Impedire attacchi di forza bruta contro siti Web WordPress

Hai mai sentito parlare dei ladri che cercano di entrare in una casa chiusa a chiudere provando un sacco di chiavi diverse? Questo è praticamente ciò che funziona un attacco di forza bruta ai siti Web WordPress. Gli aggressori mirano a prendere di mira gli utenti con password di amministrazione deboli per farti strada. Se ti stai chiedendo come sei arrivato a questo punto, lasciamolo per te. Diverse versioni fa, WordPress avrebbe usato un nome utente predefinito chiamato "Admin" per i suoi utenti. Gli aggressori preda questi account provando password diverse per andare con lo stesso nome utente e entrare in tutto ciò che dà loro accesso.

Come prevenire gli attacchi di forza bruta contro WordPress?

1. Il primo passo da fare sarebbe quello di cambiare il tuo nome utente se stai ancora usando "amministratore" e usi qualcosa di più unico. Ciò elimina la possibilità che tu sia nella categoria vulnerabile che gli aggressori stanno cercando di guardare automaticamente. È anche il passo più potente che puoi fare per proteggerti da questo attacco.
2. Non usare password deboli! Certo, "123456" è facile da ricordare, ma ricorda anche l'idea di dare le chiavi a casa a un ladro noto. Se non riesci a pensare a qualcosa di difficile, usa i generatori di password per trovare qualcosa di forte che non è facile da indovinare. WordPress rende anche più semplice capire quanto siano forti le tue password con un metro che si presenta quando stai cercando di crearne una.
3. Mantieni aggiornate le versioni di WordPress e del software per computer e assicurati di attivare "autenticazione a due fattori" se si utilizza WP.com. Ciò ti segnalerebbe se un tentativo provenga da un diverso dispositivo/regione come il tuo.
4. Chiama il tuo provider di hosting se ritieni che le tue pagine di amministrazione siano diventate difficili da accedere e sembrano essere lente. Dovrebbero essere in grado di guidarti nella giusta direzione.
5. Utilizzare uno strumento extra o un plug -in che limiti il ​​numero di tentativi di accesso effettuati. Se il tuo sito Web non richiede più persone per accedere, puoi anche aggiungere plugin che bloccano eventuali tentativi (oltre al tuo) per accedere a WP-Admin.
6. Se sei stato vittima di attacchi come questi in passato e hai notato un modello di indirizzi IP o regioni da cui provengono gli attacchi, puoi aggiungere un ulteriore livello di protezione. Questo può essere fatto creando un "blocklist" di indirizzi IP che stanno cercando di accedere al tuo sito Web da tali regioni. Sfortunatamente, nel farlo vorresti anche bloccare alcuni utenti autentici che desiderano accedere al tuo sito Web.