È da tempo stato pubblicato su GitHub Wordbrutepress di Claudio Viviani in grado di eseguire un attacco informatico “a dizionario” verso WordPress, la piattaforma per blog utilizzata ormai quasi universalmente sui siti web. In sostanza, il codice è stato testato sulle versioni di WP 3.x e 4.x, e permette di effettuare un attacco in multi-thread (più veloce, richiede meno tempo ad essere eseguito), sfruttando XML-RPC, sia HTTP che HTTPS e con la funzionalità di sfruttare uno user agent casuale, in modo da evitare i ban.
Avviso: Non è nostra intenzione istigare o incoraggiare comportamenti illegali. La violazione informatica è un reato punibile per legge. Si ricorda che questo software va usato con cognizione di causa, essendo un sorgente pubblicamente ispezionabile da usare soprattutto a scopo di protezione da attacchi del genere o al fine di rilevare potenziali vulnerabilità in un software.
Che cos’è XML RPC
XML-RPC (Remote Procedure Call via XML) viene utilizzato da WP per gestire le chiamate remote, ed è normalmente abilitato di default dalla versione 3.5: a livello di sicurezza informatica, nello specifico, è un mezzo ideale, purtroppo, sia per tentare attacchi brute force che per usare il nostro sito come mezzo per effettuare attacchi DDOS ad altri siti. Per quanto non sia evidente la sua utilità ad un principiante, sconsiglio di disabilitarlo (alcuni plugin ne fanno uso) a meno che, ovviamente, non ci sia un attacco in corso documentato. Disabilitandolo con un plugin come questo, di fatto, si rischia di inficiare il corretto funzionamento di WP: qualsiasi analisi o comportamento dovrebbe quindi essere valutato con attenzione da un esperto nel settore.
Come proteggersi da questo tipo di attacchi informatici
La migliore protezione risiede in questo caso nell’uso di password forti: gli utenti ordinari non devono comunque allarmarsi troppo, poichè questo genere di script viene creato a scopo di analisi/test per svelare eventuali password troppo deboli o ingenue; una cosa essenziale, in quest’ottica, e considerando che teoricamente qualsiasi sito potrebbe essere attaccato da uno script del genere anche per periodi lunghi, è quello di utilizzare un buon hosting con opportune protezioni, variare spesso le password, usare un plugin per la sicurezza di WP e non adottare, soprattutto, password scontate o troppo facili da indovinare.
Leggi anche: Le password da non usare in nessun caso
(fonte: oversecurity)
👇 Da non perdere 👇
- 📈 Analizza Cellulari 📱
- 🔐 AI che dolor, Chat
- 🎯 Targetizza Database SQL 🗄
- 📊 Analizza Errori più comuni 📛
- 🚧 Costruisci Evergreen 📟
- 👩💻 Programma Gratis 🎉
- 💻 Configura Hosting a confronto 💑
- 🔒 Conosci Hosting reti e domini 💻
- 👩💻 Tapioca Informatica 🖥
- 💻 Iconizza Internet 💻
- 🔒 Gestisci Lavoro 🔧
- 💡 Mostra Marketing & SEO 🌪
- 🔑 Apprendi Meteo ⛅
- 🤯 Visiona Mondo Apple 🍎
- 🔍 Supervisiona Mondo Domini 🌐
- 🚀 Metti in cloud monitoraggio servizi online 📈
- 🔮 Anatomizza Nuove tecnologie 🖥
- 🔒 Antani PEC e firma digitale 📩
- 👀 Prematura Programmare 🖥
- 🎮 Lonfa Scrivere 🖋
- 🔒 Conosci Servizi di SMS 📶
- 👀 Guarda Sicurezza informatica e privacy digitale 🖥
- 🎮 Ricorda Siti web 🌎
- 🤖 Ottimizza Spiegoni 🎓
- 🧠 Neuralizza Svago 🎈
- 📡 Quantizza Usare Excel 🌀
- 🤖 Sovrascrivi Windows 😲
- 🎨 Personalizza Wireless 🚁
- 🔑 Decifra WordPress 🤵
- 💬 Il nostro canale Telegram: iscriviti
- 🔵 Bonding: cos’è e a cosa serve
- 🔴 Dimensioni del database WordPress aumentano troppo, perchè?
- 🔴 User friendly: significato e contesto
