Radio Online
Come limitare i tentativi di login WordPress senza plugin
Limitare i tentativi di login WordPress senza plugin è uno dei modi più semplici per aumentare la sicurezza del sito e ridurre gli attacchi automatici contro la pagina di accesso.
Molti proprietari di siti non si rendono conto che ogni giorno bot automatici tentano di accedere a:
/wp-login.php
oppure:
S26 Ultra
VS
iPhone 17 Pro Max
Xiaomi 17 Pro
VS
Honor Magic 8
iPhone 15
VS
iPhone 17
BACKdigit.com
GRATIS · 380+ modelli
Confronta gli smartphone
Display, fotocamera, batteria e prestazioni a confronto in pochi secondi.
/wp-admin
provando migliaia di combinazioni di username e password.
Questo tipo di attacco viene chiamato Brute Force Attack e può causare:
- rallentamenti del sito
- consumo di CPU e RAM
- migliaia di richieste al server
- tentativi di accesso indesiderati
La buona notizia è che puoi limitare i tentativi di login senza installare plugin aggiuntivi.
Come funziona la protezione
L’idea è semplice.
Dopo un certo numero di password errate, WordPress blocca temporaneamente l’indirizzo IP che sta tentando l’accesso.
Ad esempio:
- 3 tentativi errati
- blocco per 30 minuti
In questo modo un bot non può provare migliaia di password consecutive.
Come Installare Plugin WordPress: Guida Completa
Metodo consigliato: WPCode
Se utilizzi WPCode:
Vai su:
Code Snippets → Add Snippet → PHP Snippet
e inserisci il codice seguente.
function bdt_limit_login_attempts() {
$ip = $_SERVER['REMOTE_ADDR'];
$failed = get_transient('bdt_failed_' . md5($ip));
if ($failed && $failed >= 3) {
wp_die(
'Troppi tentativi di accesso. Riprova tra 30 minuti.'
);
}
}
add_action('login_init', 'bdt_limit_login_attempts');
function bdt_track_failed_login() {
$ip = $_SERVER['REMOTE_ADDR'];
$failed = get_transient('bdt_failed_' . md5($ip));
$failed = $failed ? $failed + 1 : 1;
set_transient(
'bdt_failed_' . md5($ip),
$failed,
30 * MINUTE_IN_SECONDS
);
}
add_action('wp_login_failed', 'bdt_track_failed_login');
Salva lo snippet e attivalo.
Da questo momento, dopo 3 password sbagliate consecutive, l’indirizzo IP verrà bloccato per 30 minuti. Come creare una pagina in manutenzione WordPress senza plugin
Come modificare il numero di tentativi
Nel codice troverai questa riga:
if ($failed && $failed >= 3)
Il numero:
3
indica i tentativi consentiti.
Puoi sostituirlo ad esempio con:
5
oppure:
10
se desideri una soglia più permissiva.
Come modificare il tempo di blocco
Nel codice troverai:
30 * MINUTE_IN_SECONDS
che corrisponde a 30 minuti.
Puoi modificare il valore.
Ad esempio:
60 * MINUTE_IN_SECONDS
bloccherà l’IP per un’ora.
Come verificare se funziona
Apri una finestra in incognito del browser.
Vai su:
tuosito.it/wp-login.php
e prova a inserire una password errata per tre volte.
Al quarto tentativo dovrebbe comparire il messaggio:
Troppi tentativi di accesso. Riprova tra 30 minuti.
Perché non usare sempre un plugin
Molti plugin dedicati alla sicurezza aggiungono:
- tabelle database
- processi in background
- scansioni continue
- notifiche
Per siti piccoli o medi questo semplice snippet è spesso sufficiente per bloccare gran parte degli attacchi automatici.
Protezione ancora migliore
Limitare i tentativi di login è utile, ma puoi aumentare ulteriormente la sicurezza:
Vai su:
Utenti → Profilo
e utilizza password robuste.
Evita username come:
- admin
- administrator
- wordpress
Inoltre mantieni sempre aggiornati:
- WordPress
- plugin
- temi
La combinazione tra aggiornamenti regolari e limite ai tentativi di accesso offre già una buona protezione per la maggior parte dei siti.
Box rapido
Limitare i tentativi di login WordPress
Puoi bloccare gli attacchi brute force consentendo solo pochi tentativi di accesso prima di bloccare temporaneamente l’indirizzo IP.
1. Installa WPCode
2. Crea un nuovo snippet PHP
3. Incolla il codice di protezione
4. Attiva lo snippet
5. Verifica il blocco dopo più password errate
