Proteggere WordPress dagli attacchi di brute force
Recentemente molti siti realizzati grazie ad uno dei più popolari CMS di nome WordPress sono stati presi di mira con attacchi di Brute Force, causando problemi di lentezza nonchè di sicurezza ai siti stessi.
L’attaccato in questione conosciuto con il nome di “Brute Force” cerca di sfruttare le vulnerabilità delle “vecchie” installazioni di WordPress, semplicemente per cercare di ottenere l’accesso all’area di amministrazione del sito.
In passato abbiamo suggerito come proteggere i siti realizzati con WordPress pubblicando l’articolo [Proteggi la tua installazione di wordpress].
Oggi vogliamo suggerire come proteggere WordPress dagli attacchi di Brute Force.
Questo attacco mira attraverso tentativi multipli di accesso ad individuare il nome utente e la password, fino a quando questi non vengono trovati o fino a quando l’attacco stesso non viene terminato.
Tali attacchi sono condotti in rete usando dei bot che in automatico provano varie combinazioni di password, sia random sia da dizionario, si tenta di “indovinare” quella giusta. Naturalmente ci vorrà del tempo, ma poiché sembra che la maggioranza degli utenti utilizzino password di uso comune (si dice che le TOP 100 Password più usate possano scardinare almeno l’80% dei siti) si suppone che non ci voglia molto a trovarla.
Il 6 marzo 2014, WordFence (un popolare fornitore di plugin per la sicurezza di WordPress) ha fatto la seguente annuncio:
We’re seeing an unusually large WordPress attack underway. Our automated alert system triggered and posted to FB and Twitter earlier today. The attack is visible on [http://www.wordfence.com] and as you can see it is peaking at 40,000 attacks per minute currently. Normal attack frequency is around 2000 attacks per minute. The attack started at 7:30 AM Pacific Time this morning. It is still underway. The nature of the attack is a large botnet that is generating a huge number of failed WordPress login attempts.
Lo scopo di questo post è quello di insegnare come proteggere la vostra installazione di WordPress da questi attacchi.
1) Per motivi di sicurezza e per i successivi passaggi, è essenziale ed è importante che il vostro WordPress sia aggiornato all’ultima versione – inclusi i plugin ed il tema.
2) Adesso che hai aggiornato WP alla versione 3.8 + ti suggeriamo di installare il seguente plugin: http://wordpress.org/plugins/rename-wp-login/
È possibile farlo rapidamente all’interno della tua dashboard di WordPress.
Clicca su “Plugins”> “Aggiungi Nuovo”. Una volta lì, basta digitare “Rename wp-login.php” nella casella di ricerca:
Clicca su “Install Now”, confermare il messaggio di avvertimento ed installa.
3) Completata l’installazione del plugin, fai clic su “Attiva plugin”
4) Se hai seguito correttamente tutti i passaggi precedenti, sarai reindirizzato automaticamente alla pagina delle “Impostazioni dei Permalink”.
Qui è necessario scorrere fino alla fine della pagina per cercare l’opzione “Login url”.
Ora è possibile configurare il vostro nuovo url per il login. In questo esempio, abbiamo scelto “bloglogin” – suggeriamo di sceglie un URL unico nel suo genere e facile da ricordare.
<FilesMatch "wp-login.php"> Deny from All ErrorDocument 403 "Forbidden" </FilesMatch>
Questo può essere fatto tramite un [client FTP] (ricordiamo di spuntare l’opzione “mostra file nascosti” per visualizzare .htaccess), oppure tramite il File Manager del [cPanel].
Speriamo che tu abbia trovato questo tutorial utile, come sempre se hai bisogno di assistenza contattaci aprendo un ticket tramite la nostra Area Clienti ed uno dei nostri tecnici sarà lieto di aiutarti!