loggare i tentativi di accesso

[gdigioie]

Buonasera, su uno dei miei siti (altervista) ho inserito il plugin Password Protected, così tutto il sito è protetto da password (per il momento mi serve cosi)

C’è un modo per loggare i tentativi di accesso e sapere che password stanno cercando di usare per entrare?
In pratica mi servirebbe avere un file di log con le password inserite e gli indirizzi IP di chi è stato.

Ho cercato nella sezione plugin, ma sono un po’ imbranata con l’inglese e non ho trovato niente e nemmeno su google, se c’è qualcuno che mi possa aiutare, lo ringrazio già da adesso.

(su quel sito ho WP, scaricato e installato manualmente, non uso quello di altervista)

[darbula]

Puoi abilitare Two-factor authentication (2FA) Autentificazione a due fattori.
Installa il plugin https://wordpress.org/plugins/wordfence/ e avrai una settimana per autoistruire il firewall in base come ti muovi abitualmente.
Se poi userai CloudFlare ti consiglio anche tale plugin https://wordpress.org/plugins/cloudflare/ (effettua il login e non toccare null'altro.. ti converte nel tuo ip reale invece del reverse proxy).
In tali ipotesi (CloudFlare) esiste impostazione anche per wordfence. (Con questo plugin puoi anche bloccare la fruizione del tuo sito).. Documentati sempre.
Poi non ricordo se è possibile abilitare il recaptcha gratuitamente tramite WordFence.
Questa è la guida login e usa anche il traduttore integrato nel tuo browser.

[gdigioie]

si ma le password che provano ad inserire, me le salva?

[darbula]

A quale scopo? Non credo.. Tecnicamente la password va maturata con il tempo (cioè ogni sei mesi la cambi).. se poi c'è l'autenticazione a due fattori, recaptcha e limite di tentativi è ancora meglio.
L'unico computer sicuro è quello spento :)
Che poi effettivamente se da xmlrpc.xml è bloccata e copi la pagina di login con nome diverso probabilmente i Bot difficilmente tentano di bucare il server.
Che poi sarebbe il sunto di questa discussione http://forum.it.altervista.org/wordp...ml#post1472429 (magari per adesso goditi il sito, più avanti con pazienza ci provi, ovviamente nel caso di sito già avviato occorre backup dei file ftp e del database. Ovvio la cartella upload o cartelle che contengono file non vanno cancellate).

[gdigioie]

mi servirebbe solo sapere se esiste un plugin che salva le password che vengono provate, perché so che qualcuno le sta provando e vorrei sapere quali password inserisce... non posso spiegare di più in pubblico...

[darbula]

No mi dispiace non conosco plugin che salvano la password (che comunque dovrebbe essere solo hash generato e non effettivamente il testo digitato.. appunto per motivi di sicurezza anche rivolte a terzi).
Spero qualche membro dello staff potrà aiutarti.

[alemoppo]

Non credo nemmeno sia una cosa "legale" salvare eventuali tentativi di password in chiaro: alcuni utenti potrebbero utilizzare la combinazione email + password per altri siti, anche se magari non è la combinazione corretta per il tuo sito.

Ciao!