Per proteggerti da tentativi di accesso indesiderati al tuo account o sito, assicurati di aver impostato una password sicura per il tuo account e abilitato l’autenticazione a due fattori. Puoi anche proteggere il tuo sito da attacchi di forza bruta, che verranno trattati in questa guida.
Gli attacchi di forza bruta sono un metodo usato dagli hacker per sfruttare le vulnerabilità del codice sui siti web WordPress. Usando grandi reti di computer note come botnet, gli hacker tentano di accedere al tuo sito usando migliaia diverse combinazioni di nomi utente e password, fino a trovare quella giusta.
Esistono due metodi principali per accedere a un sito web WordPress:
- wp-login è la pagina di accesso a WordPress su
/wp-login.php. Su WordPress.com, puoi accedere in modo sicuro qui utilizzando le tue credenziali WordPress.com. - XMLRPC è un metodo utilizzato da applicazioni esterne per autenticarsi e interagire con WordPress.
Entrambi i metodi sono vulnerabili agli attacchi dei bot che cercano di ottenere l’accesso ai siti web, quindi il nostro plugin Jetpack protegge entrambi i metodi dagli attacchi di forza bruta su WordPress.com. In media, Jetpack blocca oltre 5.000 attacchi di forza bruta di WordPress durante il ciclo di vita di un sito.
Non importa quando sia grande il tuo sito, c’è sempre qualcuno o qualcosa che prova a intromettersi. In caso di successo, gli attacchi di forza bruta possono rallentare o bloccare il tuo sito e dare agli hacker l’accesso non autorizzato ai contenuti e ai dati del tuo sito.
La protezione dagli attacchi di forza bruta su WordPress.com blocca i tentativi di accesso indesiderati dagli attacchi di forza bruta tradizionali e distribuiti, contribuendo a mantenere il tuo sito sicuro dal momento in cui viene creato.
Con la protezione dagli attacchi di forza bruta puoi:
- Bloccare automaticamente gli indirizzi IP sospetti prima che raggiungano il tuo sito
- Inserire gli IP attendibili nella lista bianca per evitare falsi positivi
- Attivare o disattivare la funzione secondo necessità
Jetpack utilizza i dati di milioni di siti per rilevare e fermare le minacce. Ad esempio, se un bot non riesce ad accedere a un sito, verrà bloccato dagli altri prima ancora di poter tentare l’accesso.
Questa sezione della guida si applica ai siti con il piano WordPress.com Business e Commerce, nonché con il piano Pro legacy. Se disponi di un piano Business, assicurati di attivarlo. Per i siti con i piani gratuito, Personal e Premium, aggiorna il tuo piano per accedere a questa funzionalità.
I siti ospitati su WordPress.com non possono disattivare il plugin Jetpack, poiché ciò interromperebbe l’accesso al tuo sito e rimuoverebbe le sue funzionalità essenziali. Jetpack viene gestito automaticamente, così da garantire massima sicurezza e prestazioni elevate del tuo sito.
Tuttavia, puoi disattivare funzionalità specifiche di Jetpack che credi possano causare un conflitto. La protezione dagli attacchi di forza bruta viene attivata per impostazione predefinita quando crei il tuo sito web WordPress.com.
Puoi disattivare e riattivare la funzionalità seguendo i passaggi seguenti:
- Visita la bacheca del tuo sito.
- Vai a Jetpack → Impostazioni.
- Fai clic sulla scheda Sicurezza.
- Scorri verso il basso fino alla sezione “Protezione dagli attacchi di forza bruta” e attiva o disattiva la funzionalità:
Puoi includere degli indirizzi IP nell’elenco degli indirizzi consentiti per impedirne il blocco. Ciò è utile se hai effettuato diversi tentativi di accesso falliti o se Jetpack ha contrassegnato attività insolite dal tuo IP attuale.
Per aggiungere un indirizzo IP all’elenco degli indirizzi consentiti del tuo sito:
- Visita la bacheca del tuo sito.
- Vai a Jetpack → Impostazioni.
- Fai clic sulla scheda Sicurezza.
- Scorri verso il basso fino alla sezione “Indirizzi IP sempre consentiti“.
- Attiva l’impostazione.
- Aggiungi gli indirizzi IP che desideri inserire nella lista bianca (separati da una virgola). Sono accettati indirizzi IPv4 e IPv6. Per specificare un intervallo, inserisci il valore minimo e il valore massimo separati da un trattino. Esempio:
12.12.12.1-12.12.12.100 - (Facoltativo) Fai clic sul pulsante contrassegnato come “Aggiungi a Elenco consentiti” per inserire nella lista bianca il tuo indirizzo IP attuale.
Supporto 