In questa breve guida ti parleremo di cosa sono gli attacchi brute force e di quali sono i possibili rimedi semplici da applicare su un sito sviluppato in WordPress.
Il fatto che gli attacchi hacker contro i siti WordPress siano il pane quotidiano di molti webmaster non è sicuramente un mistero. Ne esistono di tantissimi tipi e quanto più complesso è il sito in questione più esposto sarà il sito a possibili attacchi.
In questo articolo ci proponiamo di partire dalla tipologia di attacco più frequente al quale sottoposti i siti web ed al tempo stesso il più semplice da contrastare pur non essendo esperti in sicurezza informatica.
Cosa è un attacco brute force?
Un attacco brute force è un metodo informatico mediante il quale un aggressore cerca di ottenere l’accesso a un sistema o a un account attraverso la forza bruta, esplorando in modo sistematico tutte le possibili combinazioni di username e password fino a individuare quella corretta.
Gli aggressori utilizzano spesso software automatizzati che possono testare migliaia di combinazioni in breve tempo. Per proteggersi da tali attacchi, gli amministratori di siti web spesso implementano misure di sicurezza come limitazioni di tentativi di accesso, l’uso di password complesse e l’adozione di sistemi di autenticazione a due fattori
Inoltre, è fondamentale mantenere i software e i plugin aggiornati per colmare eventuali vulnerabilità che potrebbero essere sfruttate dagli attaccanti.
Servizio antispam professionale
Come avviene un attacco brute force nella pratica?
Semplicissimo, “l’attaccante” che normalmente è un bot, il cui funzionamento ricorda molto quello degli spambot, che cerca di indovinare il link di accesso al pannello di login di un sito e, una volta trovato, inizia a provare ad entrare.
Nel caso dei siti wordpress, i link sono quasi sempre “www.tuosito.it/wp-admin” oppure “www.tuosito.ut/wp-login”.
Come proteggersi?
Se sei un utente esperto, ti raccomandiamo di seguire i consigli qui di seguito, se invece non lo sei è sempre consigliabile non trafficare con plugin di questo genere che potrebbero andare a creare conflitti e malfunzionamenti del sito. Nel secondo caso il nostro consiglio è quello di richiedere assistenza per il tuo sito wordpress a dei professionisti.
Bisogna inoltre fare una piccola precisazione. Gli attacchi bruteforce non riguardano solo siti internet o piattaforme wordpress ma anche account come quelli di gmail, facebook, socials ed altre piattaforme e provider di servizi, soprattutto importanti.
i consigli che ti diamo in questo articolo applicano quindi anche a chi lavora in smart working o per chi sta cercando di creare un business in autonomia.
User e password efficaci
Può sembrare stupido ma utilizzare delle credenziali d’accesso difficili da indovinare è il primo passo.
Nel mondo la maggior parte dei siti vengono hackerati perché utilizzano una combinazione di username e password come quelle che ti riporto:
User:
- admin (80-90% dei casi);
- administrator (5-10%);
- stesso nome utente che appare nei blog post.
Password:
- admin
- 123456
- 123123
- abc123
- abcde
- password
Statisticamente anche tu hai un account in giro per internet che utilizza una di queste credenziali o una combinazione di esse.
Limitare Tentativi di Login
Esistono dei plugin molto basici che consentono di impostare il numero massimo di tentativi d’accesso ad un valore prefissato e che poi bloccano i tentativi provenienti dallo stesso indirizzo IP.
Il più famoso e semplice è Limiti Login Attempt, molto efficace già nella sua versione gratuita.
Cambiare url del login
Invece di utilizzare il link classico che ci impone wordpress, sempre tramite plugin è possibile cambiarne l’indirizzo magari utilizzando una nomenclatura difficile da indovinare del tipo “www.tuosito.it/tantononentri”
Bloccare IP e Paesi d’origine
Infine, a mali estremi, è possibile bloccare gli utenti in base al Paese di provenienza o lingua del browser. Se il tuo sito non è multilingua e il tuo pubblico non è sparso in giro per il mondo è sicuramente un rimedio efficace. Un plugin per farlo è Antispam Bee oppure WordFence (più completo ma più pesante).
Servizio antispam professionale
