Sommario
Introduzione
Come dicevamo in un altro articolo gli attacchi di forza bruta (brute force attack) consistono nell’individuare un username e una password, provando tutte le possibili combinazioni di lettere, caratteri speciali e numeri. Può richiedere un elevato numero di tentativi e un lungo tempo d’esecuzione.
L’obiettivo è individuare la password che permette di accedere a un determinato sistema informatico, provando tutte le combinazioni possibili. Fino a che non si trova quella giusta.
Abbiamo descritto numerosi programmi che si occupano della sicurezza totale di wordpress ma esistono dei plugin dedicati solo agli attachi di forza bruta.
Loginizer
Loginizer è un plugin per WordPress che ti aiuta a combattere l’attacco brute force bloccando l’accesso per l’IP dopo aver raggiunto il numero massimo di tentativi consentiti. Puoi inserire nella blacklist o nella whitelist gli IP per il login utilizzando Loginizer. Puoi utilizzare varie altre funzionalità come Two Factor Auth, reCAPTCHA, PasswordLess Login, ecc. Per migliorare la sicurezza del tuo sito web.
Loginizer è utilizzato attivamente da oltre 1000000+ siti Web WordPress.
Protezione dalla forza bruta: gli IP che tentano di forzare il tuo sito web verranno bloccati per 15 minuti dopo 3 tentativi di accesso falliti. Dopo più blocchi, l’IP viene bloccato per 24 ore. Questa è la configurazione predefinita e può essere modificata dalla pagina Loginizer -> Brute force nel pannello di amministrazione di WordPress.
Registri dei tentativi di accesso non riusciti.
IP nella lista nera
IP whitelist
Messaggi di errore personalizzati in caso di accesso non riuscito.
Controllo delle autorizzazioni per file e cartelle importanti.
Limit Login Attempts Reloaded
Limit Login Attempts Reloaded
Da un team di sviluppatori WordPress, la versione rinnovata del plugin Limit Login Attempts per la protezione dell’accesso. Conforme al GDPR.
Limita il numero dei tentativi di accesso che è possibile fare tramite la normale pagina di autenticazione, come anche tramite XMLRPC, WooCommerce e pagine di accesso personalizzate. Per impostazione predefinita WordPress permette tentativi di accesso illimitati. Ciò consente in modo relativamente facile di scovare le password tramite attacchi di forza bruta. Limit Login Attempts Reloaded non consente a un indirizzo Internet di compiere ulteriori tentativi dopo aver raggiunto un limite specificato, rendendo quindi difficile o impossibile un attacco di forza bruta.
Caratteristiche:
Limita il numero di tentativi durante durante l’accesso (per ciascun IP). Funzione pienamente personalizzabile.
Informa l’utente, nella pagina di autenticazione, sui tentativi rimanenti o sul tempo di blocco.
È possibile attivare il log e la notifica via email.
È possibile usare liste per bloccare e sbloccare IP e nomi utente.
Compatibilità con Sucuri Website Firewall.
Protezione del gateway XMLRPC.
Protezione della pagina di accesso di Woocommerce.
Compatibilità con Multi-site con impostazioni MU aggiuntive.
Conforme al GDPR. Con questa opzione attivata, tutti gli IP registrati vengono offuscati (con hash MD5).
Supporto a Custom IP origins (Cloudflare, Sucuri, ecc.)
Cerber Security, Anti-spam e Malware Scan
Cerber Security, Anti-spam e Malware Scan
Per impostazione predefinita, WordPress consente tentativi di accesso illimitati tramite il modulo di accesso, XML-RPC o inviando cookie speciali. Ciò consente alle password di essere violate con relativa facilità tramite un attacco di forza bruta.
WP Cerber impedisce agli intrusi tramite IP o sottorete di effettuare ulteriori tentativi dopo che è stato raggiunto un limite specificato di tentativi, rendendo impossibili attacchi di forza bruta o attacchi di forza bruta distribuiti da botnet.
Sarai in grado di creare un elenco di accesso IP black list o un elenco di accesso IP white list per bloccare o consentire gli accessi da un particolare indirizzo IP, intervallo di indirizzi IP o una sottorete di qualsiasi classe (A, B, C).
Inoltre, puoi creare la tua pagina di accesso personalizzata e dimenticare gli attacchi automatici al predefinito wp-login.php, che attira la tua attenzione e consuma molte risorse del server. Se un utente malintenzionato tenta di accedere a wp-login.php, verrà bloccato e riceverà una risposta di errore 404.
WPS Hide Login
WPS Hide Login è un plugin molto leggero che consente di modificare con facilità e sicurezza l’url del modulo di accesso. Non rinomina letteralmente o cambia il file nel core, né aggiunge delle regole di riscrittura. Intercetta semplicemente le richieste alla pagina e funziona su qualsiasi sito web con WordPress. La pagina wp-login.php e la cartella wp-admin diventano inaccessibili, così dovreste metterle nel segnalibro o ricordare l’url. Disattivando questo plugin riporta il sito esattamente allo stato che era prima.
Ti sembra troppo complicato farlo da te? Non hai tempo? Puoi richiedere il servizio di assistenza rapida che con una spesa minima risolverà il problema.
Contattaci subito!
