- Domini
- Hosting SSD
- Rivenditori
- XVPS
Hosting Dedicato Professionale
- Cloud Server
Hosting Dedicato Enterprise
MANAGED
- Servizi di Posta
- SSL
- Contatti
ASSISTENZA
Protezione contro attacchi DDOS ai file XMLRPC e WP-LOGIN
Chiunque possieda un sito creato con Wordpress ha dovuto affrontare, almeno una volta, un brute force attack verso i file xmlrpc.php e wp-login.php il cui scopo è scovare le credenziali di accesso al sito.
Questi "attacchi" possono durare alcuni minuti rendendo il sito molto lento o quasi irraggiungibile con grave danno per il proprietario.
Vi sono principalmente 2 modi per bloccare questi "attacchi" inibendo o restringendo l'accesso al file stesso:
Inserire queste poche righe di codice nel proprio file .htaccess
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>
Utilizzando uno dei tanti plugin messi a disposizione dagli sviluppatori di Wordpress
https://wordpress.org/plugins/disable-xml-rpc/
https://it.wordpress.org/plugins/search/xml+rpc
Prima di installare un plugin suggeriamo di verificare che venga aggiornato con frequenza dallo sviluppatore e che sia compatibile per l'ultima versione di Wordpress.
Per bloccare gli accessi indesiderati e gli attacchi ci sono molte soluzioni:
Non utilizzare lo username admin
è lo user più utilizzato per collegarsi all'Area Amministratore di un sito web; consigliamo di sostituirlo con uno username meno comune.
Creare password molto forti
eventualmente utilizzando plugin che generino password random.
Proteggere l'accesso al file wp-login.php tramite .htaccess
è possibile effettuare questa operazione in 2 modi:
- tramite il nostro pannello di controllo cPanel cliccando sul link "Privacy Directory", cliccare sul simbolo della directory a sinistra della "public_html", cliccare quindi sul file "wp-login.php" e seguire le indicazioni per inserire user e password;
- modificare manualmente il proprio file .htaccess (questa opzione è consigliata solo agli utenti più esperti).
Utilizzare uno dei tanti plugin per mascherare l'url di accesso all'area amministrativa
https://it.wordpress.org/plugins/search/wp-login/
https://it.wordpress.org/plugins/wps-hide-login/
https://it.wordpress.org/plugins/search/login+attack/
Raccomandiamo la massima cura nella scelta del plugin che deve essere costantemente aggiornato dallo sviluppatore e compatibile con l'ultima versione di Wordpress, per evitare di introdurre sul proprio sito nuove vulnerabilità ottenendo l'effetto esattamente contrario a quello desiderato.
Questi "attacchi" possono durare alcuni minuti rendendo il sito molto lento o quasi irraggiungibile con grave danno per il proprietario.
XMLRPC Attack
Il file xmlrpc.php nasce con lo scopo permettere l'accesso al sito da parte di applicazioni sviluppate per i dispositivi mobili o da altri siti web e può contenere le credenziali di accesso al proprio sito.Vi sono principalmente 2 modi per bloccare questi "attacchi" inibendo o restringendo l'accesso al file stesso:
Inserire queste poche righe di codice nel proprio file .htaccess
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>
Utilizzando uno dei tanti plugin messi a disposizione dagli sviluppatori di Wordpress
https://wordpress.org/plugins/disable-xml-rpc/
https://it.wordpress.org/plugins/search/xml+rpc
Prima di installare un plugin suggeriamo di verificare che venga aggiornato con frequenza dallo sviluppatore e che sia compatibile per l'ultima versione di Wordpress.
WP-LOGIN Attack
Il file wp-login.php serve per collegarsi al pannello di controllo del proprio Wordpress.Per bloccare gli accessi indesiderati e gli attacchi ci sono molte soluzioni:
Non utilizzare lo username admin
è lo user più utilizzato per collegarsi all'Area Amministratore di un sito web; consigliamo di sostituirlo con uno username meno comune.
Creare password molto forti
eventualmente utilizzando plugin che generino password random.
Proteggere l'accesso al file wp-login.php tramite .htaccess
è possibile effettuare questa operazione in 2 modi:
- tramite il nostro pannello di controllo cPanel cliccando sul link "Privacy Directory", cliccare sul simbolo della directory a sinistra della "public_html", cliccare quindi sul file "wp-login.php" e seguire le indicazioni per inserire user e password;
- modificare manualmente il proprio file .htaccess (questa opzione è consigliata solo agli utenti più esperti).
Utilizzare uno dei tanti plugin per mascherare l'url di accesso all'area amministrativa
https://it.wordpress.org/plugins/search/wp-login/
https://it.wordpress.org/plugins/wps-hide-login/
https://it.wordpress.org/plugins/search/login+attack/
Raccomandiamo la massima cura nella scelta del plugin che deve essere costantemente aggiornato dallo sviluppatore e compatibile con l'ultima versione di Wordpress, per evitare di introdurre sul proprio sito nuove vulnerabilità ottenendo l'effetto esattamente contrario a quello desiderato.
