Benvenuti su Eurologon

Login Utente

Non ricordo la password
 
eurologon

Protezione contro attacchi DDOS ai file XMLRPC e WP-LOGIN



Chiunque possieda un sito creato con Wordpress ha dovuto affrontare, almeno una volta, un brute force attack verso i file xmlrpc.php e wp-login.php il cui scopo è scovare le credenziali di accesso al sito.

Questi "attacchi" possono durare alcuni minuti rendendo il sito molto lento o quasi irraggiungibile con grave danno per il proprietario.

XMLRPC Attack

Il file xmlrpc.php nasce con lo scopo permettere l'accesso al sito da parte di applicazioni sviluppate per i dispositivi mobili o da altri siti web e può contenere le credenziali di accesso al proprio sito.

Vi sono principalmente 2 modi per bloccare questi "attacchi" inibendo o restringendo l'accesso al file stesso:

Inserire queste poche righe di codice nel proprio file .htaccess
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>


Utilizzando uno dei tanti plugin messi a disposizione dagli sviluppatori di Wordpress
https://wordpress.org/plugins/disable-xml-rpc/
https://it.wordpress.org/plugins/search/xml+rpc

Prima di installare un plugin suggeriamo di verificare che venga aggiornato con frequenza dallo sviluppatore e che sia compatibile per l'ultima versione di Wordpress.

WP-LOGIN Attack

Il file wp-login.php serve per collegarsi al pannello di controllo del proprio Wordpress.

Per bloccare gli accessi indesiderati e gli attacchi ci sono molte soluzioni:

Non utilizzare lo username admin
è lo user più utilizzato per collegarsi all'Area Amministratore di un sito web; consigliamo di sostituirlo con uno username meno comune.

Creare password molto forti
eventualmente utilizzando plugin che generino password random.

Proteggere l'accesso al file wp-login.php tramite .htaccess
è possibile effettuare questa operazione in 2 modi:
- tramite il nostro pannello di controllo cPanel cliccando sul link "Privacy Directory", cliccare sul simbolo della directory a sinistra della "public_html", cliccare quindi sul file "wp-login.php" e seguire le indicazioni per inserire user e password;
- modificare manualmente il proprio file .htaccess (questa opzione è consigliata solo agli utenti più esperti).

Utilizzare uno dei tanti plugin per mascherare l'url di accesso all'area amministrativa
https://it.wordpress.org/plugins/search/wp-login/
https://it.wordpress.org/plugins/wps-hide-login/
https://it.wordpress.org/plugins/search/login+attack/

Raccomandiamo la massima cura nella scelta del plugin che deve essere costantemente aggiornato dallo sviluppatore e compatibile con l'ultima versione di Wordpress, per evitare di introdurre sul proprio sito nuove vulnerabilità ottenendo l'effetto esattamente contrario a quello desiderato.


contatti contatti posta professionale pec ripe ncc member accredited registar eu accredited registar it