Un attacco a forza bruta su WordPress si ha quando un potenziale hacker cerca di ottenere l’accesso al vostro pannello di amministrazione effettuando una serie di tentativi di login provando tutte le combinazioni user/password a disposizione. Naturalmente dopo aver tentato le più scontate (admin/admin, admin/pass, admin/123456…) utilizzerà un software generatore di password che, state sicuri, saturerà ben presto le risorse che il vostro piano hosting vi mette a disposizione.
Quando un attacco a forza bruta proviene da un solo indirizzo IP, la soluzione ideale è installare il plugin Limit Login Attempts (lo mettiamo di default in un’installazione di Softaculous). Ma se l’attaccante ha a disposizione un vasto arsenale di indirizzi IP, ecco che il plugin in questo caso diviene inutile. Come fare allora a proteggere WordPress dagli attacchi a forza bruta distribuiti?
Passo 1
Aggiornare TUTTI i temi e plugin, così come la versione di WordPress (ad oggi la più aggiornata è la 3.9).
Passo 2
Adesso che il sito sta utilizzando WordPress 3.9, installate il plugin seguente:
http://wordpress.org/plugins/rename-wp-login/
Potete cercarlo dalla vostra bacheca di WordPress facendo clic sul menu “Plugins” > “Aggiungi nuovo”. A questo punto cercate “rename wp-login” nel riquadro:
Passo 3
Non appena WordPress ha terminato l’installazione del plugin, attivatelo facendo clic sul tasto “Attiva Plugin”.
Passo 4
Se avete seguito tutti i passi correttamente, dovreste essere redirezionati alla pagina delle impostazioni sui permalink. Dovrete scorrerla fino al fondo e cercare l’opzione “Login url”. Vedrete l’indirizzo del vostro sito e un campo da riempire per impostare il nuovo indirizzo di login. In questo caso è stato scelto “bloglogin” – vi raccomandiamo di scegliere qualcosa di unico che vi ricorderete.
Passo 5
Occorre un ultimo passo, perchè adesso ogni visita verso il vecchio file /wp-login.php causerà un errore 404 (pagina non trovata). Aggiungete dunque il seguente codice all’inizio del vostro file .htaccess dell’installazione di WordPress. Potete procedere via FTP oppure via File Manager del vostro cPanel, assicuratevi soltanto di selezionare l’opzione ‘Show Hidden Files’ in modo da poter vedere il vostro .htaccess.
<FilesMatch "wp-login.php">
Deny from All
ErrorDocument 403 "Forbidden"
</FilesMatch>
Questo codice bloccherà tutte le richieste verso il file wp-login.php, in quanto non dovrebbero essere effettuate richieste su questo file dato che l’indirizzo è stato modificato. Ciò proteggerà il vostro account evitando attacchi a forza bruta verso le vostre installzioni di WordPress, riducendo così il volume delle esecuzioni PHP a cui il vostro account sarà sottoposto.
Grazie, finalmente un metodo che funziona al 100% contro gli attacchi bruteforce !