WordPress: limitare i tentativi d’accesso

Con brute force si indica una modalità di attacco che tenta di individuare delle credenziali di accesso provando tutte le combinazioni alfanumeriche possibili. Per riuscire a portare a termine la loro missione (e non sempre riescono), gli algoritmi utilizzati dagli hacker hanno bisogno di una finestra temporale che varia in base alla complessità delle parole da individuare.

L’username e la password di un amministratore WordPress sono naturalmente un obiettivo appetibile per i malintenzionati anche perchè, di default, il CMS permette un numero illimitato di tentativi d’accesso. Nel tutorial di oggi vedremo come limitarli impostando dei semplici ma efficaci “lockout”. Buona lettura.

Installazione e setup del plugin

Accediamo alla bacheca WordPress e raggiungiamo la sezione dedicata alla ricerca ed installazione di nuovi plugin (Plugin, Aggiungi nuovo). Digitiamo “Limit Login Attempts Reloaded” e procediamo all’installazione ed attivazione del plugin.

Dal menu laterale andiamo ora su Impostazioni, Limit Login Attempts per visualizzare la seguente schermata:

Nella sezione “Lockout” sono presenti varie voci, nell’ordine:

• numero di tentativi consentiti prima del blocco dell’indirizzo IP;
• durata del blocco (in minuti) a seguito del superamento dei tentativi consentiti;
• numero di blocchi per medesimo IP che attivano l’estensione del periodo di lockout (nello screen +24 ore ogni 4 blocchi);
• numero di ore necessarie a resettare il conteggio dei tentativi effettuati.

Chiudono la rassegna gli indirizzi IP e gli username ai quali non dovrà essere applicata alcuna restrizione (Whitelisted – per non esporre il sito ad eventuali minacce, le credenziali whitelisted potrebbero essere infatti rubate, è meglio lasciare vuota la sezione) e gli indirizzi IP e gli username da bloccare immediatamente (Blacklisted).

Salviamo le impostazioni e verifichiamo il funzionamento del plugin inserendo delle credenziali di accesso errate:

Al prossimo tutorial.