Come proteggere WordPress dagli attacchi di forza bruta?

Attaccare un sito Web usando Brute Force è una vecchia tecnica ed esiste ancora su Internet.


Forza bruta gli attacchi possono smantellare il tuo sito Web e interrompere il tuo business online se non è disponibile lo strumento di prevenzione necessario.

L’attacco di Brute Force può essere applicato usando umani o robot cercando continuamente di accedere con credenziali indovinate nel tuo sito Web WordPress.

Ciò peggiora quando la pagina di accesso non è protetta e alcune ricerche hanno notato migliaia di tentativi di accesso a wp-login.php al minuto.

Diamo un’occhiata al grafico di SUCURI.

sucuri-wordpress-bruta

Più di 1 milione di attacchi all’ora!

sucuri-per-ora

Quello è enorme!

Qualche giorno fa, ho ricevuto 42 e-mail di notifica sul blocco del sito a causa di attacchi di forza bruta. Quindi questo può succedere a te.

geekflare-forza bruta

Esistono diversi modi per prevenire attacchi di forza bruta; eccone alcuni, che puoi seguire.

Nascondi l’accesso a WordPress

Una delle prime cose dopo aver impostato il tuo sito web che dovresti prendere in considerazione è nascondere l’area di accesso.

Per impostazione predefinita, una pagina di accesso di WordPress è disponibile come:

  •  /wp-login.php
  • /accesso
  • / Wp-admin
  • / admin

Conoscere le tecnologie che stai utilizzando è facile in questi giorni.

Quindi, se i cattivi sanno che stai usando WordPress e l’area di accesso non è nascosta, allora possono facilmente accedere alla pagina di accesso e prepararsi per un attacco di forza bruta.

Nascondiamo l’area di accesso di WordPress con i seguenti plugin. Puoi usarne uno qualsiasi.

WPS Nascondi accesso

WPS Nascondi accesso è un plugin leggero con attivo installato sopra 400.000. Questo plugin ti aiuterà a cambiare l’URL di accesso in qualsiasi cosa tu voglia.

Dopo aver modificato l’URL di accesso, se qualcuno tenta di accedere a wp-admin / wp-login.php / login / admin, verrà visualizzata una pagina di errore 404.

Sicurezza iThemes

Un plugin premium offre una protezione completa della sicurezza WP.

iThemes fai uscire i cattivi. Alcune delle caratteristiche degne di nota sono:

  • Protezione della forza bruta
  • Blocca utenti sospetti
  • Nascondi l’URL di accesso
  • Autenticazione a due fazioni
  • Scansione malware
  • Backup del database

Con una configurazione minima, sei a posto.

Malcare

GDPR pronto, Malcare è un plug-in di protezione della sicurezza all-in-one per WordPress. Offre protezione dell’accesso 24 ore su 24 e mantiene lontano il traffico dannoso.

Non solo la protezione della forza bruta, ma Malcare offre altre funzionalità come la scansione di malware, la rimozione di codice dannoso, il firewall Web intelligente, la protezione con un clic, ecc. È possibile avviarlo a partire da $ 99 all’anno. Vale la pena investire per proteggere il tuo business online.

Implementare l’autenticazione a 2 fattori

L’autenticazione a 2 fattori aggiunge un ulteriore livello di sicurezza al tuo sito Web WordPress. Insieme alle tue credenziali, devi anche fornire una password una tantum (OTP).

Ciò è possibile utilizzando i seguenti plugin.

A due fattori

Un fantastico e leggero collegare consente di implementare l’autenticazione a due fattori per l’amministratore di WP, il collaboratore, ecc.

È possibile impostare l’autenticazione basata su e-mail, Google Authenticator e U2F.

Google Authenticator

Come dice il nome, puoi usarlo collegare se stai cercando un accesso OTP basato su Google Authenticator.

Una volta abilitato il plug-in e impostato l’autenticazione, dovresti vedere la schermata sopra durante l’accesso al tuo amministratore WP.

Le tecniche di cui sopra sono basate su plug-in, ma puoi anche prendere in considerazione l’utilizzo Provider di sicurezza basato su cloud protezione.

Sicurezza basata su cloud

Perché sicurezza basata su cloud?

L’uso di un plugin per proteggere il tuo sito significa che tutto il traffico, compresi quelli cattivi, arriva ai server WordPress. Immagina di ricevere un gran numero di traffici inutili.

Utilizzando la protezione basata su cloud, il tuo server WordPress riceve solo traffico legittimo. Tutti i bot, gli spam, le richieste sospette vengono chiusi in una rete di provider di sicurezza.

Suona bene?

Ci sono poche opzioni, ma due delle più popolari sono le seguenti.

Sucuri

SUCURI è specializzata in antivirus e firewall per siti Web. Ti aiutano a fermare i tentativi di hacking, a bloccare un attacco DDoS, a ripulire l’hacking e a garantire la sicurezza completa del tuo sito web. Inclusa la protezione dagli attacchi di forza bruta.

La sicurezza di WordPress di SUCURI è probabilmente l’unica cosa di cui hai bisogno per proteggere il tuo sito Web da Brute Force e molte altre vulnerabilità di sicurezza. La cosa buona di SUCURI è che supporta molte altre piattaforme come Joomla, Drupal, Magento, PHP, quindi nel caso in cui cambi la tecnologia del sito Web in futuro, non è necessario spendere altri $$ per sicurezza.

Cloudflare

Uno dei popolari provider di servizi di sicurezza e CDN. Cloudflare WAF è incluso nel piano PRO, che costa $ 20 al mese.

Ottieni tutta la protezione di sicurezza standard come DDoS, OWASP prime 10 vulnerabilità, spam, bot malevoli, forza bruta, ecc..

Conclusione

Proteggere il tuo sito è essenziale e se stai cercando di mitigare gli attacchi di forza bruta, uno dei plugin sopra elencati farà il lavoro. Tuttavia, se stai seriamente cercando una soluzione di sicurezza completa, scegli la sicurezza basata su cloud. Ne vale la pena!

Stai al sicuro!

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map