Come limitare i tentativi di accesso in WordPress?

Nel nostro articolo precedente, abbiamo spiegato diversi modi per fermare gli attacchi di forza bruta nel sito WordPress. Rispetto a tutte le altre opzioni, limitare i tentativi di accesso della tua pagina di accesso di WordPress è uno dei modi più efficaci per proteggere il tuo sito. La maggior parte degli utenti pensa che questo sia un compito difficile e non fa abbastanza per migliorare la sicurezza del proprio sito web. Ciò è dovuto principalmente al fatto che può essere lungo, costoso e decisamente difficile. Ma cosa succede se ti dicessimo che puoi limitare i tentativi di accesso nel tuo sito WordPress in meno di 10 minuti utilizzando un plug-in. Continua a leggere per sapere come puoi farlo.

Perché limitare i tentativi di accesso in WordPress?

WordPress offre un semplice modulo di accesso a cui è possibile accedere aggiungendo il suffisso /wp-admin/ o /wp-login.php all'URL del tuo sito web. Sebbene sia possibile modificare questo URL utilizzando un plug-in, potrebbe creare altri problemi poiché molti plug-in di WordPress utilizzano la stessa pagina di accesso per accedere alla dashboard. Di seguito sono riportati alcuni tipi di plug-in che potrebbero utilizzare la pagina di accesso di WordPress:

• Plugin per negozi online come WooCommerce
• Plugin di abbonamento ai contenuti
• Plugin di appartenenza

Non sembrerà professionale fornire un URL o una password personalizzati ai tuoi clienti paganti. Pertanto, l'opzione migliore è limitare i tentativi di accesso che consentiranno ai tuoi clienti di accedere al tuo sito limitando allo stesso tempo i bot automatici.

Inoltre, il blocco dei bot farà risparmiare larghezza di banda del server che può essere utilizzata per servire i visitatori reali del tuo sito.

Limita i tentativi di accesso ricaricato Plugin

La nostra soluzione a questo problema si presenta sotto forma di Limit Login Attempts Reloaded Plugin. È senza dubbio il miglior plug-in di WordPress per limitare i tentativi di accesso ed è abbastanza facile da configurare e implementare.

• Apri il tuo portale di amministrazione di WordPress e vai alla sezione "Plugin > Aggiungi nuovo".
• Basta digitare "limit login" nella casella di ricerca per trovare l'elenco dei plug-in pertinenti.
• Trova il plug-in Limite tentativi di accesso Reloaded nei risultati di ricerca, fai clic su "Installa", quindi fai clic su "Attiva" subito dopo, come mostrato nello screenshot qui sotto.

Pannello di controllo del plugin

Dopo l'installazione e l'attivazione, troverai un nuovo menu elencato nella barra laterale della dashboard di WordPress con il nome "Limita i tentativi di accesso". Fare clic su quel menu per accedere al pannello di controllo del plugin. In alternativa, puoi anche accedere alla pagina da "Impostazioni > Limita tentativi di accesso", come mostrato nello screenshot qui sotto.

Entrando nella pagina, vedrai la sezione dashboard del plugin. Qui potrai avere una panoramica generale di tutto e monitorare quanto segue:

• Visualizza il numero totale di tentativi di accesso falliti sul tuo sito web in un formato rappresentato graficamente sotto forma di grafico a torta e grafico a barre.
• Esegui l'upgrade alla versione premium del plugin. Sebbene la versione gratuita del plug-in sarà più che adeguata per la maggior parte degli utenti, se si verificano prestazioni ridotte del sito Web dopo l'installazione del plug-in, l'aggiornamento a premium dovrebbe risolvere questo problema poiché il plug-in inizierà ad assorbire gli attacchi di forza bruta nel cloud server anziché localmente. Avrai anche supporto 24 ore su 24, backup automatico di tutti i dati e limitazione avanzata su altre cose.
• Visualizza statistiche interessanti come i tentativi di accesso falliti da parte dei paesi su base giornaliera.

Configura le impostazioni del plugin

Fare clic sulla scheda delle impostazioni per effettuare configurazioni e modifiche specifiche alle impostazioni di accesso predefinite di WordPress. In questa pagina potrai apportare le seguenti modifiche:

• Notifica in caso di blocco: un indirizzo e-mail inserito verrà notificato ogni volta che il sito Web è stato bloccato a causa di più tentativi di accesso non riusciti. Per impostazione predefinita, il plug-in avviserà via e-mail dopo 3 blocchi, ma puoi cambiarlo in ogni blocco inserendo "1" anziché 3 come mostrato di seguito.

• Impostazioni di blocco: in questa sezione è possibile apportare le seguenti modifiche alla sicurezza:
  • Tentativi consentiti: questo è il numero di volte in cui puoi tentare di accedere al portale di amministrazione del sito web. Il valore predefinito del plugin qui è 4 ma 2 o 3 saranno migliori dal punto di vista della sicurezza.
  • Blocco minuti: questa è la durata in cui il portale di amministrazione del sito Web sarà inaccessibile. Il valore predefinito di 20 minuti è appropriato secondo noi, ma puoi anche apportare modifiche secondo le tue preferenze.

• I blocchi aumentano il tempo di blocco: si riferisce essenzialmente a ciò che accadrà dopo più blocchi. Ad esempio, in base alle impostazioni predefinite del plug-in, dopo 4 blocchi, la durata del blocco passerà a 24 ore da 20 minuti.
• I tentativi vengono reimpostati: il valore immesso determinerà il tempo necessario prima che i tentativi vengano reimpostati e l'utente possa tentare di accedere nuovamente.
• Origini IP affidabili: se disponi di origini specifiche di cui ti fidi, puoi inserirle qui separate da virgole. Come il plug-in, ti consigliamo anche di utilizzare l'origine REMOTE_ADDR predefinita poiché altre origini possono essere facilmente falsificate.

Dopo aver inserito le impostazioni specifiche per il plug-in, non dimenticare di fare clic su "Salva impostazioni" per attivare la configurazione.

Visualizzazione dei registri

Inoltre, dalla scheda dei registri, sarai in grado di visualizzare i blocchi totali fino a quel momento e di elencare manualmente gli intervalli IP o IP che desideri bloccare o inserire nell'elenco di indirizzi attendibili.

Guarda il plugin in azione

Quindi, ora che abbiamo configurato il plugin, vediamo come funziona effettivamente. Esci dal portale di amministrazione di WordPress e quando sei nella pagina di accesso, inserisci un nome utente e una password non validi per testare il plug-in. Come puoi vedere, il plugin mostra chiaramente quanti tentativi hai prima che il sito blocchi il tuo indirizzo IP. Vedrai un messaggio come "3 tentativi rimanenti" poiché abbiamo configurato per limitare l'accesso con 3 tentativi non validi.

Se continui a inserire un nome utente o una password errati, incontrerai uno stato di blocco come mostrato nello screenshot qui sotto. In questa situazione, non sarai in grado di inviare un'altra richiesta di accesso fino alla scadenza della durata del blocco, in questo caso 20 minuti. Infatti, anche se invii le credenziali corrette, il plug-in non ti consentirà di accedere durante questo periodo di blocco.

Parole finali

Consigliamo vivamente di limitare i tentativi di accesso al tuo sito WordPress, soprattutto se non stai utilizzando alcuna funzione di registrazione. È possibile monitorare la statistica degli accessi non riusciti per comprendere l'origine degli attacchi. Se necessario, è possibile aumentare la durata del blocco o bloccare permanentemente gli indirizzi IP per aumentare la sicurezza. Tuttavia, evita di utilizzare troppe restrizioni quando hai clienti paganti che accedono tramite il modulo di accesso predefinito di WordPress.