Come limitare i tentativi di accesso a WordPress (e perché)

Gli attacchi automatizzati che puntano a indovinare le password di utenti e amministratori dei siti web non sono eventi rari che capitano solo ai più sfortunati ma processi che vanno avanti a oltranza prendendo di mira siti sempre diversi; si parla infatti di molte decine di miliardi di attacchi di questo tipo ogni anno – 55 miliardi bloccati solo da Wordfence nel 2024.

Ecco perché limitare i tentativi di accesso a WordPress è una delle buone pratiche per rendere il sito più sicuro che vale sempre la pena di implementare: richiede poco impegno e può evitare molte seccature.

Vedremo come farlo con il plugin WordPress più usato a questo scopo dopo averlo installato e configurato. Parleremo anche delle soluzioni alternative: plugin concorrenti, plugin di altro tipo, e modifiche al codice (solo per chi ha le giuste competenze tecniche).

Se segui questa guida, in un attimo il tuo sito sarà al riparo dai più comuni attacchi hacker a siti WordPress.

Perché limitare i tentativi di accesso a WordPress

Di base WordPress permette un numero infinito di tentativi di login da parte dello stesso utente e indirizzo IP; mentre i bot hanno tutto il tempo e la pazienza per provare ad accedere a un sito infinite volte, finché non ci riescono.

L’attacco brute force è una tecnica di hacking che consiste proprio in tentativi automatici di login effettuati a oltranza con combinazioni di username e password sempre diverse fino ad azzeccare quella corretta per accedere al sito. È per impedire ai bot di fare questo che sono nati i sistemi per limitare i tentativi di login su WordPress. 

L’hosting WordPress di SupportHost prevede un intrusion detection system che blocca per mezzora gli indirizzi IP che tentano più volte l’accesso con credenziali sbagliate; e offre la possibilità di configurare manualmente liste nere, e liste bianche per escludere gli IP degli amministratori.

Gli attacchi password guessing portano diversi tipi di problemi. Se l’attacco va in porto, gli hacker possono causare molti danni, ma ancor prima di riuscire a entrare possono rallentare il sito poiché sovraccaricano il server con richieste continue.

E questo è un altro aspetto di cui si occupano i plugin per limitare i tentativi di accesso a WordPress, in particolare nelle versioni premium.

Lati negativi della limitazione degli accessi

Non si può fare a meno di un sistema per limitare i tentativi di accesso a WordPress, però bisogna essere consapevoli di alcune criticità.

Anche se è raro, il controllo dei tentativi d’accesso potrebbe causare un rallentamento delle prestazioni in siti ad alto traffico o con impostazioni di blocco molto aggressive, perché comporta un lavoro extra per il server, che deve controllare ed eventualmente bloccare tutti gli IP da cui arrivano le richieste. 

Per lo stesso motivo, mentre protegge dagli attacchi brute force, il limite ai tentativi d’accesso potrebbe facilitare gli attacchi Denial of Service (DoS), che puntano a mandare i siti in down sovraccaricando il server.

C’è un altro piccolo effetto collaterale: se il limite di tentativi di accesso consentiti è basso, aumenta la probabilità di chiudere fuori dal sito anche i normali utenti che cercano di accedere al proprio profilo e commettono errori nel digitare le credenziali; con molta frustrazione per loro e più lavoro per te o per l’assistenza in quanto dovrete sbloccare gli account manualmente.

La maggior parte di questi aspetti negativi possono essere superati modificando le impostazioni o scegliendo una soluzione cloud, oppure passando a un hosting WordPress più efficiente. Ti sarà tutto più chiaro quando avrai letto questa guida sino alla fine.

Solo se non prendi le giuste precauzioni, il limite agli accessi potrebbe addirittura trasformarsi in un boomerang se gli hacker decidessero di effettuare tentativi di login multipli con il tuo nome utente e quello degli altri amministratori in modo da far scattare il blocco degli accessi ai vostri account.

Questo rischio si può ridurre drasticamente scegliendo nomi utente complessi, impostando pagine d’accesso all’amministrazione con URL non standard e applicando tutti gli accorgimenti per migliorare la sicurezza di WordPress.

Inoltre se mai il sistema per limitare i tentativi di accesso a WordPress dovesse chiuderti fuori dal tuo sito, la soluzione c’è e la vedremo tra non molto. 

Limitare i tentativi di accesso a WordPress con Limit Login Attempts Reloaded

Come spesso capita, il metodo più comodo e sicuro per limitare i tentativi di accesso a WordPress consiste nell’installare e configurare un plugin. 

Cos’è Limit Login Attempts Reloaded

Limit Login Attempts Reloaded (LLAR) è un plugin WordPress che blocca automaticamente gli indirizzi IP per un periodo dopo un certo numero di tentativi d’accesso falliti. 

Probabilmente ti sarà già capitato di vedere come appare la pagina di login WordPress quando è attivo LLAR, o un software analogo, e vengono inserite le credenziali sbagliate:

Limit Login Attempts Reloaded è un software freemium di WPChef, con più di 2.5 milioni di utenti attivi, migliaia di recensioni e una valutazione media di 4.9/5 stelle.

Come dice il nome, è la nuova versione di Limit Login Attempts, da cui è possibile aggiornare conservando le impostazioni di partenza. Funziona con tutte le versioni di WordPress dalla 3 in poi ed è parzialmente tradotto in italiano.

LLAR non protegge solo la pagina d’accesso all’amministrazione di WordPress – accessibile da /wp-admin o /wp-login.php – ma anche le pagine di login generate da WooCommerce per ciascun utente e le custom login pages, pagine d’accesso personalizzate create da altri plugin WordPress. 

Oltre che sui metodi di login standard, agisce su XMLRPC – un protocollo che regola la comunicazione tra WordPress e applicazioni esterne, che gli hacker possono sfruttare per aggirare i controlli sugli accessi.

Installare Limit Login Attempts Reloaded

Nel pannello di amministrazione del tuo sito WordPress, dalla barra laterale vai su Plugin > Aggiungi plugin e digita “Limit Login Attempts Reloaded” nella barra di ricerca.

Quando l’hai trovato, fai clic sul pulsante Installa ora, poi su Attiva.

Configurare il plugin 

Ora dobbiamo solo dedicare un attimo a configurare il plugin.

Con l’installazione dovrebbe essere comparsa la voce Limit Login Attempts Reloaded nella barra laterale di WordPress; se non c’è, prova ad aggiornare la pagina.

Clicca su Limit Login Attempts Reloaded e ti troverai all’interno di una schermata di benvenuto che ti propone di inserire il codice per attivare la versione premium o di passare a un piano a pagamento adesso.

Se è la prima volta che installi un plugin per limitare i tentativi di accesso, ha più senso iniziare con la versione gratuita per capire se fa per te o se hai bisogno di qualcosa in più.

Per ora puoi cliccare sul pulsante bianco in fondo alla pagina e proseguire con il piano free di LLAR.

Ti verrà chiesto di inserire un indirizzo email; qui puoi autorizzare o meno l’invio di aggiornamenti da parte dei produttori del plugin spuntando la casella in basso prima di continuare.

Nella schermata successiva viene presentato il piano Micro Cloud, che comprende una parte delle funzionalità pro, compresa la gestione in cloud della quasi totalità dei tentativi d’accesso (il 97%). È gratuito se accetti di condividere dati nel Threat-Sharing Network di LLAR: una rete cloud in cui vengono condivisi in tempo reale gli indirizzi IP malevoli, in modo che il plugin li possa bloccare prima che tentino nuovi attacchi. 

Puoi entrare e uscire dal programma in qualsiasi momento accedendo a Free Upgrade nel menù di LLAR sulla barra laterale di WordPress.

Intanto proseguiamo con la configurazione della versione free cliccando sul pulsante No.

Ora la configurazione è completa e possiamo usare il pulsante che porta al pannello di amministrazione del plugin.

Bacheca

Nella Bacheca di LLAR trovi in alto un riepilogo dei tentativi d’accesso falliti e un menù orizzontale – analogo a quello nella barra laterale – che ti guida attraverso le impostazioni del plugin.

Più sotto, una lista di attività per la sicurezza, che comprende i link ad alcune funzionalità premium, l’invito ad attivare gli aggiornamenti automatici e ad adottare altre misure per la sicurezza di WordPress.

Impostazioni

Spostiamoci nella sezione Impostazioni di Limit Login Attempts Reloaded.

Sotto l’invito ad attivare il piano Micro Cloud, viene mostrata l’app usata, che nella versione gratuita del plugin è quella locale, mentre i piani a pagamento si basano sull’app Cloud.

Trovi poi le impostazioni relative all’app locale.

Puoi definire una serie di opzioni relative al blocco degli IP:

• tentativi consentiti;
• minuti di blocco;
• tempo di blocco aggiuntivo dopo un numero di blocchi a tua scelta;
• tempo dopo il quale il conteggio dei tentativi d’accesso si riazzera.

Se non hai idee precise al riguardo, puoi lasciare le impostazioni così come sono.

Il campo Origini IP affidabili contiene la variabile che il server usa per identificare l’IP del visitatore che cerca di accedere: REMOTE_ADDR. 

Altre variabili come HTTP_X_FORWARDED_FOR, HTTP_CF_CONNECTING_IP, HTTP_X_SUCURI_CLIENTIP sono considerate non sicure perché possono essere manipolate facilmente, quindi è consigliato mantenere l’impostazione di default.

Ricordati che tutte le modifiche a questa pagina vanno confermate con il pulsante Salva le impostazioni.

Più giù troviamo l’area dedicata alle Impostazioni generali, indipendenti dall’app e dal piano scelto. 

La prima voce riguarda la Conformità al GDPR: selezionando la casella puoi rendere il plugin conforme mostrando nella pagina di login su WordPress il Messaggio GDPR. Appena sotto c’è il campo per inserire il testo.

La funzionalità Notifica al blocco invece fa sì che ti venga inviata una mail non appena un IP viene bloccato. Qui puoi attivarla e impostare la mail e il numero di blocchi dopo cui vuoi ricevere l’avviso.

Puoi verificarne il funzionamento con il pulsante Test Email Notifications.

Più in basso trovi una serie di opzioni che riguardano la tua area amministrativa e ti permettono di visualizzare o no:

• un elemento scorciatoia di LLAR nel menù di navigazione in alto;
• un elemento scorciatoia di LLAR nel menù laterale;
• un widget della dashboard con log degli accessi;
• un avviso se ci sono stati più di 100 tentativi d’accesso in un giorno;
• un messaggio personalizzato da aggiungere all’avviso.

Schermata Log 

Eccoci nella sezione dedicata al log, cioè al registro degli accessi di Limit Login Attempts Reloaded.

Con la versione free possiamo vedere le Statistiche dei blocchi (ma se il plugin è appena installato con tutta probabilità non ce ne sono ancora stati).

Subito sotto trovi l’area Safelist, dove puoi creare la tua lista bianca con gli indirizzi IP e i nomi utente di cui ti fidi. 

Nel primo campo puoi inserire gli IP, o gli intervalli di IP come 1.2.3.4-5.6.7.8, uno per riga.

Nel secondo campo un nome utente per riga.

La Denylist, cioè la lista nera, funziona allo stesso modo.

Altre funzionalità di LLAR

Dopo quelle per configurare il plugin, abbiamo altre 2 schermate. 

Schermata Debug

In questa sezione trovi le informazioni di debug, che possono aiutarti a risalire alla causa dei problemi e risolverli in prima persona oppure a chiedere supporto nei forum, o a spiegare la situazione all’assistenza se hai un piano premium.

Schermata Aiuto

Nella sezione aiuto trovi i link alla documentazione di supporto: sul GDPR, sul software, sull’account e la fatturazione, ecc.

I clienti premium possono inoltrare richieste al supporto tecnico mentre chi usa i piano gratuito può cercare aiuto nei forum di WordPress dedicati al plugin. 

Piani tariffari di Limit Login Attempts Reload

Accanto al piano gratuito e a Micro Cloud, Limit Login Attempts Reload offre 4 piani a pagamento:

• Premium – a 7,99€ al mese;
• Premium Plus – a 10,99€ al mese; 
• Professional – a 15,99€ al mese;
• Agency – a 45,00€ al mese.

Ogni piano è disponibile in versione mensile, annuale e lifetime. Tutti sono validi su un solo dominio tranne Agency, che può essere applicato su un massimo di 10 domini. 

A ogni aumento di prezzo corrisponde l’aggiunta di alcune funzionalità: per esempio il piano Agency – il più costoso – comprende tutte le funzionalità degli altri piani più alcune altre, insieme alla possibilità di rivendere il pacchetto ai clienti.

Funzionalità aggiuntive della versione premium di LLAR

La versione premium offre varie funzionalità aggiuntive, molte delle quali basate sul cloud, che alleggeriscono il server del tuo sito e aumentano la sicurezza dell’accesso a WordPress.

A ogni tentativo d’accesso fallito da parte di IP sospetti il periodo di blocco viene esteso in automatico. In caso di problemi, si ha accesso all’assistenza premium da parte di tecnici della sicurezza e si possono sbloccare più facilmente gli accessi degli admin dal cloud.

In tutti i piani premium compreso Micro Cloud, il plugin sfrutta i dati della rete LLAR e un sistema di IP Intelligence che identifica e memorizza gli IP da cui provengono attività sospette. 

I dati di blocco IP dei singoli siti vengono condivisi in tempo reale e permettono blocchi sincronizzati su più domini. Anche le informazioni provenienti dalle liste bianche e nere possono essere usate ai fini della sicurezza di tutti i siti della rete.

Un altro vantaggio della versione pro è che eventuali attacchi brute force sono gestiti nel cloud dal sistema di protezione del plugin e non rallentano il server del sito.

Tutti i siti che aderiscono a un piano premium hanno a disposizione un registro degli accessi riusciti che contiene per ciascuno informazioni come IP, città, stato e coordinate geografiche; in cloud, dove è meno accessibile in caso di attacco, e scaricabile in formato CSV.

A partire dal piano Premium Plus, LLAR pro permette di bloccare gli accessi in base al paese di provenienza; protegge anche la pagina di registrazione per i nuovi utenti; fa il backup automatico dei tuoi dati IP nel cloud.

Nelle versioni Professional e Agency gli indirizzi IP da cui arrivano multipli tentativi d’accesso falliti al tuo sito vengono aggiunti in automatico alla tua lista nera sul cloud. 

Risolvere il problema delle notifiche di LLAR che non arrivano

Se non ricevi le email di avviso da parte del plugin per limitare gli accessi in WordPress, gli scenari possibili sono due. 

Forse hai previsto l’invio della notifica dopo un numero di blocchi troppo alto, che viene raggiunto quando il sito è ormai rallentato. Per questo è meglio non allontanarsi dai valori di default.

Oppure stai sperimentando un problema classico di WordPress: le mail che partono dal sito vengono bloccate dai server di posta perché considerate sospette. Puoi risolvere configurando il protocollo SMTP per WordPress, per esempio sfruttando il server SMTP del tuo fornitore di hosting.

Come accedere al sito in caso di blocco da parte di LLAR? 

È vero che usare un plugin per limitare gli accessi a WordPress comporta il rischio di subire un blocco e non riuscire ad accedere al proprio sito, però LLAR offre diverse soluzioni per risolvere il problema. 

Abbiamo visto che i piani a pagamento permettono di sbloccare gli amministratori dal cloud; mentre con la versione base puoi provare a:

• accedere da un indirizzo IP diverso
• rinominare la cartella del plugin.

Accedere da un altro indirizzo IP

Il primo metodo consiste nel cambiare IP e fare il login su WordPress da lì. Per esempio puoi:

• connetterti con la connessione dati di un dispositivo mobile;
• usare una VPN, per esempio quella gratuita disponibile col browser Opera;
• provare a spegnere e riaccendere il router, perché a seconda del tipo di connessione permette di ottenere un nuovo IP.

Rinominare la cartella del plugin

Attraverso il file manager (o via FTP) vai su wp-content > plugins > limit-login-attempts-reloaded.

Aprila e modifica il nome della sottocartella limit-login-attempts-reloaded. In questo modo disattivi il plugin e puoi accedere al tuo sito WordPress.

Dopo averlo fatto, ripristina subito il nome originale della cartella per rimettere in funzione LLAR.

Se nessuno dei metodi per sbloccare l’account dell’amministratore che abbiamo visto ha funzionato, è arrivato il momento di contattare l’assistenza del tuo hosting. Se si tratta di SupportHost, sei in una botte di ferro perché abbiamo scelto i canali di supporto dell’hosting in modo da poterti offrire una soluzione nel più breve tempo possibile ogni giorno dell’anno.

Alternative a Limit Login Attempts Reloaded

Tra le alternative a Limit Login Attempts Reloaded ci sono sia altri plugin per limitare i tentativi d’accesso a WordPress, sia plugin di sicurezza per WordPress completi, che includono anche questa funzionalità.

Esiste anche un metodo che non richiede un plugin WordPress, però va usato con molta cautela.

Wordfence Security

Wordfence Security è una delle soluzioni per la sicurezza dei siti WordPress più complete e popolari. Offre firewall, scansione del sito per rilevare malware, autenticazione a due fattori e captcha, ed è anche in grado di limitare i login e monitorare attività sospette. Inoltre permette di gestire più siti WordPress da un’unica interfaccia grazie alla piattaforma Wordfence Central.

Altri plugin con funzionalità analoghe molto usati sono iThemes Security, Sucuri Security, e Shield Security.

Loginizer Plugin

Loginizer è un plugin per limitare gli accessi in WordPress del tutto simile a Limit Login Attempts Reloaded; anch’esso con ottime recensioni (4.8/5) e più di un milione di installazioni attive.

A differenza di LLAR offre anche l’autenticazione a due fattori e i captcha, ma solo nella versione premium.

Un altro plugin simile con milioni di installazioni attive e ottime recensioni è Really Simple Security.

Modificare il file .htaccess

Per limitare i tentativi di accesso a WordPress ci sarebbe un ulteriore metodo, che consiste nella modifica del file .htaccess in modo da riservare ai soli IP degli amministratori l’accesso al pannello di controllo del sito. Questa soluzione però è adatta solo a chi conosce bene il codice, ed è rischiosa perché se qualcosa va storto si viene bloccati fuori dal proprio sito.

In particolare se si usa una CDN, bisogna essere capaci di evitare che impedisca al server di riconoscere gli IP degli admin.

Come abbiamo spiegato nella guida al file .htaccess, il file può essere modificato con plugin SEO come Yoast SEO o Rank Math, oppure in modo diretto accedendo alle cartelle del sito. 

Se il tuo fornitore lo mette a disposizione, puoi usare il pannello di controllo dell’hosting – per esempio cPanel, disponibile con tutti i piani SupportHost compreso l’hosting condiviso.

Nel gestore dei file cerca .htaccess, che di solito si trova in public_html.

Quando trovi il file, preoccupati prima di tutto di crearne una copia di backup e solo dopo di modificarlo. Entrambe le funzionalità sono disponibili nel menù contestuale che si apre col tasto destro del mouse.

All’inizio del file puoi inserire il codice:

RewriteEngine on

RewriteCond %{REQUEST_URI} ^(.*)?wp-login.php(.*)$ [OR]

RewriteCond %{REQUEST_URI} ^/wp-admin

RewriteCond %{REMOTE_ADDR} !^XXX.XXX.XXX.XXX$

RewriteCond %{REMOTE_ADDR} !^XXX.XXX.XXX.XXX$

RewriteCond %{REMOTE_ADDR} !^XXX.XXX.XXX.XXX$

RewriteRule ^(.*)$ - [R=403,L]

Dopo aver sostituito “XXX.XXX.XXX.XXX” con gli indirizzi IP corretti delle persone a cui vuoi consentire l’accesso. 

Conclusioni 

In questa guida abbiamo parlato di come sia necessario limitare i tentativi di accesso a WordPress per evitare che i più comuni attacchi informatici causino danni al sito, e di come farlo con il plugin Limit Login Attempts Reloaded.

LLAR ti permette, tra le altre cose, di scegliere il numero di tentativi a disposizione e il tempo di blocco, e quando ricevere notifiche sui tentativi di accesso falliti, in modo che ti possa accorgere per tempo se sul tuo sito sta succedendo qualcosa di strano.

Questo sistema di controllo, che si può attivare anche con altri plugin simili o plugin di sicurezza completi, ha alcuni risvolti negativi – tra cui il rischio di non riuscire ad accedere al proprio sito – ma abbiamo visto come minimizzarli o risolverli.

E tu hai già attivato un sistema per limitare i tentativi di accesso a WordPress? Trovi che ti sia utile? Hai mai avuto problemi ad entrare sul tuo sito dopo averlo fatto e, se sì, come hai risolto? Se ti va, raccontaci nei commenti.