Vai al contenuto principale

Attacco brute force: quando provano a forzare il tuo login WordPress

Migliaia di tentativi di accesso al secondo, tutti automatizzati. L'attacco brute force è il metodo più usato per entrare nel pannello di amministrazione WordPress.

Cos'è

Come funziona un attacco brute force su WordPress

Un attacco brute force è concettualmente semplice: un software automatico prova migliaia di combinazioni di username e password sulla pagina di login del tuo WordPress (/wp-login.php o /wp-admin) fino a trovare quella giusta.

Non è un attacco sofisticato, ma è estremamente efficace contro siti con password deboli. I bot utilizzano enormi elenchi di password rubate da altri data breach (attacco "credential stuffing") o combinazioni comuni come "admin/admin", "admin/123456", "admin/password".

Un singolo bot può tentare centinaia di combinazioni al minuto. E il tuo sito WordPress non è l'unico bersaglio: gli stessi bot attaccano simultaneamente migliaia di siti. Se la tua password è debole, è solo questione di tempo prima che venga trovata.

16%
degli attacchi WP è brute force
14M
attacchi brute force al giorno
admin
username più tentato
5sec
tempo per craccare "123456"
I rischi

Cosa succede quando un attacco brute force ha successo

L'hacker diventa amministratore

Con le credenziali admin, l'attaccante ha accesso completo: può installare malware, backdoor, creare nuovi utenti nascosti, modificare i contenuti o cancellare tutto il sito.

Il server viene sovraccaricato

Anche quando l'attacco non riesce, i migliaia di tentativi consumano enormi risorse del server. Il sito diventa lento per tutti i visitatori e l'hosting potrebbe sospendere il tuo account.

Ti ritrovi chiuso fuori

Una volta entrato, l'hacker cambia la password admin, l'email di recupero e installa plugin che lo mantengono connesso. Tu perdi completamente l'accesso al tuo stesso sito.

Il sito entra in una botnet

Il tuo sito compromesso viene usato per attaccare altri siti WordPress, inviare spam o effettuare attacchi DDoS. Il tuo dominio e IP finiscono nelle blacklist internazionali.

La protezione

Come proteggiamo il tuo WordPress dagli attacchi brute force

Nel nostro intervento di hardening implementiamo una serie di barriere che rendono l'attacco brute force praticamente impossibile.

Scopri i Pacchetti
  • Autenticazione a due fattori (2FA) — Anche se qualcuno indovina la password, non può entrare senza il codice generato dal tuo telefono. È la difesa più efficace in assoluto.
  • Limite ai tentativi di login — Dopo un certo numero di tentativi falliti, l'IP viene bloccato automaticamente. I bot non possono più provare combinazioni.
  • URL di login personalizzato — Spostiamo la pagina di login da /wp-admin a un indirizzo che solo tu conosci. I bot cercano automaticamente l'URL standard e non trovano nulla.
  • Firewall applicativo (WAF) — Blocchiamo il traffico malevolo a livello server prima ancora che raggiunga la pagina di login, filtrando bot e IP noti per attacchi.

Il tuo WordPress subisce tentativi di accesso continui?

Blindiamo il tuo pannello admin con protezioni professionali. Contattaci per una consulenza gratuita.

Richiedi Intervento Immediato Vedi i Pacchetti
Approfondisci

Altre tipologie di attacco WordPress

Cross-Site Scripting

Script malevoli che colpiscono i visitatori del tuo sito.

Malware

Codice malevolo iniettato nei file o nel database del tuo sito.

Redirect Hack

Il sito reindirizza i visitatori verso pagine spam o pericolose.

Backdoor

Accessi nascosti che permettono di rientrare dopo una pulizia.

Attacco DDoS

Il sito reso irraggiungibile da un'ondata di traffico artificiale.

Spam SEO

Pagine in giapponese, link nascosti e contenuti farmaceutici nel sito.