• User Attivo

    Attacchi costanti.. bye Wordpress

    Ho usato Wordpress per il mio blog con WP Security + Fail2Ban per bannare IP a livello di firewall (non Wordpress) al primo tentativo di login fallito. Per qualche motivo ricevevo centinaia (se non di piu') di attacchi al giorno sia di brute force sia di piccoli DoS (saro' antipatico a qualcuno :D), ovviamente tutti bannati per 10 ore ciascuno, ogni volta. Nonostante cio' non si sono fermati ed e' andata avanti cosi' per del tempo. Dal punto di vista della sicurezza sono messo bene ma alla fine mi sono stancato di questa situazione e ho fatto un cambiamento piuttosto radicale: ho migrato il blog da Wordpress a Jekyll, che e' tutto statico, senza login, senza database etc, e pubblicato su Github Pages dietro Cloudflare. Problema dimenticato, col side benefit che non mi costa piu' nulla 😄

    Jekyll coi temi esistenti va bene per un semplice blog senza troppe pretese, ma conoscendo Ruby si puo' customizzare a qualunque livello. Nel mio caso il blog e' giusto un sitarello per i miei articoli tecnici, quindi niente di particolare e per me Jekyll va bene anche se con delle limitazioni.

    Ora la domanda che rivolgo e' a chi ha un blog o sito in Wordpress di piu' seria importanza (tipo: siti che vengono monetizzati etc): ricevete attacchi frequenti? Se si' come li gestite? Avete mai pensato di lasciar perdere Wordpress per questo motivo?


  • User Attivo

    Personalmente non ho mai riscontrato tali problemi con WordPress (stringiam le dita). Un sito che gestivo una volta fu defacciato ma si trattava di Joomla.

    Penso comunque che il tuo approcio possa diventare sempre più popolare, uno dei principali siti americani di web development/design (mi sembra Smashing Magazine) è passato al JAMstack da WordPress, serverless, più veloce e più sicuro. Del resto quanti siti che oggi girano su WordPress, hanno veramente bisogno di tutto quell'apparato?


  • User Attivo

    @luqweb said:

    Personalmente non ho mai riscontrato tali problemi con WordPress (stringiam le dita).

    Che tipo di traffico hai? Il mio blog ha del traffico ma non enorme e in proporzione i tentativi di attacchi erano decisamente troppi.... immagino che un sito con molto piu' traffico sia ancora piu' a rischio

    Penso comunque che il tuo approcio possa diventare sempre più popolare, uno dei principali siti americani di web development/design (mi sembra Smashing Magazine) è passato al JAMstack da WordPress, serverless, più veloce e più sicuro. Del resto quanti siti che oggi girano su WordPress, hanno veramente bisogno di tutto quell'apparato?

    Infatti, almeno nel mio caso non avevo neanche bisogno di tutto quello che Wordpress ha a disposizione, sia built in che con quella miriade di plugin (che tra l'altro aumentano i rischi dal punto di vista della sicurezza). L'unica cosa e' che i temi disponibili per WP sono "out of the box" completi mentre con per es. Jekyll devi fare un po' di lavoro se vuoi un tema particolare.

    Ma di tutte le funzioni di WP ne usavo pochissime e fra l'altro preferisco scrivere in plain markdown che con quell'editor di WP. Troppo bloat, in generale.


  • User Attivo

    Fai conto, quelli che stavo considerando per lo più sono siti web Wordpress aziendali con in alcuni casi blog annesso, e contano almeno le 1500 visite uniche mensili (fino ad arrivare al più grosso 10-12K di uniche mensili). Il numero di tentativi d'attacco sul tuo blog è davvero impressionante.

    Wordpress ha il vantaggio di aver molte cose già pronte e di essere facile anche per l'utente medio. Dei plugin se ne fa un uso smisurato secondo me, li ho visti veramente per ogni cosa anche per semplici embed e alla fine qualunque cosa installi ha un costo in termini di performance (chi più chi meno).

    Sarà interessante vedere Google quanto spingerà sulla velocità della pagina, considerata anche l'introduzione di AMP, e se ci saranno altri sviluppi in tal senso che possano portare molte più persone a volere un sito statico, più veloce e sicuro.


  • Moderatore

    Ciao
    io ho tutti i siti che gestisco in Wordpress e non ho mai avuto un problema. Blocco i Brute Force con Limit Login Attempts, poi l'hosting su cui mi appoggio protegge con Firewall e varie i siti Web. Ovviamente i siti fanno Backup e aggiornamenti automaticamente.


  • User Attivo

    Ma anch'io come dicevo bloccavo automaticamente tutti gli attacchi etc, ma alla fine mi sono stancato di dover configurare e mantenere diverse cose solo per bloccare attacchi a Wordpress... Adesso questi attacchi sono ricordi del passato 😄
    Se posso evitare Wordpress in futuro lo faro'.


  • Moderatore

    Ciao ma io non facci nulla... fa tutto il mio Hosting, aggiornamenti compresi.


  • Moderatore

    @SkyLinx said:

    Ora la domanda che rivolgo e' a chi ha un blog o sito in Wordpress di piu' seria importanza (tipo: siti che vengono monetizzati etc): ricevete attacchi frequenti? Se si' come li gestite? Avete mai pensato di lasciar perdere Wordpress per questo motivo?

    Ciao SkyLinx,
    direi che gli attacchi sono all'ordine del giorno, oserei direi del minuto... Comunque se hai buoni servizi di protezione non dovresti incorrere in particolari problemi.


  • User Attivo

    sinceramente non do colpa a wp ma alla configurazione del server o qualche plugin, dovresti trovare la radice dell'attacco.