Cosa registrano i nostri log e perche’ ogni sito WordPress e’ un bersaglio permanente
| ⚠ ALLERTA SICUREZZA — ATTACCO IN CORSO RILEVATO I log del sito docsnet.it registrano tentativi sistematici di accesso non autorizzato al pannello di amministrazione WordPress. Gli attacchi provengono da piu’ IP simultanei, tipico schema di botnet organizzata. Tutti i tentativi sono risultati falliti. Il sito non e’ stato compromesso. |
Cosa abbiamo registrato: i fatti
I log del plugin di sicurezza mostrano tre ondate distinte di tentativi di accesso alla pagina /wp-login.php nel periodo 26-31 maggio 2026. Di seguito un estratto rappresentativo:
| Data/Ora | IP Sorgente | Username Tentato | Paese | Esito |
| 26/05 13:48 | 194.180.236.162 | staff@det.it | USA (proxy) | Fallito |
| 26/05 13:48 | 88.218.46.119 | info@det.it | USA (proxy) | Fallito |
| 26/05 13:49 | 140.235.168.60 | administrator | USA (proxy) | Fallito |
| 26/05 13:49 | 199.96.166.243 | admin | USA (proxy) | Fallito |
| 26/05 13:49 | 212.87.216.224 | mercurio2000 | USA (proxy) | Fallito |
| 26/05 13:49 | 91.132.125.167 | utente1@www.det.it | USA (proxy) | Fallito |
| 29/05 16:22 | 213.82.88.170 | (login multipli) | Rivoli IT | 302/200 |
| 31/05 10:14 | 151.38.41.27 | (login recente) | Italia | 200 |
Note di analisi: gli IP “USA” mostrano range tipici di proxy/VPN commerciali e nodi di uscita di botnet (45.133.x, 45.147.x, 140.235.x, 194.180.x). I tentativi del 26 maggio arrivano da oltre 15 IP diversi in circa 90 secondi: impossibile per un umano, tipico di automazione distribuita.
Come funziona un attacco brute force su WordPress
WordPress alimenta oltre il 40% dei siti web mondiali. Questo lo rende il CMS piu’ attaccato in assoluto: esistono botnet dedicate che scansionano Internet continuamente alla ricerca di istanze esposte, provando combinazioni di credenziali note.
Le fasi tipiche dell’attacco:
▶ 1. Ricognizione automatica: Uno scanner individua il sito e conferma la presenza di /wp-login.php raggiungibile (risposta HTTP 200). Questo avviene in secondi, senza intervento umano.
▶ 2. Credential stuffing: Vengono provati username noti o indovinabili: admin, administrator, il nome di dominio del sito (es. www.docsnet.it), indirizzi e-mail pubblici trovati sul sito (staff@docsnet.it), username trovati nei post pubblicati.
▶ 3. Password spraying: Per ciascun username vengono provate password comuni: 123456, password, il nome del sito, l’anno corrente, qwerty, e varianti note da breach precedenti.
▶ 4. Distribuzione su piu’ IP: Per aggirare i blocchi per tentativi falliti, l’attacco viene distribuito su decine di IP contemporaneamente (botnet). Ogni IP fa pochi tentativi, difficili da bloccare con soglie basse.
▶ 5. Persistenza: Se un accesso va a buon fine, viene installato uno shell backdoor o un plugin malevolo. Da quel momento il sito puo’ essere usato per spam, cryptomining, redirect a malware o phishing.
Gli username piu’ provati dagli attaccanti
Dai nostri log e dalle statistiche globali, questi sono gli username tentati con maggiore frequenza:
• admin — presente in quasi il 100% degli attacchi. Era il default nelle vecchie installazioni WP.
• administrator — variante comune, spesso provata subito dopo admin.
• Il nome di dominio del sito (es. docsnet, www.det.it) — tentativo basato su OSINT automatico.
• L’indirizzo e-mail visibile sul sito (es. info@docsnet.it) — raccolto da scraping del sito o del WHOIS.
• L’autore dei post WordPress — visibile nell’URL dei post (/author/nomeutente/). Molto efficace.
• test, user, webmaster, wp, wordpress — username generici di installazioni demo.
• Username da breach precedenti correlati al dominio.
Attenzione agli autori dei post: se un articolo sul vostro sito mostra “Scritto da: mario.rossi”, quell’username verra’ provato dagli attaccanti entro ore dalla pubblicazione. Questo e’ un vettore sottovalutato.
Regole operative per chi gestisce o usa WordPress
| ✔ COSA FARE | ✖ COSA NON FARE |
| Usa un username creativo e non indovinabile (mai “admin”). | Non usare mai “admin”, “administrator” o il tuo nome come username. |
| Imposta una password lunga (min. 16 caratteri), casuale, unica. | Non usare la stessa password del sito su altri servizi. |
| Abilita l’autenticazione a due fattori (2FA) sul login WP. | Non lasciare l’e-mail aziendale visibile come username WordPress. |
| Limita i tentativi di login falliti con un plugin (es. Limit Login Attempts). | Non pubblicare post con username identici all’account admin. |
| Nascondi o rinomina /wp-login.php con un plugin dedicato. | Non ignorare avvisi del plugin di sicurezza: ogni alert va valutato. |
| Controlla regolarmente i log di accesso e segnala anomalie al Reparto IT. | Non disabilitare il plugin di sicurezza per “velocizzare” il sito. |
| Mantieni WordPress, tema e plugin sempre aggiornati. | Non installare plugin da fonti non ufficiali o repository sconosciute. |
Misure tecniche gia’ attive e consigliate
| ✅ Protezioni gia’ operative su det.it Monitoraggio accessi con logging completo degli IP e degli username tentati. Tutti i tentativi rilevati nel periodo analizzato sono risultati falliti: nessuna compromissione. |
Misure aggiuntive raccomandate:
▶ Blocco IP automatico: Configurare il blocco automatico dopo N tentativi falliti dallo stesso IP. Consigliato: 5 tentativi in 10 minuti = ban 24h.
▶ Protezione geografica: Valutare il blocco di richieste provenienti da paesi con cui non si hanno rapporti commerciali (es. Armenia, USA per un sito italiano B2B).
▶ WAF (Web Application Firewall): Un WAF a livello di hosting o CDN (es. Cloudflare) blocca pattern di attacco noti prima che raggiungano WordPress.
▶ Cambio URL di login: Spostare /wp-login.php a un URL segreto elimina il 90% degli attacchi automatici che non fanno ricognizione avanzata.
▶ Monitoring alert: Ricevere notifica e-mail immediata per ogni accesso admin riuscito, anche legittimo: e’ il modo piu’ rapido per accorgersi di una compromissione.
| ⚡ Azioni immediate consigliate: 1. Verifica che il tuo username WordPress non sia “admin” o il tuo nome. Se lo e’, cambialo subito. 2. Controlla che la password abbia almeno 16 caratteri con lettere, numeri e simboli. 3. Se hai accesso all’area admin, attiva il 2FA entro questa settimana. 4. Segnala al Reparto IT qualsiasi avviso di sicurezza ricevuto via e-mail dal sito. |
Perche’ anche un piccolo sito viene attaccato?
Una convinzione diffusa e’ che solo i siti grandi o famosi vengano presi di mira. E’ falso: le botnet non scelgono i bersagli per importanza, ma per vulnerabilita’. Un sito piccolo con credenziali deboli vale comunque oro per un attaccante: puo’ essere usato per inviare spam, ospitare pagine di phishing, partecipare ad altri attacchi DDoS o minare criptovalute, tutto a spese del titolare del dominio.
Il costo di un sito compromesso non e’ solo tecnico: include danni reputazionali, blacklisting da parte di Google e dei provider e-mail, e possibili responsabilita’ GDPR se i dati degli utenti vengono esposti.