Come proteggere il tuo sito dagli attacchi di forza bruta di WordPress?

Ascolta questo articolo

Attacco di forza bruta o (attacco di forza bruta) WordPress soppresso anche prima che l'attacco abbia successo. Molti amministratori di siti vedono le loro risorse del server esaurirsi rapidamente, i loro siti non rispondono o addirittura si bloccano completamente, con il risultato che gli utenti reali vengono bannati. Il problema è che puoi sentirti impotente quando i robot di forza bruta intasano la pagina di accesso cercando di accedere al tuo wp-admin.

Ma non sei impotente. Se visualizzi più tentativi di accesso non riusciti per lo stesso utente, possibilmente da più indirizzi IP, sei nel posto giusto. In questo articolo, spiegherò che aspetto ha un attacco di forza bruta di WordPress e come proteggere il tuo sito da esso.

Il contenuto dell'articolo:

• Che cos'è un attacco di forza bruta di WordPress?
• Come proteggere il tuo sito dagli attacchi di forza bruta di WordPress?
• Impatto di un attacco di forza bruta su WordPress
• Elimina gli effetti dell'iterazione di WordPress
• Il tuo sito è vulnerabile agli attacchi di forza bruta?
• Tipi di attacchi di forza bruta
• Altre best practice per la sicurezza
• Produzione

Che cos'è un attacco di forza bruta di WordPress?

WordPress attacco di forza bruta sono tentativi di ottenere l'accesso non autorizzato al tuo wp-admin provando diverse combinazioni di nomi utente e password. Gli hacker hanno sviluppato bot che bombardano continuamente la pagina di accesso con credenziali attraverso tentativi ed errori.

I bot spesso provano una serie di password del dizionario e sono quindi noti anche come attacchi del dizionario o attacchi per indovinare la password. Gli attacchi possono essere configurati in modo che provengano da indirizzi IP diversi e quindi eludano le misure di sicurezza di base. Esistono altri tipi di attacchi di forza bruta, di cui parlerò più avanti nell'articolo.

L'obiettivo di un attacco di forza bruta è ottenere l'accesso al tuo wp-admin e quindi solitamente installare malware sul tuo sito.

Come proteggere il tuo sito dagli attacchi di forza bruta di WordPress?

È spaventoso sperimentare un attacco di forza bruta, soprattutto perché sembra che non ci sia nulla che tu possa fare per fermarlo. Inoltre, gli effetti dell'attacco sono immediatamente visibili. La maggior parte dei siti dispone di risorse del server limitate che si esauriscono rapidamente e spesso il sito attaccato si blocca completamente.

Fortunatamente, c'è molto che puoi fare per prevenire gli attacchi di forza bruta di WordPress. Ecco un elenco di passaggi di forza bruta di WordPress che bloccheranno la maggior parte degli attacchi e mitigheranno il peggio.

1. Limita il numero di tentativi di accesso

Il modo migliore per fermare un attacco di forza bruta di WordPress è limitare il numero di tentativi di accesso. Se la password errata viene inserita troppe volte nella pagina di accesso, l'account viene temporaneamente bloccato. Ciò blocca l'efficacia del bot a forza bruta poiché utilizza tentativi ed errori per indovinare le credenziali. Inoltre, poiché il bot non può provare diverse migliaia di combinazioni, nessuna richiesta viene inviata al server e nessuna risorsa viene spesa per l'attività del bot.

Per impostazione predefinita, WordPress consente un numero illimitato di tentativi di accesso, quindi è principalmente suscettibile agli attacchi di forza bruta. Con i plug-in di sicurezza, puoi attivare automaticamente le restrizioni di protezione dell'accesso.

Infatti, se un utente ha dimenticato legalmente la propria password, può risolvere un captcha per aggirare facilmente il blocco. Pertanto, limitare i tentativi di accesso impedisce ai bot di forza bruta di infiltrarsi senza avere un impatto negativo sugli utenti reali.

2. Blocca i bot dannosi e indesiderati

Gli attacchi di forza bruta sono quasi sempre eseguiti da bot. I bot sono piccoli programmi progettati per eseguire ripetutamente un compito semplice, rendendoli ideali per attacchi di forza bruta. Il bot proverà un numero di credenziali nella pagina di accesso finché non trova una corrispondenza.

Inoltre, oltre 25% di tutto il traffico del sito Web proviene da bot, quindi esistono molti sistemi di sicurezza che proteggono dai bot. Tuttavia, c'è un'importante distinzione da fare qui: tutti i bot non sono cattivi. Ce ne sono di buoni come altri crawler dei motori di ricerca e robot di monitoraggio del tempo di attività.

Vuoi che siano in grado di accedere al tuo sito, quindi è importante ottenere una protezione dai bot che blocchi in modo intelligente solo i bot dannosi e indesiderati. Esistono molti plug-in anti-bot come All In One WP Security e Wordfence Security, ma per impostazione predefinita bloccano tutti i bot, incluso Googlebot.

3. Installare un firewall per applicazioni Web

La protezione dell'accesso è una protezione contro gli attacchi di forza bruta, mentre il firewall è una protezione contro tutti i tipi di attacchi; compresa la forza bruta.

I firewall utilizzano regole per bloccare il traffico dannoso e fanno molto per proteggere il tuo sito web. Inoltre, i firewall attenuano uno dei problemi più gravi degli attacchi di forza bruta, l'eccessiva sollecitazione delle risorse del server, bloccando ripetute richieste errate.

Gli attacchi di forza bruta sono spesso configurati per attaccare da più indirizzi IP e possono quindi aggirare la maggior parte dei firewall. Tuttavia, con un firewall, il tuo sito web diventa parte della protezione globale della proprietà intellettuale. Il firewall apprende quali indirizzi IP sono dannosi in base al comportamento registrato su oltre 153.470 siti Web e blocca attivamente il traffico da essi. Queste misure riducono notevolmente la quantità di traffico dannoso verso il tuo sito in primo luogo prima che il bot possa persino hackerare la pagina di accesso del tuo sito.

4. Aggiungi l'autenticazione a due fattori a WordPress

I nomi utente e le password possono essere indovinati, quindi l'autenticazione a due fattori, o anche l'autenticazione a più fattori, è emersa come un modo per avere elementi dinamici per l'autenticazione dell'utente. Con l'autenticazione a due fattori, un token di accesso in tempo reale, come un OTP o un codice QR, viene trasferito al dispositivo dell'utente. Ha una durata limitata, in genere di circa 10-15 minuti, e può autenticare l'utente solo per quella sessione.

Un token aggiuntivo è difficile da hackerare a parte il login e la password. Quindi aggiunge un altro livello di sicurezza alla pagina di accesso. Puoi installare un plug-in come WP 2FA per aggiungere facilmente l'autenticazione a due fattori al tuo sito.

5. Usa password complesse e univoche

Il più grande difetto di sicurezza è l'utente stesso e, di conseguenza, le password da lui impostate. Le password sono la più grande vulnerabilità in qualsiasi sistema di sicurezza a causa della (comprensibile) tendenza umana a impostare password facili da ricordare e riutilizzarle per account diversi. Questi sono in realtà due problemi di password separati e diversi.

- Primo, non riutilizzare mai password per account diversi. Molti bot a forza bruta utilizzano password rubate a causa della fuga di dati per attaccare le pagine di accesso.

- In secondo luogo, come capisci, una password come "password" è molto facile da indovinare. Usa un minimo di 12 caratteri incomprensibili o, ancora meglio, usa una passphrase come password.

Consiglio di utilizzare un gestore di password come LastPass o 1Password per evitare il riutilizzo delle password e creare password complesse secondo necessità. Se sospetti che un account sia stato compromesso, puoi forzare il ripristino di tutte le password.

6. Disabilita XML-RPC in WordPress

Un file XML-RPC è un altro modo per autenticare gli utenti. In altre parole, è un modo alternativo per accedere al tuo pannello di amministrazione, quindi è anche suscettibile agli attacchi di forza bruta. Questo è un file in gran parte obsoleto che non viene utilizzato attivamente da molti plugin o temi. È ancora incluso in WordPress per compatibilità con le versioni precedenti ed è quindi relativamente sicuro da disabilitare.

7. Controllare ed eliminare regolarmente gli account utente inutilizzati

Gli account inattivi sono spesso presi di mira dagli hacker perché c'è la possibilità che gli utenti non si accorgano se i loro account sono stati violati. Inoltre, gli account dormienti hanno le stesse password per lunghi periodi di tempo, rendendoli più facili da usare con la forza bruta.

Pertanto, controlla regolarmente gli account utente ed elimina quelli che non vengono utilizzati attivamente. Per guadagnare punti extra, assicurati che ogni account disponga dei diritti utente minimi richiesti per gestire il proprio account. Ad esempio, è sconsiderato rendere tutti amministratori.

8. Considera il blocco geografico in WordPress

Se vedi molto traffico di bot da un posto, puoi bloccare l'intero paese. Tuttavia, consiglio cautela quando si utilizza il blocco geografico. Questo è utile solo se non ti aspetti alcun utente legittimo dalla posizione.

Inoltre, tieni presente che può tenere i robot buoni fuori da quella regione. Ad esempio, Googlebot può essere eseguito da uno qualsiasi dei loro server nel mondo e desideri assolutamente che Googlebot acceda al tuo sito.

9. Disattivare la navigazione nella directory

Per impostazione predefinita, la maggior parte delle principali cartelle e file di WordPress sono accessibili pubblicamente tramite il browser. Ad esempio, puoi inserire yourwebsite.ru/wp-includes nella barra degli indirizzi del tuo browser e tutto il contenuto della cartella sarà immediatamente visibile.

Sebbene la navigazione nelle directory non sia di per sé una vulnerabilità, può rivelare informazioni su un sito, che a loro volta possono essere utilizzate per sfruttare le vulnerabilità.

La cartella /wp-content contiene plugin e temi, e se un hacker può vedere quali sono installati e i loro numeri di versione, può potenzialmente trovare e sfruttare le vulnerabilità. Questo è un tipo meno popolare di attacco di forza bruta chiamato attacco di forza bruta. Pertanto, come misura precauzionale, ha senso disabilitare del tutto la navigazione nelle directory.

Soluzioni che potresti conoscere altrove ma che non dovresti implementare sul tuo sito

Ci sono molti consigli sulla sicurezza ben intenzionati ma molto cattivi là fuori. Quindi, oltre a questo elenco di cosa fare, elencherò anche cosa non fare.

• Proteggi la directory wp-admin con una password: non farlo affatto. Appare in quasi tutti gli articoli sulla prevenzione della forza bruta. La password che protegge la directory wp-admin interromperà AJAX per gli utenti non registrati limitando l'accesso al file admin-ajax.php. AJAX viene spesso utilizzato per supportare gli aspetti dinamici dei siti web. Supponiamo che tu abbia una barra di ricerca sul tuo sito. Se un visitatore lo utilizza per cercare prodotti, verranno ricaricati solo i risultati della ricerca, non l'intero sito web. Ciò consente di risparmiare molte risorse e velocizza e migliora notevolmente l'esperienza utente dei siti Web. Vedrai anche molte soluzioni alternative per escludere il file admin-ajax.php, ma non sempre funzionano senza problemi. La linea di fondo è che lo sforzo che comportano soluzioni alternative non riflette un livello di sicurezza commisurato. Quindi questo è un passo enorme per un piccolo vantaggio in più.
• modifica dell'URL di accesso di wp: Questo suggerimento si trova spesso negli articoli sul rafforzamento della sicurezza di WordPress. Tuttavia, sconsiglio vivamente di modificare l'URL di accesso poiché è quasi impossibile recuperarlo se viene perso. (a meno che, ovviamente, non lo abbiate scritto, su un pezzo di carta che giace in una cassaforte)
• Evita di utilizzare admin come nome utente: Poiché i bot a forza bruta tentano efficacemente di indovinare le combinazioni nome utente/password, ha senso evitare nomi utente ovvi come admin. WordPress non ti consente di modificare i nomi utente dal pannello di controllo, quindi dovrai installare un plug-in per farlo. Tuttavia, questa misura ha un valore limitato e ti consiglio di non dedicarci troppo tempo e fatica. Esistono altri modi per recuperare i nomi utente da determinati tipi di siti, come i siti di appartenenza. Lo sforzo richiesto per avere nomi utente univoci per i membri, applicare la politica e quindi affrontare le inevitabili conseguenze delle persone che dimenticano i loro nomi utente univoci non vale il vantaggio limitato.

Impatto di un attacco di forza bruta su WordPress

Ci sono due modi per pensare alle conseguenze di un attacco di forza bruta. Primo, cosa succede durante l'attacco e secondo, cosa succede se l'attacco ha successo.

In genere, la prima domanda non si presenta spesso negli attacchi perché l'impatto sul sito Web è minimo o nullo mentre viene attaccato. Le conseguenze diventano evidenti dopo un attacco riuscito. Tuttavia, questo non si applica agli attacchi di forza bruta.

Cosa succede quando il tuo sito è sottoposto a forzatura bruta?

Vedrai un impatto immediato sulle risorse del server. Poiché l'attacco sta bombardando la tua pagina di accesso con richieste, il server deve rispondere a ognuna di esse. Pertanto, vedrai tutte le conseguenze dell'aumento dell'utilizzo del server sul tuo sito Web: sito Web più lento, alcuni utenti non possono accedere, tempi di inattività, indisponibilità e così via. Gli host Web sono anche pronti a limitare l'utilizzo del server in quanto ciò influirà sulle loro prestazioni, soprattutto se si utilizza l'hosting condiviso.

Cosa succede se un attacco di forza bruta ha successo?

Se l'attacco ha successo, puoi ragionevolmente aspettarti malware o qualche tipo di danneggiamento. Ci sono diversi motivi per cui gli hacker vogliono accedere al tuo sito e nessuno di questi è buono.

Se ciò non bastasse, il tuo sito Web potrebbe diventare parte di una botnet ed essere utilizzato per attaccare altri siti Web senza il tuo consenso. Ciò può avere gravi conseguenze, poiché altri sistemi di sicurezza contrassegnano il tuo sito Web come dannoso se fa parte di una botnet.

Elimina gli effetti dell'iterazione di WordPress

Se un attacco di forza bruta ha avuto successo, dovresti presumere il peggio: il tuo sito è stato compromesso. Pertanto, la tua prima priorità è proteggere il tuo sito. Ecco i passaggi principali da seguire per limitare i danni:

1. Forza il logout di tutti gli utenti e cambia tutte le password;
2. Scansiona immediatamente il tuo sito alla ricerca di malware.

Dopo esserti assicurato che il tuo sito sia privo di malware, segui i passaggi di prevenzione sopra elencati.

Il tuo sito è vulnerabile agli attacchi di forza bruta?

Sì, tutti i sistemi sono vulnerabili agli attacchi di forza bruta. A causa del modo in cui funzionano, gli attacchi di forza bruta possono essere lanciati contro qualsiasi sistema con una pagina di accesso. I siti Web WordPress non sono diversi. La popolarità di WordPress lo rende un bersaglio per gli hacker.

• Innanzitutto, è perché la maggior parte di Internet è alimentata da WordPress.
• Secondo, perché alcuni aspetti di WordPress sono ben noti.

In un esempio particolarmente rilevante per gli attacchi di forza bruta, WordPress non limita i tentativi di accesso non validi. Puoi risolvere questo problema con la funzione di limitazione dell'accesso con i plug-in di sicurezza.

Inoltre, molti proprietari di siti tendono a utilizzare nomi utente e password facili da ricordare. Quelli comuni includono admin come nome utente e password1234 o 12345678 come password. Questi fattori rendono il tuo sito vulnerabile agli attacchi di forza bruta.

Tipi di attacchi di forza bruta

Gli attacchi di forza bruta sono diversi da altri tipi di minacce e attacchi come attacchi di ingegneria sociale o attacchi XSS. Gli attacchi di ingegneria sociale come il phishing manipolano le persone affinché condividano le proprie credenziali impersonando una persona fidata, mentre gli attacchi XSS sfruttano le vulnerabilità in un sito web. Gli attacchi di forza bruta si basano su credenziali deboli o rubate per avere successo.

Vedrai diverse varietà di attacchi di forza bruta in natura. Seguono tutti lo stesso schema di tentativi ed errori, ma le credenziali che provano o il meccanismo che utilizzano possono differire. Ecco alcuni dei tipi più comuni di attacchi di forza bruta:

• Attacchi semplici: semplici attacchi di forza bruta utilizzano la logica per indovinare le credenziali in base alla loro conoscenza dell'utente, come nomi di animali domestici o compleanni ottenuti, ad esempio, da siti di social network.
• Compilazione delle credenziali: questo tipo di attacco sfrutta i dati compromessi sulla base del presupposto che gli utenti tendano a utilizzare gli stessi nomi utente e password su più sistemi.
• attacco del dizionario: Come suggerisce il nome, questi bot utilizzano file dizionario per le password. Può essere un vero dizionario o uno creato appositamente per indovinare una password.
• Attacchi al tavolo arcobaleno: Simile a un attacco di dizionario, una tabella arcobaleno è un tipo speciale di elenco di dizionari. Invece di un elenco di password, la tabella arcobaleno contiene un elenco di password con hash.
• Spruzzo di password: Questo tipo di attacco è logicamente un attacco di forza bruta. Nei tipici attacchi di forza bruta, l'obiettivo è un nome utente specifico e il gioco di indovinelli viene giocato con una password. Al contrario, nella spruzzatura delle password, un elenco di password viene confrontato con più nomi utente per trovare una potenziale corrispondenza. Questo è un attacco più distribuito rispetto a uno mirato.

In qualità di amministratore del sito, potrebbe non essere necessario conoscere le differenze tra i diversi tipi di attacchi di forza bruta. Tuttavia, questi termini sono spesso usati in modo intercambiabile, quindi è utile avere una comprensione dei meccanismi sottostanti.

Altre best practice per la sicurezza

Prevenire gli attacchi di forza bruta di WordPress è un grande obiettivo, ma è solo una parte della sicurezza del sito web. Ecco alcuni suggerimenti utili per proteggere il tuo sito dal malware:

1. Installa un plug-in di sicurezza con un buon scanner e pulitore di malware;
2. Tieni tutto aggiornato (tema, plugin, wp);
3. Usa backup giornalieri.

Produzione

Gli attacchi di forza bruta possono far crollare un sito Web anche se non hanno successo. Il modo migliore per affrontare questa potenziale minaccia è installare un firewall con protezione bot integrata.

Anche se un attacco di forza bruta ha successo, il firewall ti aiuterà a rilevare rapidamente il malware e rimuoverlo. Come per tutte le infezioni, un'azione rapida limiterà notevolmente il danno.

Leggendo questo articolo:

• Come bloccare un paese su WordPress?
• WordPress SQL Injection: una guida completa alla protezione

Grazie per aver letto: AIUTO SEO | NICOLA.TOP