Come proteggere WordPress da attacchi Brute Force

Pubblicato in data 8 Agosto 2019 Categoria Sicurezza WordPress

wordpress brute force

Se gestisci un sito web, prima o poi qualche malintenzionato proverà a “forzarlo” per farsi strada. Che siano bots o hacker umani, anche i piccoli siti devono affrontare questa seccatura, ecco perché la prevenzione dagli attacchi brute force è essenziale se vuoi proteggere il tuo sito WordPress. Fortunatamente, ci sono molte cose che puoi fare per prevenire i tentativi di attacco brute force a WordPress e la maggior parte di questi metodi è piuttosto semplice. Un po’ di lavoro e di sana prevenzione può farti risparmiare un sacco di mal di testa.

In questa guida, spiegheremo cosa sono gli attacchi brute force e parleremo delle opzioni per proteggere un sito WordPress, sia manualmente che tramite plugin.

 

Cosa sono gli attacchi Brute Force?

Immagina che ci sia uno sconosciuto fuori da casa tua e che abbia accesso a un numero infinito di chiavi. Vuole entrare, quindi proverà chiave dopo chiave nella speranza di trovarne una corrispondente alla tua serratura. Le probabilità di successo sono piuttosto scarse, ma se lasci che continui a provare senza ostacoli e abbia tutto il tempo necessario, alla fine potrebbe riuscire nell’intento.

Ecco, se sostituisci quelle chiavi con nomi utente e password, hai un attacco brute force. La buona notizia è che trovare la giusta “chiave” (o credenziali di accesso)  è quasi impossibile per un essere umano e richiede molto tempo per un computer. Tuttavia, se l’attaccante conosce almeno un dato vitale, come il tuo nome utente, il processo diventa più semplice.

WordPress è una piattaforma molto sicura, ma è così popolare che i siti web che la utilizzano tendono ad essere presi di mira per attacchi bruteforce. Ciò significa che dovrai seguire delle sane pratiche di sicurezza o rischi che entrino le persone sbagliate.

 

Quali sono i rischi di un attacco Brute Force?

Se qualcuno accede alla dashboard di WordPress utilizzando un account con privilegi di amministratore, può causare molti danni. Ecco alcuni esempi di ciò che un hacker potrebbe realizzare dopo un attacco brute force riuscito:

Rubare informazioni sull’utente privato, come nomi e indirizzi e-mail
Aggiungere file o collegamenti dannosi alle tue pagine
Defacciare il tuo sito web
Abbattere del tutto il tuo sito

Per dirla in altro modo, se qualcuno sta cercando di farsi strada a casa tua, probabilmente non ha le migliori intenzioni. Vale anche la pena ricordare che non solo i siti web popolari sono obiettivi di attacchi brute force. Se gestisci qualsiasi tipo di sito web, grande o piccolo, dovrai prendere in considerazione l’implementazione di tecniche di protezione da attacchi brute force.

 

Semplici passi per prevenire un attacco a WordPress Brute Force

Fortunatamente, non devi essere un esperto di sicurezza per prevenire i tentativi di hacking. In effetti, solo seguire alcune best practice di base può fare molto per mitigare i rischi. Parliamo di quattro delle migliori tecniche!

Step 1: Utilizza password complesse

Le password sono la tua principale linea di difesa contro gli attacchi brute force. Più lunga e complessa è la password, più sarà difficile decifrarla.

Ecco alcuni suggerimenti per utilizzare le password in modo più efficace:

  • – Imposta password uniche per ciascuno dei tuoi account.
    – Più lunga è la tua password, meglio è. È anche intelligente aggiungere alcuni caratteri speciali.
    – Prova a utilizzare un gestore di password per proteggere tutte le tue credenziali.

Nella nostra esperienza, in particolare i gestori di password possono risolvere molti problemi. Memorizzano tutte le password in modo sicuro e puoi sincronizzarle sulla maggior parte dei dispositivi.

Step 2: Aggiorna il tuo nome utente

Per impostazione predefinita, WordPress assegna il nome utente admin al tuo account amministratore. È facile da ricordare, ma fornisce anche informazioni importanti ai potenziali aggressori.

Sfortunatamente, WordPress non ti consente di cambiare il tuo nome utente dalla dashboard una volta impostato. Se stai già utilizzando un nome utente univoco, allora puoi stare tranquillo. In caso contrario, ci sono due modi per cambiare il nome utente:

  1. Modifica il tuo database
  2. Crea un nuovo account con privilegi di amministratore (e un nome utente univoco) e utilizza questo.

Se usi il secondo metodo, ricorda di eliminare il tuo account originale. In questo modo, gli aggressori non possono usarlo per forzare la loro entrata.

Step 3: Abilita l’autenticazione a due fattori (2FA)

Un sistema di accesso di base con password e nome utente è un processo di autenticazione in un solo passaggio. L’aggiunta di una seconda serie di credenziali a tale processo rende ancora più difficile l’accesso degli aggressori, che è un’ottima notizia per te.

Con l’autenticazione a due fattori (2FA), quando tenti di accedere al tuo account, riceverai un codice unico inviato al tuo indirizzo email o cellulare. Devi inserire quel codice prima di poter entrare. In questo modo, gli aggressori non saranno in grado di accedere al tuo sito a meno che non abbiano le tue credenziali e l’accesso al tuo telefono o email.

Sfortunatamente, WordPress non offre funzionalità 2FA predefinite. Tuttavia, puoi aggiungerlo al tuo sito web in pochi minuti utilizzando il plugin giusto.

Step 4: Esegui la scansione periodica del sito

In alcuni casi, gli aggressori potrebbero ottenere l’accesso al tuo sito web molto prima che tu te ne renda conto. Ecco perché è intelligente fare scansioni  periodiche del tuo sito web alla ricerca di vulnerabilità o accessi non riconosciuti.

Esistono molti strumenti che è possibile utilizzare per verificare la presenza di file dannosi nel proprio sito, ad esempio il servizio Sitecheck di Sucuri. Inoltre, puoi sempre impostare un plugin per conservare i registri di chi accede al tuo sito e quando, in modo da poter individuare eventuali voci non autorizzate.

 

Plugin per la prevenzione Brute Force di WordPress

Oltre ai metodi manuali che abbiamo introdotto sopra, ci sono diversi plugin che puoi usare per prevenire gli hack di WordPress. Prima di concludere, esamineremo tre delle migliori opzioni.

Plugin 1: WPS Hide Login

prevenzione attacchi brute force

Per impostazione predefinita, WordPress utilizza un singolo URL per la tua pagina di accesso. Ciò semplifica la vita degli aggressori, perché sanno esattamente dove si trova la tua porta d’ingresso. Ciò che WPS Hide Login fa è consentirti di modificare tale URL, il che può aiutare a prevenire gli attacchi brute force.

Plugin 2: Google Captcha

Plugin per la prevenzione brute force di WordPress

Il più delle volte, i robot fanno tutto il duro lavoro in un tentativo di brute force. Un modo semplice per fermarli nelle loro tracce è implementare un sistema CAPTCHA nella tua pagina di accesso. Questo è qualcosa che Google Captcha può aiutarti, ed è un’utile aggiunta a qualsiasi sito web.

Plugin 3: Brute Force login protection

login protection plugin

Nella maggior parte dei casi, non ci vogliono decine di tentativi per accedere a un sito web a meno che non si supponga che siano lì. Ciò significa che può essere intelligente limitare il numero di tentativi di accesso che gli utenti possono effettuare di seguito. Brute Force Login Protection ti consente di implementare quella funzionalità e bloccare tentativi di accesso ripetuti dallo stesso indirizzo IP.