SupportHost Blog

Proteggere WordPress da attacchi Brute Force

marzo 2, 2018, Scritto da 0 commenti
Questo articolo fa parte di una serie chiamata "Guida WordPress"

WordPress è oggi una delle principali piattaforme per realizzare siti aziendali e blog personali, la sua diffusione è inarrestabile grazie al prezzo, che per il CMS è uguale a zero, e grazie alle numerose personalizzazioni disponibili per temi e funzioni che lo rendono uno strumento ideale per qualsiasi tipo di progetto web. Il successo di WordPress però ha fatto registrare un aumento anche per il numero di attacchi Brute Force, ovvero attacchi di hacker professionisti che tentano di accedere, rubare o distruggere un sito. Ma cosa è un attacco Brute Force e perché il rischio è in aumento?

Un attacco Brute Force è letteralmente un attacco brutale e forzato. L’hacker infatti, attraverso l’utilizzo di un Bot, tenta di accedere al pannello di amministrazione di WordPress, provando un numero indefinito di combinazioni di numeri e lettere. WordPress è una delle piattaforme più colpite, proprio perché è la più diffusa e la maggior parte degli utenti non utilizzano precauzioni. Ad esempio, il sistemai default non ha un limite per il numero di accessi falliti e questo è molto favorevole per i Bot che tentano ripetutamente di completare il login.

Quali siti vengono colpiti da attacchi Brute Force?

Ogni sito che non viene protetto è un possibile obiettivo per un hacker, non conta la provenienza del traffico o il numero di visite giornaliere.

Un sito “bucato” può essere utilizzato per inoltrare gli utenti su altri portali, per inviare spam o compiere un’azione illecita, che quindi potrebbe portare non solo problemi tecnici al sito, ma anche legali per chi lo gestisce. Per questo perdere qualche minuto per proteggere i propri contenuti può rivelarsi una mossa vincente nel tempo.

L’importanza di un servizio hosting contro gli attacchi hacker

Un sito è sicuro se per primo lo è l’hosting che lo ospita. Ad esempio, SupportHost offre piani WordPress con un elevato standard di sicurezza e strumenti che prevengono gli attacchi. Su tutti i server è installato un Chroot Isolation Technology che protegge da eventuali danni se un altro account sullo stesso server viene bucato. Ci sono poi diverse regole mod_security allo scopo di bloccare gli attacchi Brute Force e se un IP sbaglia per 5 volte l’accesso nell’arco di mezzora, viene automaticamente bloccato dal firewall del server

Come capire se un sito è stato attaccato?

Un attacco ben studiato potrebbe essere difficile anche da individuare, è possibile infatti che gli “effetti collaterali” vengano esclusi per l’admin del sito e quindi apparentemente impercettibili. Navigando quindi in modalità nascosta è possibile fare un tour del sito e vedere se sono stati modificati link, se si aprono delle pagine indesiderate, se tra le righe di una pagina sono stati inserite parole o collegamenti estranei, oppure se Google nella pagina dei risultati contrassegna il sito come non sicuro e controllando le pagine indicizzate tramite il comando site:nomedominio.com si riscontrano problemi. Dal lato amministrazione è invece possibile controllare la presenza di file sospetti, di link in uscita in aumento, di mail inviate.

Proteggere WordPress da attacchi Brute Force

Gli strumenti per proteggere un sito WordPress

Il successo di WordPress è dovuto sopratutto al numero di plugin che permettono con qualche clic di aumentare e personalizzare le funzioni del sito, e anche in fatto di sicurezza ci sono alcune applicazioni davvero fondamentali. Ma prima di passare all’installazione e configurazione di questi strumenti è consigliabile da subito cambiare il nome utente con cui si accede al pannello di amministrazione. Di default, dopo ogni installazione WordPress, viene creato un utente admin, che possiede tutti i privilegi per operare sul sito.

La procedura per cambiare nome utente è molto semplice, basta andare sul comando Utenti (nella barra a sinistra) cliccare su Tutti gli Utenti e successivamente andare sull’account desiderato e cliccare Modifica, nella pagina che si apre sarà sufficiente modificare il nome presente e cliccare Salva. Se per qualche motivo risultasse impossibile modificare il nome utente, dovrete procedere alla creazione di un Nuovo utente, a cui dovete assegnare tutti i permessi di amministrazione. Dopo aver salvato e fatto l’accesso con il nuovo utente, basterà tornare nella pagina Utenti e cancellare il vecchio admin. Quando pensate al nome utente evitate l’indirizzo mail, la data di nascita, il proprio nome e cognome e il nome stesso del sito.

Plugin per cambiare indirizzo login

Come detto, WordPress offre delle applicazioni, gratuite e a pagamento, per attivare sul proprio sito alcune configurazioni contro attacchi hacker e virus. Per cercare e installare un plugin basta accedere al pannello di amministrazione, cliccare su plugin, aggiungi nuovo e quindi cercare attraverso l’apposito box. Nelle prossime righe vogliamo parlarvi di un’applicazione tra le più importanti in tema di sicurezza: WPS Hide Login.

Questo è un plugin modifica in un clic l’indirizzo della pagina di login, che solitamente si trova all’indirizzo nomedominio.it/wp-admin o wp-login. Una volta installato e attivato, dovete andare su impostazioni (nella barra dei comandi a sinistra) e cliccare su Login url, quindi inserire nella finestra che si apre, un nuovo indirizzo che utilizzerete per fare il login. La cosa più interessante è che non ci sono regole, potete inserire qualunque cosa, qualsiasi parola a voi familiare, ma dovete ricordarvi che una volta salvate le impostazioni, il vecchio wp-admin non funzionerà più.

Proteggere WordPress da attacchi Brute Force cambiare indirizzo login

 

Altri 3 Plugin WordPress contro gli attacchi Brute Force

 

Il noto CMS offre molti altri accorgimenti per rendere  più sicuro e stabile il vostro sito, ne abbiamo selezionati 3:

  • Login Security Solution: registra l’indirizzo IP e i dati inseriti nella pagina di login, in modo da verificare quando e chi ha tentato di accedere al sito;
  • Limit Login Attempts: con questo plugin potete impostare un numero massimo di tentativi di accesso, oltre i quali l’indirizzo IP viene bloccato;
  • Better WP Security: vi permetterà di configurare una lista di indirizzi IP da bannare.
Riccardo

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi richiesti sono contrassegnati con *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.

[Fake-notification id="2"][Fake-notification id="3"]