi account provando password diverse per lo stesso nome utente e accedendo a qualsiasi cosa dia loro accesso.
Come prevenire gli attacchi Brute Force contro WordPress?
- Il primo passo da compiere sarebbe quello di cambiare il tuo nome utente, se utilizzi ancora "admin", e sostituirlo con uno più univoco. Questo eliminerebbe la possibilità di rientrare nella categoria vulnerabile che gli aggressori cercano di individuare automaticamente. È anche la misura più efficace che puoi adottare per proteggerti da questo attacco.
- Non usare password deboli! Certo, "123456" è facile da ricordare, ma ricorda anche l'idea di dare le chiavi di casa a un ladro. Se non ti viene in mente nulla di difficile, usa i generatori di password per trovare qualcosa di forte che non sia facile da indovinare. WordPress semplifica anche la comprensione della sicurezza delle tue password grazie a un indicatore che compare quando provi a crearne una.
- Mantieni aggiornate le versioni di WordPress e del software del tuo computer e assicurati di attivare l'autenticazione a due fattori se utilizzi WP.com. Questo ti segnalerà se un tentativo proviene da un dispositivo/regione diversa dalla tua.
- Contatta il tuo provider di hosting se ritieni che le tue pagine di amministrazione siano diventate difficili da accedere e appaiano lente. Dovrebbero essere in grado di guidarti nella giusta direzione.
- Utilizza uno strumento aggiuntivo o un plugin che limiti il numero di tentativi di accesso. Se il tuo sito web non richiede l'accesso di più persone, puoi anche aggiungere plugin che blocchino qualsiasi tentativo (diverso dal tuo) di accedere a wp-admin.
- Se sei stato vittima di attacchi di questo tipo in passato e hai notato uno schema di indirizzi IP o regioni da cui provengono gli attacchi, puoi aggiungere un ulteriore livello di protezione. Questo può essere fatto creando una "lista di blocco" degli indirizzi IP che tentano di accedere al tuo sito web da quelle regioni. Purtroppo, così facendo, bloccheresti anche alcuni utenti legittimi che desiderano accedere al tuo sito web.
