limitare i tentativi di accesso wordpress
Perché ridurre i tentativi di accesso fin da subito (e non quando avremo tempo)
Se il tuo sito riceve decine (o migliaia) di tentativi di accesso non riusciti, di solito non è un bug né un improvviso picco di interesse: spesso si tratta di un attacco brute force, automatizzato, che prova in loop credenziali comuni. Il problema non è solo il rischio di compromissione dell’account amministratore. A forza di martellare wp-login.php e xmlrpc.php, questi bot consumano risorse del server, possono rallentare il sito, provocare errori 5xx, oppure innescare blocchi presso l’hosting (CPU/IO). Risultato: perdita di disponibilità, esperienza utente degradata e, talvolta, calo delle prestazioni SEO se il sito diventa instabile.
L’obiettivo è quindi duplice: (1) rendere molto più difficile prendere il controllo di un account e (2) diminuire la superficie d’attacco e il carico generato da questi tentativi. Per riuscirci, la strategia più efficace combina limitazione del numero di tentativi, irrobustimento degli account e regole di rete (firewall, blocchi, whitelist).
Implementare una limitazione dei tentativi: lo strato anti-brute force indispensabile
La misura più semplice e più conveniente consiste nel limitare il numero di fallimenti consentiti in un dato periodo, quindi imporre un tempo di blocco (temporaneo o progressivo). In pratica, invece di lasciare che un bot provi 1000 password, lo fermi dopo 3-10 tentativi e lo metti in timeout per 15 minuti, 1 ora, o perfino 24 ore se i fallimenti si ripetono.
Questo approccio non impedisce a un attaccante molto determinato di riprovare su un lungo periodo, ma rende l’attacco lento, costoso e spesso inutile. Protegge anche le risorse del server interrompendo il ritmo delle richieste malevole.
Scegliere un plugin dedicato (semplice, efficace, tracciabile)
Su WordPress, l’opzione più comune è installare un plugin che gestisce: il contatore dei fallimenti, il blocco, la durata del blocco, le notifiche e, talvolta, la whitelist degli IP. Un riferimento molto utilizzato è Limit Login Attempts Reloaded – sicurezza di accesso …. In genere consente di definire una soglia di tentativi, applicare blocchi progressivi e avere visibilità sugli IP bloccati.
Prima di attivare un plugin del genere su un sito in produzione (soprattutto se hai un team, un accesso via VPN o connessioni da più luoghi), testa la configurazione per evitare di bloccarti da solo. Una policy sbagliata può penalizzare utenti legittimi (password inserita male, tastiera in QWERTY/AZERTY, browser che compila automaticamente una vecchia password, ecc.).
Testare la configurazione senza spararsi sui piedi
La regola d’oro: testa in ambiente di preproduzione se possibile e prevedi sempre un piano di emergenza (accesso FTP/SSH o account amministratore alternativo). Se ti serve un metodo rigoroso, usa un processo di validazione prima della messa online, come descritto qui: validare un plugin in condizioni reali. Questo ti aiuta a verificare i casi concreti: errori di inserimento, accessi da mobile, IP variabili e interazioni con una cache o un firewall.
Per saperne di più sui nostri servizi di manutenzione di siti WordPress
Impostazioni consigliate: un equilibrio tra sicurezza ed ergonomia
Non esiste un’impostazione universale, ma ecco una base pragmatica che va bene per molti siti:
• Massimo 5 tentativi in 5-15 minuti
• Blocco di 15-60 minuti dopo il superamento
• Blocco più lungo (6-24h) dopo diversi cicli di superamento
• Registrazione degli IP e degli identificativi tentati (se disponibile)
• Notifiche email solo su soglie elevate (per evitare lo spam)
Se il tuo sito ha un numero importante di collaboratori (redattori, autori), sii un po’ più flessibile sulla soglia, ma compensa con un’autenticazione forte (vedi la sezione 2FA più in basso). Se il tuo back-office è utilizzato solo da 1 a 3 persone, puoi essere più rigoroso.
Irrigidire l’accesso: ridurre le porte d’ingresso, non solo contare i fallimenti
Limitare i tentativi è essenziale, ma è solo un livello. Per ridurre davvero il rischio, bisogna anche diminuire la probabilità che un bot arrivi su una pagina di accesso sfruttabile e che possa indovinare un nome utente/password plausibile.
Cambiare le abitudini pericolose: nome utente admin, password deboli, account dimenticati
Molti attacchi riescono non grazie a tecniche sofisticate, ma perché i fondamentali vengono trascurati. Verifica:
• Nessun account amministratore con un nome utente evidente (admin, webmaster, test, demo).
• Password lunghe (almeno 14–16 caratteri) e uniche.
• Eliminazione o declassamento degli account che non hanno più bisogno di accesso.
• Revisione dei ruoli (un redattore non ha bisogno di essere amministratore).
A questo punto, la limitazione dei tentativi diventa davvero efficace: anche se un bot rallenta, non incapperà nella password giusta per caso.
Attivare un’autenticazione a due fattori (2FA)
Il 2FA aggiunge un passaggio (app di autenticazione, chiave hardware, email, ecc.). Anche se una password viene divulgata, l’attaccante resta bloccato. Su un sito professionale, è una misura molto conveniente. Idealmente, imponila ad amministratori ed editori, e lasciala facoltativa per i ruoli meno sensibili.
Proteggere l’URL di accesso e le interfacce esposte (wp-login, XML-RPC, REST)
I bot spesso prendono di mira /wp-login.php e /xmlrpc.php. A seconda del tuo utilizzo, puoi ridurre la superficie d’attacco.
Nascondere o spostare l’accesso al modulo
Spostare l’URL di accesso (o aggiungere un passaggio di convalida) può ridurre il rumore, perché molti bot provano solo i percorsi predefiniti. Questo non sostituisce una vera sicurezza, ma diminuisce i tentativi automatici di massa. Attenzione: questo può influire su alcuni strumenti (applicazioni, integrazioni) e deve essere documentato per il team.
Disattivare XML-RPC se non lo usi
XML-RPC serve per alcune integrazioni (app mobili, Jetpack, pubblicazione remota). Se non ne hai bisogno, disattivarlo può eliminare un vettore d’attacco e ridurre i tentativi di login indiretti. Se ne hai bisogno, proteggilo tramite firewall (WAF) e regole di limitazione.
Mettere un firewall applicativo (WAF) e regole di rete: lo strato che alleggerisce il server
Un WAF (a livello di plugin, CDN o provider di hosting) filtra una parte delle richieste prima che consumino troppe risorse WordPress/PHP. È particolarmente utile quando gli attacchi sono voluminosi. Un buon WAF può:
• Bloccare paesi o intervalli IP (se pertinente per la tua attività).
• Rilevare pattern di bot e sottoporli a challenge (JS challenge, captcha).
• Applicare limiti di velocità (rate limiting) su wp-login.php.
• Bloccare user-agent sospetti o richieste anomale.
Da combinare con la limitazione dei tentativi: il WAF riduce il traffico dannoso e il plugin gestisce ciò che passa comunque.
Monitorare e interpretare i log: agire sui fatti, non sulle impressioni
Per migliorare in modo duraturo la protezione, bisogna guardare i segnali: quali IP ritornano, quali identificativi vengono testati, a che ore, tramite quali endpoint. Se constati che 95% dei tentativi proviene da una manciata di indirizzi, il blocco a livello di rete diventa molto conveniente. Se invece è molto distribuito, un WAF e regole di rate limiting sono più adatti.
Una risorsa utile per comprendere gli approcci comuni e le opzioni possibili è Limitare i tentativi di accesso su WordPress, che descrive diversi modi di gestire queste protezioni nella quotidianità.
Evitare effetti collaterali: cache, proxy, VPN, IP condivisi
La limitazione per IP può avere effetti indesiderati:
• In azienda, più persone possono condividere un IP pubblico: un utente che sbaglia può bloccare tutti.
• Con una VPN, l’IP può cambiare spesso o essere condiviso.
• Dietro alcuni proxy/CDN, l’IP visibile da WordPress non è quello corretto se l’intestazione del client non viene trasmessa correttamente.
Per evitare questi rischi: configurate correttamente gli IP attendibili (reverse proxy), usate le whitelist con prudenza e privilegiate il 2FA per mettere in sicurezza senza penalizzare il team. E soprattutto, documentate le procedure di sblocco (chi può sbloccare, come, in quanto tempo).
Per saperne di più sui nostri servizi di manutenzione di siti WordPress
Pensare alla manutenzione: la sicurezza di accesso dipende anche dal resto del sito
Limitare i tentativi è un ottimo inizio, ma la sicurezza si degrada rapidamente se WordPress, i temi e i plugin non vengono mantenuti. Una vulnerabilità in un plugin può aggirare le protezioni di login o creare un nuovo punto d’ingresso (upload, injection, account creati al volo, ecc.).
Oltre al rischio di hacking, un sito non mantenuto può anche soffrire in termini di prestazioni e visibilità. Per comprendere l’impatto globale, consultate le conseguenze di un sito non seguito sulla SEO.
Aggiornare senza rompere: tema, plugin, compatibilità
Gli aggiornamenti di sicurezza sono indispensabili, ma devono essere gestiti correttamente. Un tema mal progettato o troppo vincolato può rendere rischiosi gli aggiornamenti e spingere a rimandare le patch. Se esitate sulla strategia a lungo termine, questo confronto aiuta a inquadrare le questioni: scegliere bene tra un design su misura e una soluzione premium.
Prevedere gli incidenti: quando troppi blocchi finiscono per bloccare voi
Un irrigidimento dell’accesso deve sempre prevedere uno scenario da giorno nero: voi (o un cliente) siete bloccati, il sito è sotto attacco e dovete riprendere il controllo rapidamente. Alcuni riflessi:
• Avere un accesso di amministrazione alternativo (account secondario sicuro) o un accesso al server (SFTP/SSH).
• Sapere come disattivare un plugin di sicurezza tramite la directory wp-content/plugins se necessario.
• Backup operativi (e testati) per tornare indietro se una modifica ha un effetto domino.
E se, durante un intervento, vi imbattete in un guasto critico (schermo bianco, errori), il problema può talvolta essere più profondo di un semplice blocco. Per esempio, un errore legato allo storage può impedire qualsiasi accesso al back-office. Tenete a portata di mano una procedura chiara come questa guida alla risoluzione dei problemi del database per ripristinare l’accesso senza improvvisare.
Buone pratiche anti-rumore per ridurre drasticamente gli attacchi
In aggiunta, alcune misure riducono il volume dei tentativi, anche se non sono tutte indispensabili:
• Disattivare l’indicizzazione delle pagine di accesso non necessarie ed evitare di esporre indizi sugli account.
• Rinominare l’utente pubblico visualizzato (autore) se questo rivela l’identificativo di accesso.
• Implementare header di sicurezza e irrobustire i permessi dei file.
• Installare un sistema di rilevamento delle intrusioni (a seconda del vostro livello di maturità) e ricevere avvisi sugli eventi importanti.
Quale combinazione scegliere in base al vostro tipo di sito?
Sito vetrina (1–2 admin)
Limitazione rigorosa (pochi tentativi), 2FA obbligatoria, WAF/anti-bot, aggiornamenti regolari. Lista bianca possibile se avete IP fissi.
Sito editoriale (più autori)
Limitazione moderata, 2FA almeno per admin/editori, monitoraggio dei log, procedure interne di sblocco.
E-commerce / sito ad alto valore
Limitazione + WAF + 2FA, regole di rete avanzate, monitoring, hardening degli endpoint e politica di manutenzione rigorosa (test, preprod, rollback).
Far durare la protezione: costi, rischi e organizzazione
Ciò che fallisce più spesso non è la tecnica, è la continuità: plugin non aggiornato, impostazioni dimenticate, account mantenuti per ogni evenienza, avvisi ignorati. La sicurezza di accesso deve integrarsi in un ciclo di manutenzione con revisioni regolari (account, ruoli, log, aggiornamenti, backup).
Per arbitrarsi in modo realistico tra il tempo investito e gli impatti possibili, questo contenuto aiuta a inquadrare l’argomento: valutare il rapporto tra budget e rischi.
Conclusione: una protezione efficace è una strategia a strati
Per ridurre davvero gli attacchi di accesso, non limitatevi a una sola impostazione. Combinate una limitazione dei tentativi (con soglie ragionevoli), un’autenticazione forte (2FA), un rafforzamento degli account (credenziali e ruoli) e una protezione di rete (WAF/rate limiting) quando il volume lo giustifica. Aggiungete a ciò una manutenzione regolare, test prima del rilascio e un piano di emergenza, e trasformerete un punto d’ingresso fragile in un’area ben controllata.
Se preferite delegare l’implementazione, il monitoraggio e le regolazioni (avvisi, aggiornamenti, controlli, intervento in caso di incidente), potete vedere le soluzioni di manutenzione proposte.
