GoDaddy Aiuto

Abbiamo cercato di tradurti questa pagina. È disponibile anche la versione in inglese.

Blocca gli attacchi comuni di WordPress

Esistono due file comunemente usati per gli attacchi di forza bruta di WordPress: xmlrpc.php e wp-login.php. Questo articolo spiegherà in dettaglio come bloccare questi attacchi.

Avvertenza: non tutti gli IP sono dannosi! Il blocco dell'IP sbagliato può causare tempi di inattività (ad es. Il blocco di un IP CDN).

Come posso fermare un attacco xmlrpc?

  • Usa un plugin per disabilitare xmlrpc .
  • Disabilita xmlrpc.php tramite il file.htacess file.
  • Nel tuo file .htaccess, aggiungi questo codice:
    File xmlrpc.php > Ordina consenti, Nega nega da tutti /File >

Ha funzionato?

Se hai bloccato correttamente l'accesso a xmlrpc.php, il registro degli accessi conterrà voci simili a:

[Tue Aug 02 02: 37: 11.052622 2022] [authz_core: error] [pid 1449: tid 140380133652224] [client 220.85.221.65:51590] AH01630: client negato dalla configurazione del server: /var/www/vhosts/acoolexample.com/ httpdocs/xmlrpc.php [Tue Aug 02 02: 37: 11.962665 2022] [authz_core: error] [pid 1449: tid 140380007773952] [client 134.122.112.76:51696] AH01630: client negato dalla configurazione del server:/var/www/vhosts /acoolexample.com/httpdocs/xmlrpc.php [Tue Aug 02 02: 37: 14.016124 2022] [authz_core: error] [pid 1329: tid 140380243957504] [client 14.232.245.48:51854] AH01630: client negato dalla configurazione del server:/ var/www/vhosts/acoolexample.com/httpdocs/xmlrpc.php

Come posso fermare un attacco wp-login.php (wp-admin)?

  • Usa un plug -in per limitare i tentativi di accesso .
  • Limitare l'accesso alla pagina di accesso di WordPress in base all'indirizzo IP tramite il.htacess file.
  • Nel tuo file .htaccess, aggiungi questo codice:
    File wp-login.php > order deny, allow allow from xx.xxx.xx.xxx deny da tutti /File >
Nota: ogni IP autorizzato (tu, il tuo sviluppatore, ecc.) Dovrà avere una regola di autorizzazione aggiunta.

Passaggi successivi

Ecco alcuni altri suggerimenti che potresti usare per bloccare il traffico dannoso:
  • Blocca gli IP nel firewall del server
  • Modifica l'utente predefinito da "admin" a un altro nome
  • Blocca l'accesso a xmlrpc.php e/o wp-login.php nella configurazione Apache