Proteggiti dai tentativi di accesso indesiderati con la protezione dagli attacchi di forza bruta.
Attivazione
Questa funzionalità è attivata per impostazione predefinita quando connetti Jetpack al tuo account WordPress.com. Può essere disattivata in qualsiasi momento (anche se sei stato bloccato) tramite la bacheca di WordPress.com nella pagina Impostazioni del sito.
Impostazioni
Una volta eseguita l’attivazione, puoi inserire gli indirizzi IP nell’elenco degli indirizzi consentiti dalla stessa pagina Impostazioni del sito. L’inserimento nell’elenco degli indirizzi consentiti potrebbe essere necessario se hai effettuato troppi tentativi di accesso al sito non riusciti o se Jetpack ha rilevato un comportamento insolito dal tuo indirizzo IP attuale.
- Il tuo indirizzo IP attuale viene anche mostrato nella pagina in modo da poterlo aggiungere facilmente all’elenco degli indirizzi consentiti.
- Sono consentiti sia gli indirizzi IPv4 che IPv6.
Suggerimento avanzato: puoi anche inserire un indirizzo IP nell’elenco di indirizzi consentiti impostandolo come costante JETPACK_IP_ADDRESS_OK nel file wp-config.php in questo modo: define('JETPACK_IP_ADDRESS_OK', 'X.X.X.X');
Bacheche
Puoi visualizzare un conteggio del “totale degli attacchi dannosi bloccati sul tuo sito” nella sezione Sicurezza della bacheca di Jetpack.
Informazioni sulla risoluzione dei problemi
Hai problemi con la protezione del tuo sito? Consulta i seguenti suggerimenti per scoprire il motivo.
Per quanto tempo rimane bloccato un IP?
Il periodo di tempo dipende da numerosi fattori e non è un intervallo di tempo prestabilito.
Jetpack mi ha bloccato. Cosa posso fare?
Se Jetpack ha contrassegnato il tuo indirizzo IP per qualsiasi motivo, potrebbe impedirti di accedere. In questo caso, visualizzerai quando segue:
Inserisci il tuo indirizzo e-mail e fai clic su Invia. Riceverai un’e-mail con un apposito link su cui puoi fare clic per poter accedere di nuovo al modulo di accesso. Se viene visualizzato un errore quando fai clic sul link nell’e-mail, puoi autorizzare il tuo indirizzo IP come descritto in Impostazioni per sbloccarti. Se rimani ancora bloccato, probabilmente è presente un problema con una configurazione del server. Puoi disattivare la funzionalità Protezione per ottenere nuovamente l’accesso al sito. Quindi contattaci per ulteriore assistenza nella risoluzione dei problemi.
Perché sto vedendo un captcha matematico sulla mia pagina di accesso?
Il captcha matematico è usato come fallback per la funzionalità di protezione. Se il tuo IP è stato bloccato a causa di troppi tentativi di accesso non riusciti, puoi comunque accedere al sito compilando correttamente il captcha matematico e le credenziali di accesso. In casi molto rari, potresti vedere il captcha se non hai ottenuto una chiave API o durante i periodi di attacchi molto pesanti.
La funzionalità Protezione di Jetpack non è in grado di proteggere in modo efficace il tuo sito perché il server non è configurato correttamente
Ogni volta che qualcuno tenta di accedere al tuo sito, la funzionalità Protezione di Jetpack esamina l’indirizzo IP di quella persona e lo confronta con il nostro database globale di indirizzi IP dannosi.
Per il corretto funzionamento di questo sistema, ci affidiamo agli indirizzi IP memorizzati e forniti dal tuo server. Sfortunatamente, in alcuni casi il tuo server potrebbe non restituire alcun indirizzo IP, bloccando la funzionalità Protezione e impedendo il corretto funzionamento. In tal caso, la funzionalità Protezione verrà disabilitata e ti invieremo un avviso.
Se dovesse accadere, non esitare a inviare un link a questa pagina al tuo fornitore del servizio di hosting, in modo che possa controllare e risolvere il problema per te. Può anche contattarci direttamente tramite il modulo di contatto se necessita di ulteriori informazioni.
Protezione su reti multisito
Se hai provato ad accedere al tuo sito varie volte, ma non ci sei riuscito perché hai dimenticato la password, potresti essere stato bloccato dalla funzionalità Protezione di Jetpack.
In un’installazione WordPress multisito, puoi accedere a qualsiasi account presente nella rete tramite qualsiasi pagina di accesso della rete. Di conseguenza, se la funzionalità Protezione di Jetpack è attiva solo su alcuni siti, nessun sito sarà veramente protetto.
Per risolvere questo problema, è necessario abilitare la rete Jetpack nella tua installazione multisito e attivare la funzionalità Protezione sul sito principale della rete. Al termine, la funzionalità Protezione di Jetpack sarà attivata su ogni sito presente nella rete, anche se Jetpack non è connesso a tale sito.
La funzionalità Protezione segnala centinaia di tentativi di accesso dannosi bloccati
Il modo migliore per spiegare questa funzionalità è quello di dire che esistono centinaia di “bot” che cercano di accedere ai siti su tutta la rete Internet. Non importa quando sia grande il tuo sito: c’è sempre qualcuno o qualcosa che prova a “intromettersi”. WordPress è molto sicuro e, solitamente, il punto debole è la password di qualche utente. Pertanto, i bot provano a indovinare le password delle persone per accedere.
La funzionalità Protezione di Jetpack raccoglie le informazioni sui tentativi non riusciti da milioni di siti e ti protegge dagli attacchi. Ad esempio, se un bot provasse ad accedere a un sito A e quindi si dirigesse verso un sito B, la funzionalità Protezione saprebbe già chi è questo bot e, ancora prima che raggiunga il sito B, lo bloccherebbe.
Oltre a questo, è veramente importante anche avere password complesse e sicure.
Dove posso ottenere maggiori informazioni sugli attacchi bloccati?
Ad esempio
- Quali nomi utente necessitano di maggiore protezione?
- I tentativi di accesso avvengono tramite wp-login o XMLRPC?
- Da quali indirizzi IP provengono?
- Quando si sono verificati? C’è uno schema?
- Se questi sono stati identificati, quanti altri non sono stati rilevati?
Non abbiamo accesso a queste informazioni. La funzionalità Protezione di Jetpack è stata creata per essere semplice e agile. È progettata in modo tale da non doversi porre queste domande o dover prendere decisioni. Pertanto, l’unico dato che memorizziamo è il numero totale di attacchi bloccati.
Informazioni sulla privacy
Questa funzionalità è attivata per impostazione predefinita. Può essere disattivata in qualsiasi momento disattivando l’impostazione Protezione nella sezione Sicurezza da Jetpack → Bacheca → In sintesi nella tua bacheca.
Per le funzionalità generali e le domande frequenti, consulta le informazioni sulle funzionalità di Jetpack Security.
Ulteriori informazioni sull’utilizzo dei dati sul tuo sito
| Dati usati | |
|---|---|
| Utenti/proprietari sito
Per controllare le attività di accesso e tentare di bloccare attacchi fraudolenti, vengono utilizzate le seguenti informazioni: indirizzo IP dell’utente che ha eseguito il tentativo di accesso, indirizzo e-mail/nome utente dell’utente che ha eseguito il tentativo di accesso (in base al valore che ha tentato di usare durante la procedura di accesso) e tutte le intestazioni HTTP relative all’IP collegato all’utente che ha eseguito il tentativo di accesso. Inoltre, per il monitoraggio delle attività (di seguito in dettaglio): indirizzo IP, ID utente WordPress.com, nome utente WordPress.com, ID e URL del sito connesso a WordPress.com, versione di Jetpack, user agent, URL della visita, URL di riferimento, data e ora dell’evento, lingua del browser, codice del paese. |
Visitatori del sito
Per controllare le attività di accesso e tentare di bloccare attacchi fraudolenti, vengono utilizzate le seguenti informazioni: indirizzo IP dell’utente che ha eseguito il tentativo di accesso, indirizzo e-mail/nome utente dell’utente che ha eseguito il tentativo di accesso (in base al valore che ha tentato di usare durante la procedura di accesso) e tutte le intestazioni HTTP relative all’IP collegato all’utente che ha eseguito il tentativo di accesso. |
| Attività tracciata | |
| Utenti/proprietari sito
Tentativi di accesso non riusciti. Teniamo traccia di quando e da quale utente è stata attivata e disattivata la funzionalità. Impostiamo anche un cookie ( |
Visitatori del sito
Tentativi di accesso non riusciti. Impostiamo un cookie ( |
| Dati sincronizzati (leggi di più) | |
| Utenti/proprietari sito
Opzioni che identificano se la funzionalità è attivata o meno e come sono configurate le impostazioni disponibili. Sincronizziamo anche le voci del sito presenti nell’elenco di indirizzi consentiti (così come configurate dai proprietari del sito), la chiave API specifica per la funzionalità Protezione utilizzata per il controllo dell’accesso e tutti i tentativi di accesso non riusciti, che contengono l’indirizzo IP dell’utente, il nome utente o l’indirizzo e-mail con cui è stato eseguito il tentativo di accesso e le informazioni sullo user agent. |
Visitatori del sito
Tentativi di accesso non riusciti, che contengono l’indirizzo IP dell’utente, il nome utente o l’indirizzo e-mail con cui è stato eseguito il tentativo di accesso e le informazioni sullo user agent. |
Jetpack di WordPress.com