L’attacco, di tipo brute-force basato su dizionari (cioè un sistema automatico che prova migliaia di password, cercando quella giusta), sarebbe messo in atto attraverso migliaia indirizzi ip differenti, alcuni dicono circa 90 mila. I malintenzionati starebbero cercando di trovare la password dell’account “admin” di numerosissimi siti web.
La soluzione più immediata e alla portata di tutti per prevenire danni irreparabili è quella di utilizzare una password molto lunga (almeno 8 caratteri) e complessa (minuscole, maiuscole, numeri e simboli). Tenete conto che potrebbe essere facile da ricordare e molto sicura una frase composta da più parole. Immaginate se la vostra password fosse “Questa è la mia chiave di accesso al sito”, sarebbe praticamente impossibile da trovare per qualsiasi sistema automatico eppure molto semplice da scrivere e ricordare.
Per i più bravi a smanettare potrebbe anche tornare utile il plugin Limit Login Attempts http://wordpress.org/extend/plugins/limit-login-attempts/, che come dice lo stesso nome limita il numero di tentativi di accesso per ip.
Per i tecnici veri e propri potrebbe essere risolutiva la protezione del file wp-login.php mediante htpasswd, cioè l’introduzione di un’ulteriore combinazione di username e password gestita da Apache. Nel caso vi piacesse questo espediente e vi interessasse saperne di più di questo metodo riservato ai più esperti vi consigliamo di googlare un po’.