Come limitare gli attacchi brute-force su WP

Come limitare gli attacchi brute-force su WP

Restando in tema sicurezza, di recente è stato registrato uno degli attacchi brute-force più brutali mai registrati contro il povero wordpress: gli hosting si stanno affannando nel fare in modo di proteggere al meglio i propri sistemi, per quanto sia necessaria la collaborazione di tutti i webmaster.

wordpress-logo-300x300Gli hosting con supporto WordPress sono molto numerosi, per cui il problema di sicurezza in questione (un attacco brute-force da oltre 90.000 IP differenti, con tanto di installazione di una backdoor nel CMS) si è diffuso a macchia d’olio e moltissimi sono stati i blog colpiti. Avevo già discusso in passato dei metodi per mettere in sicurezza il proprio sito, ma è sempre opportuno proporre una lista aggiornata, come farò in questo post a breve. Il problema di fatto è molto grosso, ed è ancora a mio parere parzialmente sottovalutato da hosting minori e webmaster poco attenti: ho una testimonianza diretta di un  hoster che ha dovuto addirittura cambiare gli IP dei propri server pur di risolvere il problema.

HostGator inoltre, storicamente molto attenta alla sicurezza, ha pubblicato un articolo in cui spiega nel dettaglio come sia possibile proteggere al meglio il proprio blog, sfruttando una password ulteriore da richiedere su wp-login.php, in modo da evitare problemi derivanti da tentativi automatizzati di login. L’attacco si struttura in modo molto semplice quanto pericoloso, in quanto è basato su un dizionario di password molto comuni che vengono testate automaticamente da un range di  decine di migliaia di IP differenti (in modo da limitare la possibilità di ricevere ban automatici dal server), e se inavvertitamente la password fosse indovinata l’attaccante prende il controllo del sito da amministratore ed installa una backdoor che poi potrà sfruttare inavvertitamente nel seguito. In altri casi, invece, il blog della vittima viene manipolato e non è più visibile, senza contare che se si riuscisse ad accedere da amministratore si potrebbero cancellare i vecchi articoli, pubblicare articoli di spam e via dicendo.

La prima regola da seguire è quella di non utilizzare mai password banali per i propri account: ciò non vale solo per wordpress ma anche per le email, per il sito della nostra banca e via dicendo. Gli attacchi basati su dizionario sono molto diffusi e giocano proprio sulle ingenuità degli utenti che utilizzano parole d’ordine come “mionome123” e simili, per cui rinforzate la sicurezza della vostra password e, soprattutto, cambiatela almeno una volta al mese.

Seconda regola di sicurezza da seguire: rimuovere l’utente admin che viene creato di default, ricreando da questa utenza un amministratore con una username differente, accedere con quest’ultima e fare fuori l’utenza. Credo che nelle prossime versioni di wordpress sia plausibile che il nome admin non sia più permesso dall’inizio (almeno, spero che ciò succeda davvero già dalla prossima release). In questo modo le possibilità di accedere indebitamente al sistema saranno notevolmente ridotte, visto che già conoscere l’utenza – addirittura quella amministrativa – aiuta notevolmente le azioni di hacking contro il nostro sito. In secondo luogo possiamo installare almeno un paio dei seguenti plugin di sicurezza WP:

  1. Better WP Security
  2. BulletProof Security
  3. WordFence
  4. WebsiteDefender

Infine, come misura estrema ma altrettanto efficace, possiamo pensare di proteggere la cartella di accesso al menù di amministrazione con una doppia password, come descritto sul blog di Keliweb. Di sicuro la sicurezza non deve essere sottovalutata (come ho scritto stamattina per la situazione scandalosa presente attualmente su Whatsapp): in questo caso dipende tutto da noi webmaster e sarebbe anche il caso di chiedere al nostro hoster suggerimenti per situazioni di questo tipo.

Photo by p0ps Harlow

Ti piace questo articolo?

0 voti

Su Trovalost.it puntiamo sulla qualità dei contenuti da quando siamo nati: la tua sincera valutazione può aiutarci a migliorare ogni giorno.

Ti potrebbero interessare (Guide WordPress):

Cerca altro nel sito

Clicca sul box, e scegli la sezione per vederne i contenuti.