Cerca

WordPress brute force

WordPress brute force - sicurezza violazione password

Gira voce che sia in corso un attacco di grandi dimensioni, rivolto soprattutto a siti e blog su piattaforma WordPress. Un attacco di tipo “brute force”, tentativi cioè di violare l’utente admin del nostro CMS preferito.

Che sia vero o meno riguardo l’attacco massiccio di questi giorni, non ho ancora avuto modo di verificare, tentativi di violazione di questo genere sono sempre all’ordine del giorno, e bisogna sempre stare in campana.

Come proteggersi da questo tipo di attacchi?

Ci sono livelli di protezione diversi, ma il “minimo sindacale” che si trova in mille articoli in rete si può riassumere con:

  • Se esiste un utente admin in WordPress, eliminarlo. (Anche se io, vedi dopo…)
  • Se esiste un utente con ID uguale a 1, e cioè l’ID tipico del primo utente del WordPress appena installato, solitamente un utente amministratore, eliminare pure quello. (Anche se io, vedi dopo…)
  • Usare password serie, non cazzate.
  • Usare un plugin per bloccare quegli IP che tentano di accedere al blog con tot errori di autenticazione consecutivi, tipo Limit Login Attemps o Better WP Security (quest’ultimo offre anche molte altre opzioni di sicurezza).
  • Se possibile, proteggere con password la cartella wp-admin o il file wp-login.php

Ovviamente, se si decide di eliminare l’utente admin, bisogna far attenzione che eventuali articoli e commenti di quell’utente vengano assegnati ad altro utente, altrimenti li si perde.

Utente admin di WordPress, conviene davvero cancellarlo?

Riguardo la cancellazione dell’utente admin, personalmente (e a quanto pare non sono il solo) preferisco non eliminarlo, ma “ridurlo all’impotenza”, ad un utente senza alcun potere nel blog. Solo per il gusto di aver fatto fare una fatica inutile a chi riuscisse a beccargli la password.

Condividi se ti è piaciuto!

Altri articoli che potrebbero interessarti:

Picture of Roberto Rota

Roberto Rota

Libero professionista, un "artigiano del web", lavoro nella comunicazione in rete da quando esiste Internet. Mi occupo principalmente di assistenza su WordPress e assistenza e consulenza WooCommerce, seguo la realizzazione di progetti web, in particolare siti di e-commerce, visibilità e comunicazione in rete. Il mio curriculum è su Linkedin, e mi puoi trovare anche su Instagram, FaceBook e Twitter.

DAI IL TUO CONTRIBUTO

Se il mio lavoro ti è stato di aiuto, contribuisci alla continuità di questo sito.
Basta una piccola donazione su PayPal, una pizza e una birra alla tua salute!

3 risposte

  1. Purtroppo questo tipo di attacchi ha spesso come obiettivo quello di creare altri “zombie” tra i siti con wordpress.

    Una volta zombificato il sito vengono caricate delle sottopagine php che ospitano form di phishing (ne ho trovati diversi analizzando le mail).

    Quindi aggiungerei questi plugin alla lista (anche se vanno usati con cautela)
    https://wordpress.org/extend/plugins/kyplex/
    https://wordpress.org/extend/plugins/wordfence/
    https://wordpress.org/extend/plugins/exploit-scanner/

    Qui altre informazioni
    http://securityskeptic.typepad.com/the-security-skeptic/2013/01/use-these-wordpress-plugins-to-help-secure-your-site-.html

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito utilizza Akismet per ridurre lo spam. Scopri come vengono elaborati i dati derivati dai commenti.