Se gestisci un sito WordPress, devi sapere che ogni giorno migliaia di bot automatici tentano di forzare l’accesso ai pannelli di amministrazione di siti come il tuo. Gli attacchi brute force su WordPress<\/strong> sono una delle minacce pi\u00f9 diffuse e sottovalutate, eppure difendersi \u00e8 pi\u00f9 semplice di quanto pensi. In questa guida ti mostro passo passo come proteggere WordPress dagli attacchi brute force<\/strong> con metodi concreti e collaudati, dagli interventi pi\u00f9 rapidi fino alle protezioni avanzate a livello server. Alla fine saprai esattamente cosa fare per blindare il tuo sito, anche se non sei uno sviluppatore.<\/p>\n Un attacco brute force \u00e8 un tentativo sistematico di indovinare le credenziali di accesso provando migliaia (o milioni) di combinazioni di username e password. I bot automatici prendono di mira soprattutto la pagina wp-login.php<\/span>, il punto di ingresso standard di ogni installazione WordPress. Il motivo \u00e8 semplice: WordPress alimenta oltre il 43% di tutti i siti web nel mondo, il che lo rende il bersaglio pi\u00f9 appetibile per chi lancia attacchi su larga scala. Non \u00e8 una questione di dimensioni del tuo sito: se usi WordPress, sei un potenziale obiettivo.<\/p>\n Spesso un attacco brute force in corso passa inosservato, ma ci sono segnali chiari<\/strong> che dovresti imparare a riconoscere:<\/p>\n Se noti uno o pi\u00f9 di questi segnali, \u00e8 il momento di agire subito.<\/p>\n La prima difesa, e anche la pi\u00f9 immediata, \u00e8 limitare il numero di tentativi di login<\/strong> consentiti. Per impostazione predefinita WordPress non pone alcun limite, il che significa che un bot pu\u00f2 provare password all’infinito. Plugin come Limit Login Attempts Reloaded<\/strong> o Wordfence<\/strong> risolvono il problema in pochi clic:<\/p>\n Questa sola misura \u00e8 sufficiente a bloccare la stragrande maggioranza degli attacchi automatizzati. Se usi Wordfence, avrai anche il vantaggio di un firewall integrato che riconosce e blocca IP malevoli noti, offrendo una protezione aggiuntiva in tempo reale.<\/p>\n Anche la password pi\u00f9 complessa pu\u00f2 essere compromessa. L’autenticazione a due fattori<\/strong> aggiunge un secondo livello di verifica che rende praticamente impossibile l’accesso non autorizzato, anche se la password viene scoperta. Plugin come WP 2FA<\/strong> o Google Authenticator<\/strong> permettono di configurare il 2FA in pochi minuti:<\/p>\n Il 2FA \u00e8 una delle protezioni pi\u00f9 efficaci in assoluto: anche se qualcuno indovina la tua password, senza il codice dal tuo telefono non potr\u00e0 entrare.<\/p>\n Tutti i bot sanno che la pagina di login di WordPress si trova su wp-login.php<\/span>. Cambiare questo URL \u00e8 un modo semplice ma efficace per ridurre drasticamente i tentativi automatici. Il plugin WPS Hide Login<\/strong> ti permette di farlo senza toccare codice:<\/p>\n Ricordati di annotare il nuovo indirizzo in un luogo sicuro: se lo dimentichi, dovrai disattivare il plugin via FTP.<\/p>\n Per una protezione ancora pi\u00f9 solida, puoi aggiungere un blocco direttamente a livello server. Questo ferma i bot prima<\/strong> che raggiungano WordPress, alleggerendo il carico sul tuo hosting. Se usi Apache, aggiungi queste righe al file .htaccess<\/span> nella root del sito:<\/p>\n In questo modo, prima di vedere la pagina di login WordPress, il browser chieder\u00e0 una coppia di credenziali HTTP aggiuntive. In alternativa, puoi limitare l’accesso per IP<\/strong> se lavori sempre dalla stessa rete:<\/p>\n Queste misure sono pensate per utenti pi\u00f9 avanzati, ma rappresentano una barriera molto efficace contro gli attacchi automatizzati.<\/p>\n Sembra banale, ma un numero sorprendente di siti WordPress viene compromesso per colpa di credenziali deboli. Ecco le regole fondamentali:<\/p>\n Non sottovalutare nemmeno le password degli utenti con ruoli minori (editor, autore): un account compromesso pu\u00f2 essere il punto di partenza per scalare i privilegi. La combinazione di username imprevedibile e password forte elimina la quasi totalit\u00e0 dei rischi legati al brute force tradizionale.<\/p>\n Molti non sanno che xmlrpc.php<\/span> \u00e8 un vettore di attacco parallelo<\/strong> a wp-login.php. Questo file permette comunicazioni remote con WordPress ed \u00e8 spesso sfruttato per tentativi brute force multipli in una sola richiesta. Se non usi app esterne per pubblicare o Jetpack, puoi disabilitarlo in sicurezza. Il metodo pi\u00f9 rapido \u00e8 aggiungere questo snippet nel file functions.php<\/span> del tuo tema child:<\/p>\n In alternativa, bloccalo direttamente da .htaccess<\/span>:<\/p>\n Plugin come Disable XML-RPC<\/strong> offrono la stessa funzionalit\u00e0 con un clic, senza toccare codice. Considera che molti attacchi brute force moderni usano proprio XML-RPC perch\u00e9 permette di testare centinaia di password con una singola richiesta HTTP tramite il metodo system.multicall<\/span>, rendendo l’attacco molto pi\u00f9 efficiente rispetto a wp-login.php.<\/p>\n Se sospetti che il tuo sito sia stato violato a seguito di un attacco brute force, agisci immediatamente:<\/p>\n Gestire una compromissione richiede esperienza e rapidit\u00e0. Se non ti senti sicuro o vuoi la certezza di un intervento professionale, il team di SoccorsoWP<\/strong> \u00e8 specializzato proprio in questo: ripristino siti hackerati, messa in sicurezza e protezione preventiva. Apri un ticket<\/a> e ricevi assistenza immediata da tecnici che affrontano questi problemi ogni giorno.<\/p>\n","protected":false},"excerpt":{"rendered":" Come proteggere WordPress dagli attacchi brute force: guida completa Se gestisci un sito WordPress, devi sapere che ogni giorno migliaia di bot automatici tentano di…<\/p>\n","protected":false},"author":1,"featured_media":25601,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_seopress_robots_primary_cat":"","_seopress_titles_title":"Come proteggere WordPress dagli attacchi brute force: guida completa","_seopress_titles_desc":"Scopri come proteggere il tuo sito WordPress dagli attacchi brute force con metodi efficaci: limitare i tentativi di login, 2FA, cambiare URL wp-admin e molto altro.","_seopress_robots_index":"","footnotes":""},"categories":[1700],"tags":[],"class_list":{"0":"post-25600","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-sicurezza-wordpress"},"_links":{"self":[{"href":"https:\/\/soccorsowp.it\/blog\/wp-json\/wp\/v2\/posts\/25600","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/soccorsowp.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/soccorsowp.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/soccorsowp.it\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/soccorsowp.it\/blog\/wp-json\/wp\/v2\/comments?post=25600"}],"version-history":[{"count":0,"href":"https:\/\/soccorsowp.it\/blog\/wp-json\/wp\/v2\/posts\/25600\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/soccorsowp.it\/blog\/wp-json\/wp\/v2\/media\/25601"}],"wp:attachment":[{"href":"https:\/\/soccorsowp.it\/blog\/wp-json\/wp\/v2\/media?parent=25600"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/soccorsowp.it\/blog\/wp-json\/wp\/v2\/categories?post=25600"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/soccorsowp.it\/blog\/wp-json\/wp\/v2\/tags?post=25600"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Cosa sono gli attacchi brute force e perch\u00e9 colpiscono WordPress<\/h2>\n
I segnali che il tuo sito \u00e8 sotto attacco<\/h2>\n
\n
Limitare i tentativi di login con un plugin<\/h2>\n
\n
Attivare l’autenticazione a due fattori (2FA)<\/h2>\n
\n
Cambiare l’URL della pagina di login<\/h2>\n
\n
Proteggere wp-login.php a livello server<\/h2>\n
<Files wp-login.php>\nAuthType Basic\nAuthName \"Area riservata\"\nAuthUserFile \/percorso\/.htpasswd\nRequire valid-user\n<\/Files><\/pre>\n
<Files wp-login.php>\nOrder Deny,Allow\nDeny from all\nAllow from 123.456.78.90\n<\/Files><\/pre>\n
Usare password forti e username non prevedibili<\/h2>\n
\n
Bloccare l’accesso XML-RPC<\/h2>\n
add_filter('xmlrpc_enabled', '__return_false');<\/pre>\n<Files xmlrpc.php>\nOrder Deny,Allow\nDeny from all\n<\/Files><\/pre>\n
Cosa fare se il tuo sito \u00e8 gi\u00e0 stato compromesso<\/h2>\n
\n