Come proteggere WordPress dagli attacchi a forza bruta distribuiti
Il team de IlTuoSpazioWeb, alla luce delle ultime statistiche sugli attacchi informatici indirizzati ai siti internet realizzati con WordPress, ritiene opportuno indicare ai propri utenti quali siano le principali strategie per mettere al riparo le proprie pagine web da eventuali attacchi di forza bruta (brute force attacks), i quali sono finalizzati a decifrare login e password che consentono l' accesso al pannello di amministrazione del Cms, in modo tale da poterne disporre liberamente. Vediamo nel dettaglio come è possibile proteggere WordPress dagli attacchi di forza bruta.
Brute force attacks: di cosa si tratta?
Per attacco di forza bruta si intende il tentativo da parte degli hacker, tramite l'utilizzo di un apposito software, di individuare le credenziali di accesso di un dato programma (nel nostro caso di accedere come admin al sito WordPress).
Il software utilizzato dai malintenzionati, in effetti, è in grado di generare automaticamente tutte le possibili combinazioni di lettere, numeri e simboli fino a individuare quella giusta. Si inizia con la produzione di password da un carattere, poi con due e così via dicendo.
Installazione del Limit Login Attempts
La primissima cosa da fare per tutelare il proprio sito WP da eventuali attacchi di forza bruta è installare il plugin Limit Login Attempts.
Esso è in grado, infatti, di prevenire alcuni tentativi di accesso fraudolento al vostro pannello di amministrazione. In particolare Limit Login Attempts provvede a bloccare tutti gli indirizzi IP degli utenti che hanno sbagliato per più volte a inserire login e password.
Tuttavia questa strategia di difesa risulta insufficiente qualora l'aspirante intruso abbia a disposizione una vasta gamma di indirizzi IP. In quest'ultimo caso è necessario agire diversamente, così come descritto nei successivi step.
Step 1
In primo luogo è opportuno assicurarsi che il sito Wordpress, il template e i plugin siano stati regolarmente aggiornati.
Step 2
A questo punto è necessario installare il seguente plugin: http://wordpress.org/plugins/rename-wp-login/. Esso è disponibile nella vostra bacheca di Wp. Per individuarlo sarà sufficiente cliccare sulla voce di menù Plugin, selezionare l'opzione Aggiungi nuovo e selezionare nel riquadro Rename wp-login.
Infine cliccate il tasto installa adesso e attendete il tempo di installazione necessario.
Una volta completata questa operazione è necessario selezionare la voce Attiva adesso.
Step 3
Qualora la procedura sia stata effettuata in maniera corretta, il sistema vi reindirizzerà alla pagina delle impostazioni sui permalink. Sul fondo della schermata che vi comparirà troverete la dicitura Login url, al cui fianco dovrete inserire, nell'apposito box, il nuovo Url di accesso, avendo la premura di immettere una parola che potrete facilmente ricordare.
Quindi cliccare sul tasto Salva modifiche.
Step 4
L'ultimo step è finalizzato a bloccare tutte le richieste di visita al vostro vecchio file wp-login.php, oramai modificato.
Le eventuali visite infatti produrranno il famigerato errore HTTP 404, ovvero pagina non trovata.
A tal fine è necessario aggiungere il seguente codice all'inizio del vostro .htaccess:
<FilesMatch "wp-login.php">
Deny from All
ErrorDocument 403 "Forbidden"
< /FilesMatch>
Questo può essere fatto tramite un [client FTP] (ricordiamo di spuntare l'opzione mostra file nascosti per visualizzare .htaccess), oppure tramite il File Manager del [cPanel].
Ora che è stato cambiato l'indirizzo di WordPress questo codice bloccherà tutte le richieste al file wp-login. Questo proteggerà il tuo account sia impedendo l'accesso di attacchi contro le installazioni di WordPress, sia riducendo il volume delle esecuzioni PHP in fase di elaborazione.
Speriamo che tu abbia trovato questo tutorial utile, come sempre se hai bisogno di assistenza contattaci aprendo un ticket tramite la nostra Area Clienti ed uno dei nostri tecnici sarà lieto di aiutarti!
