<\/p>\n\n\n\n
Cosa registrano i nostri log e perche’ ogni sito WordPress e’ un bersaglio permanente<\/em><\/p>\n\n\n\n I log del plugin di sicurezza mostrano tre ondate distinte di tentativi di accesso alla pagina \/wp-login.php nel periodo 26-31 maggio 2026. Di seguito un estratto rappresentativo:<\/p>\n\n\n\n Note di analisi: <\/strong>gli IP “USA” mostrano range tipici di proxy\/VPN commerciali e nodi di uscita di botnet (45.133.x, 45.147.x, 140.235.x, 194.180.x). I tentativi del 26 maggio arrivano da oltre 15 IP diversi in circa 90 secondi: impossibile per un umano, tipico di automazione distribuita.<\/p>\n\n\n\n WordPress alimenta oltre il 40% dei siti web mondiali. Questo lo rende il CMS piu’ attaccato in assoluto: esistono botnet dedicate che scansionano Internet continuamente alla ricerca di istanze esposte, provando combinazioni di credenziali note.<\/p>\n\n\n\n Le fasi tipiche dell’attacco:<\/strong><\/p>\n\n\n\n \u25b6 1. Ricognizione automatica: <\/strong>Uno scanner individua il sito e conferma la presenza di \/wp-login.php raggiungibile (risposta HTTP 200). Questo avviene in secondi, senza intervento umano.<\/p>\n\n\n\n \u25b6 2. Credential stuffing: <\/strong>Vengono provati username noti o indovinabili: admin, administrator, il nome di dominio del sito (es. www.docsnet.it), indirizzi e-mail pubblici trovati sul sito (staff@docsnet.it), username trovati nei post pubblicati.<\/p>\n\n\n\n \u25b6 3. Password spraying: <\/strong>Per ciascun username vengono provate password comuni: 123456, password, il nome del sito, l’anno corrente, qwerty, e varianti note da breach precedenti.<\/p>\n\n\n\n \u25b6 4. Distribuzione su piu’ IP: <\/strong>Per aggirare i blocchi per tentativi falliti, l’attacco viene distribuito su decine di IP contemporaneamente (botnet). Ogni IP fa pochi tentativi, difficili da bloccare con soglie basse.<\/p>\n\n\n\n \u25b6 5. Persistenza: <\/strong>Se un accesso va a buon fine, viene installato uno shell backdoor o un plugin malevolo. Da quel momento il sito puo’ essere usato per spam, cryptomining, redirect a malware o phishing.<\/p>\n\n\n\n Dai nostri log e dalle statistiche globali, questi sono gli username tentati con maggiore frequenza:<\/p>\n\n\n\n \u2022 admin \u2014 presente in quasi il 100% degli attacchi. Era il default nelle vecchie installazioni WP.<\/p>\n\n\n\n \u2022 administrator \u2014 variante comune, spesso provata subito dopo admin.<\/p>\n\n\n\n \u2022 Il nome di dominio del sito (es. docsnet, www.det.it)\u00a0 \u2014\u00a0 tentativo basato su OSINT automatico.<\/p>\n\n\n\n \u2022 L’indirizzo e-mail visibile sul sito (es. info@docsnet.it)\u00a0 \u2014\u00a0 raccolto da scraping del sito o del WHOIS.<\/p>\n\n\n\n \u2022 L’autore dei post WordPress \u2014 visibile nell’URL dei post (\/author\/nomeutente\/). Molto efficace.<\/p>\n\n\n\n \u2022 test, user, webmaster, wp, wordpress \u2014 username generici di installazioni demo.<\/p>\n\n\n\n \u2022 Username da breach precedenti correlati al dominio.<\/p>\n\n\n\n Attenzione agli autori dei post: <\/strong>se un articolo sul vostro sito mostra “Scritto da: mario.rossi”, quell’username verra’ provato dagli attaccanti entro ore dalla pubblicazione. Questo e’ un vettore sottovalutato.<\/p>\n\n\n\n Misure aggiuntive raccomandate:<\/strong><\/p>\n\n\n\n \u25b6 Blocco IP automatico: <\/strong>Configurare il blocco automatico dopo N tentativi falliti dallo stesso IP. Consigliato: 5 tentativi in 10 minuti = ban 24h.<\/p>\n\n\n\n \u25b6 Protezione geografica: <\/strong>Valutare il blocco di richieste provenienti da paesi con cui non si hanno rapporti commerciali (es. Armenia, USA per un sito italiano B2B).<\/p>\n\n\n\n \u25b6 WAF (Web Application Firewall): <\/strong>Un WAF a livello di hosting o CDN (es. Cloudflare) blocca pattern di attacco noti prima che raggiungano WordPress.<\/p>\n\n\n\n \u25b6 Cambio URL di login: <\/strong>Spostare \/wp-login.php a un URL segreto elimina il 90% degli attacchi automatici che non fanno ricognizione avanzata.<\/p>\n\n\n\n \u25b6 Monitoring alert: <\/strong>Ricevere notifica e-mail immediata per ogni accesso admin riuscito, anche legittimo: e’ il modo piu’ rapido per accorgersi di una compromissione.<\/p>\n\n\n\n Una convinzione diffusa e’ che solo i siti grandi o famosi vengano presi di mira. E’ falso: le botnet non scelgono i bersagli per importanza, ma per vulnerabilita’. Un sito piccolo con credenziali deboli vale comunque oro per un attaccante: puo’ essere usato per inviare spam, ospitare pagine di phishing, partecipare ad altri attacchi DDoS o minare criptovalute, tutto a spese del titolare del dominio.<\/p>\n\n\n\n Il costo di un sito compromesso non e’ solo tecnico: include danni reputazionali, blacklisting da parte di Google e dei provider e-mail, e possibili responsabilita’ GDPR se i dati degli utenti vengono esposti.<\/p>\n","protected":false},"excerpt":{"rendered":" Cosa registrano i nostri log e perche’ ogni sito WordPress e’ un bersaglio permanente \u26a0 ALLERTA SICUREZZA \u2014 ATTACCO IN CORSO RILEVATO I log del sito docsnet.it registrano tentativi sistematici …<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[311,180,295,17,9,1,11,321],"tags":[314,315,316,313,317,319,318,320,30],"class_list":["post-1130","post","type-post","status-publish","format-standard","hentry","category-accessibilita-sito-web","category-account-hacking","category-dominio-internet","category-informazioni-varie","category-phishing","category-senza-categoria","category-sistemistica","category-wordpress","tag-attacco-informatico","tag-bot","tag-botnet","tag-brute-force","tag-credential-stuffing","tag-cryptomining","tag-password-spraying","tag-redirect-a-malware-o-phishing","tag-wordpress"],"_links":{"self":[{"href":"https:\/\/www.docsnet.it\/index.php\/wp-json\/wp\/v2\/posts\/1130","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.docsnet.it\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.docsnet.it\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.docsnet.it\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.docsnet.it\/index.php\/wp-json\/wp\/v2\/comments?post=1130"}],"version-history":[{"count":1,"href":"https:\/\/www.docsnet.it\/index.php\/wp-json\/wp\/v2\/posts\/1130\/revisions"}],"predecessor-version":[{"id":1131,"href":"https:\/\/www.docsnet.it\/index.php\/wp-json\/wp\/v2\/posts\/1130\/revisions\/1131"}],"wp:attachment":[{"href":"https:\/\/www.docsnet.it\/index.php\/wp-json\/wp\/v2\/media?parent=1130"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.docsnet.it\/index.php\/wp-json\/wp\/v2\/categories?post=1130"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.docsnet.it\/index.php\/wp-json\/wp\/v2\/tags?post=1130"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}\u26a0 ALLERTA SICUREZZA \u2014 ATTACCO IN CORSO RILEVATO<\/strong> I log del sito docsnet.it registrano tentativi sistematici di accesso non autorizzato al pannello di amministrazione WordPress. Gli attacchi provengono da piu’ IP simultanei, tipico schema di botnet organizzata. Tutti i tentativi sono risultati falliti. Il sito non e’ stato compromesso.<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n Cosa abbiamo registrato: i fatti<\/h1>\n\n\n\n
Data\/Ora<\/strong><\/td> IP Sorgente<\/strong><\/td> Username Tentato<\/strong><\/td> Paese<\/strong><\/td> Esito<\/strong><\/td><\/tr> 26\/05 13:48<\/td> 194.180.236.162<\/td> staff@det.it<\/strong><\/td> USA (proxy)<\/td> Fallito<\/td><\/tr> 26\/05 13:48<\/td> 88.218.46.119<\/td> info@det.it<\/strong><\/td> USA (proxy)<\/td> Fallito<\/td><\/tr> 26\/05 13:49<\/td> 140.235.168.60<\/td> administrator<\/strong><\/td> USA (proxy)<\/td> Fallito<\/td><\/tr> 26\/05 13:49<\/td> 199.96.166.243<\/td> admin<\/strong><\/td> USA (proxy)<\/td> Fallito<\/td><\/tr> 26\/05 13:49<\/td> 212.87.216.224<\/td> mercurio2000<\/td> USA (proxy)<\/td> Fallito<\/td><\/tr> 26\/05 13:49<\/td> 91.132.125.167<\/td> utente1@www.det.it<\/td> USA (proxy)<\/td> Fallito<\/td><\/tr> 29\/05 16:22<\/td> 213.82.88.170<\/td> (login multipli)<\/td> Rivoli IT<\/td> 302\/200<\/td><\/tr> 31\/05 10:14<\/td> 151.38.41.27<\/td> (login recente)<\/td> Italia<\/td> 200<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n Come funziona un attacco brute force su WordPress<\/h1>\n\n\n\n
Gli username piu’ provati dagli attaccanti<\/h1>\n\n\n\n
Regole operative per chi gestisce o usa WordPress<\/h1>\n\n\n\n
\u2714 COSA FARE<\/strong><\/td> \u2716 COSA NON FARE<\/strong><\/td><\/tr> Usa un username creativo e non indovinabile (mai “admin”).<\/td> Non usare mai “admin”, “administrator” o il tuo nome come username.<\/td><\/tr> Imposta una password lunga (min. 16 caratteri), casuale, unica.<\/td> Non usare la stessa password del sito su altri servizi.<\/td><\/tr> Abilita l’autenticazione a due fattori (2FA) sul login WP.<\/td> Non lasciare l’e-mail aziendale visibile come username WordPress.<\/td><\/tr> Limita i tentativi di login falliti con un plugin (es. Limit Login Attempts).<\/td> Non pubblicare post con username identici all’account admin.<\/td><\/tr> Nascondi o rinomina \/wp-login.php con un plugin dedicato.<\/td> Non ignorare avvisi del plugin di sicurezza: ogni alert va valutato.<\/td><\/tr> Controlla regolarmente i log di accesso e segnala anomalie al Reparto IT.<\/td> Non disabilitare il plugin di sicurezza per “velocizzare” il sito.<\/td><\/tr> Mantieni WordPress, tema e plugin sempre aggiornati.<\/td> Non installare plugin da fonti non ufficiali o repository sconosciute.<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n Misure tecniche gia’ attive e consigliate<\/h1>\n\n\n\n
\u2705\u00a0 Protezioni gia’ operative su det.it<\/strong> Monitoraggio accessi con logging completo degli IP e degli username tentati. Tutti i tentativi rilevati nel periodo analizzato sono risultati falliti: nessuna compromissione.<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n \u26a1 Azioni immediate consigliate:<\/strong> 1. Verifica che il tuo username WordPress non sia “admin” o il tuo nome. Se lo e’, cambialo subito. 2. Controlla che la password abbia almeno 16 caratteri con lettere, numeri e simboli. 3. Se hai accesso all’area admin, attiva il 2FA entro questa settimana. 4. Segnala al Reparto IT qualsiasi avviso di sicurezza ricevuto via e-mail dal sito.<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n Perche’ anche un piccolo sito viene attaccato?<\/h1>\n\n\n\n