Come e perché dovresti limitare i tentativi di accesso in WordPress (Plugin+Codice)

Pubblicato: 2024-04-13

Il tuo sito WordPress è come la tua casa nel mondo online. Proprio come chiuderesti le porte per tenere lontani gli intrusi, è essenziale proteggere il tuo sito web dalle minacce informatiche.

Un modo intelligente per farlo è limitare i tentativi di accesso. È come mettere una guardia al cancello, pronta a fermare chiunque cerchi di intrufolarsi. E come sai, WordPress è un obiettivo comune per ogni hacker. Lo dimostra una recente statistica sulla sicurezza di WordPress condivisa da Colorlib

Ogni giorno vengono hackerati almeno 13.000 siti WordPress.

Pertanto, per proteggere il tuo sito Web, devi limitare i tentativi di accesso al tuo sito Web WordPress.

Se ti stai chiedendo come limitare i tentativi di accesso, non preoccuparti. In questo tutorial passo dopo passo, ti mostreremo come limitare i tentativi di accesso in WordPress a meno di 10 minuti , garantito.

Eccitato? Eccezionale. Iniziamo!

Perché dovresti limitare i tentativi di accesso in WordPress

Il motivo principale per limitare i tentativi di accesso al tuo sito è proteggere il tuo sito web. Ecco 3 motivi principali per limitare i tentativi di accesso:

(I) Interrompe gli attacchi di forza bruta

Gli attacchi di forza bruta sono una tattica comune in cui gli hacker utilizzano strumenti automatizzati per indovinare ripetutamente nomi utente e password finché non ottengono l'accesso.

Per impostazione predefinita, WordPress consente tentativi illimitati, consentendo agli aggressori di avere successo facilmente attraverso tentativi ed errori. Limitare i tentativi riduce significativamente le possibilità di successo di un attacco di forza bruta.

(II) Previene il credential stuffing

Il credential stuffing prevede l'utilizzo di combinazioni di nome utente e password rubate (da altre violazioni dei dati) per provare ad accedere a diversi siti Web.

Con tentativi limitati, anche se vengono utilizzate credenziali rubate, l'aggressore viene bloccato prima di indovinare quelle giuste.

(III) Riduce l'onere della sicurezza

Tentativi illimitati possono portare a un'ondata di richieste di accesso, sovraccaricando il server e incidendo sulle prestazioni del sito web.

Limitare i tentativi riduce il numero di accessi non riusciti, diminuendo lo sforzo sulle risorse del tuo server.

Leggi anche: Un elenco di controllo dettagliato sulla sicurezza del sito Web WordPress per il 2024

2 Semplici Modi per Limitare i Tentativi di Accesso in WordPress

Questa è l'immagine in primo piano del blog: Come limitare i limiti di accesso in WordPress

Ora sai perché dovresti limitare i tentativi di accesso. È ora di mostrarti come farlo. Principalmente ci sono due modi per limitare i tentativi di accesso in WordPress. Sono:

  • Limita i tentativi di accesso utilizzando un plugin
  • Limita manualmente i tentativi di accesso

Ti mostreremo entrambe le modalità con gli screenshot e il codice richiesti. Quindi, senza ulteriori indugi, iniziamo con il tutorial!

Metodo 01: Limita i tentativi di accesso in WordPress utilizzando un plugin

A dire il vero, sono disponibili diversi plugin per limitare i tentativi di accesso a WordPress. Puoi andare al repository dei plugin di WordPress e cercare semplicemente il plugin – “Plugin di accesso con limite WordPress” e otterrai una serie di plugin. Scegli un plugin affidabile secondo la tua scelta.

Tuttavia, in questo tutorial, utilizzeremo il plug-in "Limita tentativi di accesso ricaricati" per mostrarti come limitare i tentativi di accesso per il tuo sito WordPress. Questo è il plugin più popolare in questa categoria con più di 2+ milioni di installazioni attive e un incredibile punteggio di 4,9 su 5.

Ora iniziamo con il tutorial!

Passaggio 01: installare il plug-in Limite tentativi di accesso ricaricati

Accedi al backend di WordPress e vai su Plugin -> Aggiungi nuovo plugin . C'è una casella di ricerca per cercare il plugin. Digita il nome del plug-in – Limita tentativi di accesso ricaricati, quindi installa il plug-in dal risultato della ricerca.

Infine, attiva il plugin per utilizzarlo sul tuo sito.

Questa schermata mostra come installare e attivare il plugin Limit Login Attempts Reloaded

Passaggio 02: configurare il plugin Limita tentativi di accesso ricaricati

Dopo aver attivato il plugin, vai alla dashboard di WordPress. Lì troverai una nuova opzione nel pannello di sinistra: Limita tentativi di accesso .

Ora passa il mouse sull'opzione Limita tentativi di accesso e fai clic sul pulsante Impostazioni . Ti porterà a una nuova interfaccia.

Qui puoi fare clic sull'opzione Conformità GDPR per mostrare il messaggio GDPR sulla tua pagina di accesso. Inoltre, dovresti inserire la tua email qui per ricevere aggiornamenti su chi è bloccato fuori dal tuo sito.

Questo è uno screenshot della pagina delle impostazioni Limita tentativi di accesso ricaricati

Ora scorri leggermente verso il basso e concentrati sul segmento App locale.

Ci sono alcune opzioni da configurare:

  • Tentativi consentiti: numero di tentativi non riusciti consentiti prima del blocco.
  • Blocco minuti: tempo di blocco in minuti.
  • Tempo di blocco : Dopo il numero specificato di blocchi, il tempo di blocco aumenterà delle ore specificate.
  • Ore prima della reimpostazione dei nuovi tentativi: tempo in ore prima che i blocchi vengano rimossi.
Questo è uno screenshot che mostra le impostazioni Limita tentativi di accesso

Dopo aver configurato queste opzioni, non dimenticare di premere il pulsante Salva impostazioni per salvare tutte le modifiche.

Passaggio 03: controlla se funziona

Ora esci dal tuo sito Web WordPress e prova ad accedere nuovamente con le credenziali sbagliate. Se mostra quanti tentativi restano o ti blocca, possiamo dire che funziona perfettamente.

Questo è uno screenshot della pagina di accesso di WordPress

Ora vai a Limita tentativi di accesso -> Dashboard per controllare il rapporto di accesso non riuscito.

È tutto!

Ecco come puoi limitare i tentativi di accesso al tuo sito web utilizzando un plugin WordPress.

Metodo 02: limitare manualmente i tentativi di accesso (codifica)

Se non vuoi aggiungere un plugin extra per limitare i tentativi di accesso, puoi farlo accedendo al tuo file Functions.php.

Per fare ciò, devi accedere al tuo pannello di controllo (cPanel). Quindi vai a File Manager -> public_html -> wp-content -> temi -> il tuo tema attualmente attivato.

Lì troverai il file Functions.php .

Questa immagine mostra il file Functions.php

Fare clic sul file e incollare questo codice nella parte inferiore del file.

Infine, salva il file per completare questo processo.

 function check_attempted_login( $user, $username, $password ) { if ( get_transient( 'attempted_login' ) ) { $datas = get_transient( 'attempted_login' ); if ( $datas['tried'] >= 3 ) { $until = get_option( '_transient_timeout_' . 'attempted_login' ); $time = time_to_go( $until ); return new WP_Error( 'too_many_tried', sprintf( __( '<strong>ERROR</strong>: You have reached authentication limit, you will be able to try again in %1$s.' ) , $time ) ); } } return $user; } add_filter( 'authenticate', 'check_attempted_login', 30, 3 ); function login_failed( $username ) { if ( get_transient( 'attempted_login' ) ) { $datas = get_transient( 'attempted_login' ); $datas['tried']++; if ( $datas['tried'] <= 3 ) set_transient( 'attempted_login', $datas , 300 ); } else { $datas = array( 'tried' => 1 ); set_transient( 'attempted_login', $datas , 300 ); } } add_action( 'wp_login_failed', 'login_failed', 10, 1 ); function time_to_go($timestamp) { // converting the mysql timestamp to php time $periods = array( "second", "minute", "hour", "day", "week", "month", "year" ); $lengths = array( "60", "60", "24", "7", "4.35", "12" ); $current_timestamp = time(); $difference = abs($current_timestamp - $timestamp); for ($i = 0; $difference >= $lengths[$i] && $i < count($lengths) - 1; $i ++) { $difference /= $lengths[$i]; } $difference = round($difference); if (isset($difference)) { if ($difference != 1) $periods[$i] .= "s"; $output = "$difference $periods[$i]"; return $output; } }

Ora esci dal tuo sito WordPress e prova nuovamente ad accedere con le credenziali sbagliate. Se ti blocca fuori dal tuo sito web, significa che hai implementato con successo la funzionalità di limitazione dei tentativi di accesso per il tuo sito web WordPress.

Questo è lo screenshot della pagina di accesso di WordPress

Congratulazioni!

Ora sai come limitare i tentativi di accesso in WordPress con e senza l'utilizzo di un plugin.

Bonus: best practice per migliorare la sicurezza dell'accesso

Migliorare la sicurezza dell'accesso al tuo sito WordPress è fondamentale per salvaguardare il tuo sito web e i suoi dati da accessi non autorizzati.

Ecco alcune best practice per migliorare la sicurezza dell'accesso:

  • Imposta una password di accesso complessa : utilizza una password complessa e unica per il tuo accesso a WordPress. Evita password comuni come "password123" o frasi facilmente indovinabili. Scegli un mix di lettere maiuscole e minuscole, numeri e caratteri speciali. Le password più lunghe sono generalmente più sicure. Inoltre, valuta la possibilità di utilizzare un gestore di password per generare e archiviare in modo sicuro le tue password.
  • Utilizza reCAPTCHA : integra reCAPTCHA nella tua pagina di accesso per impedire ai bot automatizzati di tentare di penetrare con la forza bruta nel tuo sito. reCAPTCHA richiede agli utenti di verificare di essere umani completando una semplice sfida, come selezionare immagini o risolvere enigmi. Ciò aiuta a bloccare i bot dannosi consentendo allo stesso tempo agli utenti legittimi di accedere al tuo sito senza ostacoli.
  • Implementa l'autenticazione a due fattori (2FA) : abilita l'autenticazione a due fattori per un ulteriore livello di sicurezza oltre alla semplice password. Con la 2FA, gli utenti sono tenuti a fornire una seconda forma di verifica, come un codice temporaneo inviato al proprio dispositivo mobile o generato da un'app di autenticazione, oltre alla password. Ciò riduce significativamente il rischio di accesso non autorizzato, anche se le password vengono compromesse.
  • Disabilita utenti inattivi : esamina e disabilita regolarmente gli account utente inattivi per ridurre al minimo il rischio di accesso non autorizzato. Gli account inutilizzati o dormienti possono essere facili bersagli da sfruttare per gli hacker. Prendi in considerazione l'implementazione di processi automatizzati per disattivare gli account che sono rimasti inattivi per un periodo specifico o per richiedere agli utenti di confermare periodicamente la propria attività.

Implementando queste best practice, puoi migliorare in modo significativo la sicurezza dell'accesso al tuo sito WordPress, riducendo il rischio di accesso non autorizzato e migliorando la protezione generale contro attività dannose.

Conclusione su come limitare i tentativi di accesso in WordPress

Questo è tutto per la nostra guida sulla limitazione dei tentativi di accesso in WordPress! Ricorda, questo semplice passaggio può fare una grande differenza nel proteggere il tuo sito dalle minacce online. È come mettere una serratura alla tua porta digitale: essenziale per proteggere le tue preziose informazioni.

Mentre procedi con il tuo sito web, tieni a mente la sicurezza. Rimani aggiornato sugli ultimi suggerimenti sulla sicurezza e sii pronto ad adeguare le tue misure secondo necessità. Dopotutto, mantenere il tuo sito sicuro è un lavoro continuo.

Quindi, sentiti sicuro di rafforzare la sicurezza del tuo sito. Limitando i tentativi di accesso, non proteggi solo te stesso, ma anche i tuoi visitatori. Brindiamo a una community WordPress più sicura e felice: un passo alla volta. Stai al sicuro e continua a prosperare online!

Iscriviti al blog weDevs

Inviamo newsletter settimanali, niente spam di sicuro