Limitare i tentativi di accesso a WordPress: come si fa?
Pubblicato: 2023-04-19Sei preoccupato che gli hacker stiano tentando di accedere al tuo sito WordPress? Hai ragione ad esserlo.
Gli hacker utilizzano metodi per tentativi ed errori per indovinare le credenziali di accesso e penetrare nei siti WordPress. Infatti, su un sito WordPress, la pagina di login di WordPress è la pagina più attaccata.
Una volta che un hacker entra nell'area della dashboard dell'amministratore, può assumere il pieno controllo del tuo sito. Installeranno malware, backdoor, deturperanno il tuo sito, pubblicizzeranno e venderanno prodotti illegali, ruberanno le informazioni personali dell'utente, invieranno spam ai visitatori del tuo sito ed eseguiranno altre attività dannose.
Fortunatamente, puoi proteggere la tua pagina di accesso limitando il numero di tentativi di accesso concessi a un utente per inserire le credenziali corrette. In questa guida, ti mostreremo come impostare il limite dei tentativi di accesso su un sito WordPress.
TL;DR: Limitando i tentativi di accesso al tuo sito WordPress, puoi impedire agli hacker di tentare di entrare nel tuo sito web. Il modo più semplice ed efficiente per abilitare questa funzione sul tuo sito è utilizzare un plug-in. Installa MalCare sul tuo sito. Viene fornito con firewall e protezione di accesso. Questo protegge il tuo sito dagli attacchi di forza bruta.
Cos'è il limite di tentativi di accesso di WordPress?
Per impostazione predefinita, WordPress garantisce tentativi illimitati di accesso al tuo sito. Puoi provare tutte le combinazioni di nome utente e password che desideri.
Gli hacker ne sono consapevoli e sfruttano questa impostazione. Innanzitutto, compilano un database di nomi utente e password comunemente usati, insieme a dati rubati o dati acquistati. Successivamente, programmano i bot per visitare i siti WordPress e provare migliaia di combinazioni di nomi utente e password in meno di pochi minuti.
In tal modo, gli hacker sono in grado di entrare in molti siti WordPress. Questo è chiamato un attacco di forza bruta in quanto speronano il tuo sito Web con migliaia di richieste di accesso in pochi minuti.
Utilizzando questo metodo di hacking, gli hacker hanno un buon tasso di successo (circa il 10%) dovuto in gran parte al fatto che gli utenti di WordPress tendono a impostare credenziali di accesso deboli. Mentre il 10% sembra un numero basso, dato che ci sono milioni di siti WordPress, possono hackerare migliaia di siti in pochissimo tempo.
Limitando il numero di tentativi di accesso, puoi fermare gli hacker e i loro bot nelle loro tracce.
A un utente verrà concesso un numero limitato di volte per inserire le credenziali di accesso corrette. Ad esempio, puoi concedere tre tentativi. Se l'utente non inserisce le credenziali corrette per tutte e tre le volte, verrà bloccato fuori dal proprio account.
Verranno presentate opzioni per recuperare le proprie credenziali di accesso, ad esempio:
- Contatta l'amministratore.
- Usa l' opzione 'password dimenticata' per reimpostare la password rispondendo a una serie di domande.
- Dimostrare la propria identità tramite verifica OTP o verifica e-mail.
- Risolvi un captcha per dimostrare che sono umani e non un robot.
Una volta che un bot tenta di accedere tre volte, dovrà affrontare questi ostacoli. Non potranno procedere oltre e passeranno al prossimo obiettivo.
Pertanto, questa misura di sicurezza può proteggere il tuo sito dagli hacker e prevenire un mondo di guai. Successivamente, ti mostreremo come impostare il limite dei tentativi di accesso su WordPress
Come limitare i tentativi di accesso sul tuo sito WordPress?
Esistono due modi per limitare i tentativi di accesso al tuo sito WordPress:
- Usare un plugin (facile)
- Manualmente (difficile)
Ti mostreremo prima come utilizzare un plugin perché è semplice, rapido e privo di rischi di errore.
1. Limita i tentativi di accesso utilizzando un plug-in
Esistono diversi plug-in che consentono accessi limitati sul tuo sito WordPress. Allora come scegliere quello giusto?
Cerca un plug-in facile da configurare e che automatizzi il processo per te. Inoltre, assicurati che il tuo plug-in fornisca un rapporto sui tentativi che ha bloccato in modo da poter vedere se il plug-in funziona effettivamente.
Abbiamo selezionato MalCare Security Plugin per illustrare come limitare i tentativi di accesso al tuo sito. Soddisfa i requisiti che abbiamo elencato sopra. Va anche oltre la semplice limitazione dei tentativi di accesso e mantiene il tuo sito web sempre protetto.
Con MalCare, il tuo sito Web avrà un limite di tentativi di accesso basato su CAPTCHA. Ciò significa che se un utente inserisce le credenziali errate più di dieci volte, gli verrà richiesto di risolvere un CAPTCHA.
Dopo aver risolto il CAPTCHA, l'utente può tentare di accedere nuovamente. Oppure possono utilizzare la password dimenticata? opzione per recuperare le proprie credenziali.
Cominciamo:
Passaggio 1: installa MalCare sul tuo sito. Attiva il plugin e accedi dalla dashboard di WordPress.
Passaggio 2: inserisci il tuo indirizzo e-mail e seleziona Proteggi sito ora.
Passaggio 3: MalCare ti reindirizzerà alla sua dashboard indipendente dove eseguirà automaticamente una scansione del tuo sito web.
Passaggio 4: i tentativi di accesso limitati vengono abilitati automaticamente sul tuo sito. Ora, ti starai chiedendo come posso utilizzare WordPress per limitare i tentativi di accesso?
Se provi ad accedere con le credenziali sbagliate, ti verrà impedito di riprovare.
Quando selezioni Fai clic qui, ti verrà presentato un CAPTCHA in questo modo:
Dopo aver risolto il CAPTCHA, puoi accedere nuovamente al tuo sito. Nel caso in cui non ricordi le tue credenziali, puoi utilizzare la funzione Hai perso la password? opzione.
Questo è tutto. Hai limitato correttamente i tentativi di accesso al tuo sito web. Oltre a questo, MalCare erige anche un robusto firewall per impedire a eventuali bot dannosi o traffico dannoso di accedere al tuo sito. Fornisce un rapporto di tutti i tentativi di accesso. Puoi accedervi dalla dashboard:
Puoi vedere i tentativi falliti e i tentativi di accesso riusciti. Puoi anche vedere quelli che MalCare ha identificato come sospetti e bloccati automaticamente.
Ora, se un plug-in di WordPress non è il metodo per te, abbiamo spiegato in dettaglio come puoi implementare i tentativi di accesso limitati di WordPress senza un plug-in. Ma questo metodo è complesso e soggetto a errori, quindi procedi con cautela.
2. Limita manualmente i tentativi di accesso
Puoi aggiungere una protezione di accesso limitata al tuo sito inserendo manualmente uno snippet di codice in un file WordPress sul tuo sito. Tuttavia, dobbiamo avvertirti che ogni volta che apporti una modifica manuale a un file WordPress, rischi di danneggiare il tuo sito web . Il più piccolo degli errori porta a grandi problemi.
Se desideri procedere con questo metodo, ti consigliamo vivamente di eseguire un backup completo del tuo sito web. Nel caso in cui qualcosa vada storto, puoi ripristinare rapidamente la tua copia di backup e riportare il tuo sito alla normalità. Puoi eseguire facilmente un backup installando il plug-in di backup BlogVault sul tuo sito o scegliere uno dei migliori plug-in di backup.
Dopo aver installato una copia di backup, procedi nel seguente modo:
Passaggio 1: accedi al tuo account di hosting e accedi al tuo cPanel. Qui, seleziona File Manager.
Passo 2: Apri la cartella public_html (o la cartella in cui risiede il tuo sito web). Vai su wp-content > Temi.
Passaggio 3: seleziona la cartella del tema attivo. All'interno, individua il file functions.php . Per illustrare, il nome del nostro tema attivo è Personal Blogily, quindi abbiamo selezionato questa cartella.
Passaggio 4: fare clic con il pulsante destro del mouse e selezionare Modifica. Il file si aprirà e potrai apportare modifiche qui. Inserisci il seguente codice nel file:
funzione check_attempted_login( $utente, $nomeutente, $password ) {
if ( get_transient( 'attempted_login' ) ) {
$datas = get_transient( 'tentativo_login' );
if ( $datas['tried'] >= 3 ) {
$until = get_option( '_transient_timeout_' . 'attempted_login' );
$time = time_to_go( $until );
return new WP_Error( 'too_many_tried', sprintf( __( '<strong>ERROR</strong>: Hai raggiunto il limite di autenticazione, potrai riprovare tra %1$s.' ) , $time ) );
}
}
ritorna $utente;
}
add_filter( 'authenticate', 'check_attempted_login', 30, 3 );
funzione login_failed( $username ) {
if ( get_transient( 'attempted_login' ) ) {
$datas = get_transient( 'tentativo_login' );
$datas['provato']++;
if ( $datas['tried'] <= 3 )
set_transient( 'tentativo_login', $dati , 300 );
} altro {
$dati = matrice(
'provato' => 1
);
set_transient( 'tentativo_login', $dati , 300 );
}
}
add_action( 'wp_login_failed', 'login_failed', 10, 1 );
funzione time_to_go($timestamp)
{
// convertendo il timestamp mysql in ora php
$periodi = matrice(
"secondo",
"minuto",
"ora",
"giorno",
"settimana",
"mese",
"anno"
);
$lunghezze = matrice(
"60",
"60",
“24”,
“7”,
“4.35”,
“12”
);
$current_timestamp = tempo();
$differenza = abs($current_timestamp – $timestamp);
for ($i = 0; $differenza >= $lunghezze[$i] && $i < conteggio($lunghezze) – 1; $i ++) {
$differenza /= $lunghezze[$i];
}
$differenza = round($differenza);
if (asset($differenza)) {
se ($differenza != 1)
$periodi[$i] .= “s”; $output = “$differenza $periodi[$i]”;
Questo codice limiterà i tentativi di accesso a tre volte.
Passaggio 5: salva il file ed esci.
Una volta che questo codice è stato incorporato nel tuo sito web, gli utenti hanno tre tentativi per inserire le credenziali di accesso corrette. Se non lo fanno, verrà bloccato l'accesso al proprio account per un periodo di tempo temporaneo.
L'unico motivo per cui dovresti optare per questo metodo è se vuoi ridurre al minimo l'uso dei plugin sul tuo sito e abilitare la funzione da solo. Oltre a questo, è molto più sicuro e più facile utilizzare un plug-in per gestire questa attività per te.
Questo è tutto! Hai limitato con successo i tentativi di accesso al tuo sito e hai così impedito ad hacker e bot di accedere al tuo sito!
Leggi anche: Come risolvere i problemi di accesso non sicuro di WordPress
Dovresti limitare i tentativi di accesso sul tuo sito WordPress?
C'è sempre un lato positivo e uno negativo in tutto ciò che implementi sul tuo sito WordPress. Quindi, prima di procedere con l'abilitazione del limite di tentativi di accesso sul tuo sito, ti illustreremo i vantaggi e gli svantaggi. Questo ti aiuterà a determinare se questa funzione è adatta al tuo sito web.
Vantaggi del limite di tentativi di accesso
- Impedisci l'accesso non autorizzato
Limitando i tentativi di accesso al tuo sito, puoi impedire ad hacker e bot dannosi di forzare brutalmente la tua pagina di accesso e ottenere l'accesso.
Basta un blocco temporaneo per scoraggiare un bot e farlo allontanare dal tuo sito.
- Prevenire l'aumento del traffico e il crash del server
Come accennato, in un attacco di forza bruta, i bot tentano migliaia di combinazioni di nomi utente e password. Ad ogni tentativo, il bot invia una richiesta al tuo server web.
Il tuo server Web fornisce risorse per eseguire attività e funzioni sul tuo sito Web, comprese le richieste di accesso. Se un bot bombarda il tuo sito con migliaia di richieste in un minuto, può sovraccaricare il tuo server e causarne il crash.
Il tuo sito diventerà temporaneamente non disponibile per i visitatori.
- Impedisci la sospensione dell'host web
Il tuo server web ha risorse limitate per eseguire il tuo sito web. Se superi le tue risorse, il tuo server si sovraccarica.
Se utilizzi un piano di hosting condiviso, ciò può influire su altri siti Web che si trovano sullo stesso server.
Quando i bot effettuano centinaia di tentativi di accesso, il tuo sito utilizza risorse del server eccessive. Ciò richiede al tuo provider di hosting di sospendere temporaneamente... il sito per evitare qualsiasi impatto su altri siti Web sul server. Lo fanno anche per proteggere i propri interessi.
Svantaggi del limite di tentativi di accesso
- Account bloccato: se dimentichi accidentalmente il nome utente e la password, potresti essere bloccato fuori dal tuo account. Dovresti seguire un processo di verifica per recuperare la tua password che potrebbe richiedere del tempo.
Questo è l'unico imbroglio che ci viene in mente. Non c'è nessun altro motivo per cui non dovresti implementare la protezione dell'accesso sul tuo sito. Se stai cercando un'alternativa ai tentativi di accesso con limite di WordPress, puoi provare l'autenticazione a 2 fattori. Questo proteggerà anche la tua pagina di accesso di WordPress. MalCare ha lanciato una versione beta dell'autenticazione a 2 fattori oppure puoi utilizzare Google Authenticator per questo.
Detto questo, i tentativi di accesso limitati di WordPress sono facili da implementare e proteggono il tuo sito dagli hacker. Possiamo vedere che i pro superano di gran lunga i contro quando si tratta di limitare i tentativi di accesso e proteggere il tuo sito web.
Pensieri finali
WordPress è il CMS (Content Management System) più diffuso al mondo. Ma questa popolarità attira l'attenzione degli hacker.
I siti WordPress sono costantemente presi di mira dagli hacker. Quindi è ancora più importante adottare ampie misure di sicurezza sul tuo sito. Dato che la pagina di accesso di WordPress è la pagina più attaccata, limitare i tentativi di accesso è un buon punto di partenza.
Se desideri proteggere ulteriormente la tua pagina di accesso di WordPress, potresti trovare utili queste risorse:
Sicurezza dell'accesso a WordPress
Pagina di accesso protetta da password con autenticazione HTTP
Proteggi il tuo sito WordPress dagli attacchi di forza bruta
Autenticazione a due fattori
Se stai cercando una soluzione di sicurezza completa, semplice ma robusta, ti consigliamo di utilizzare il plug-in MalCare. Esegue regolarmente la scansione del tuo sito, imposta un potente firewall, limita i tentativi di accesso e ti avvisa se c'è qualcosa di sospetto. Protegge il tuo sito 24 ore su 24.
Proteggi il tuo sito WordPress dagli hacker con MalCare!