WordPress brute force

ATTENZIONE: questo articolo è stato scritto oltre un anno fa, ed i contenuti potrebbero non essere più validi o compatibili. Sei pregato di tenerne conto, e se hai informazioni in merito di segnalarmele, grazie.

WordPress brute force - sicurezza violazione password

Gira voce che sia in corso un attacco di grandi dimensioni, rivolto soprattutto a siti e blog su piattaforma WordPress. Un attacco di tipo “brute force”, tentativi cioè di violare l’utente admin del nostro CMS preferito.

Che sia vero o meno riguardo l’attacco massiccio di questi giorni, non ho ancora avuto modo di verificare, tentativi di violazione di questo genere sono sempre all’ordine del giorno, e bisogna sempre stare in campana.

Come proteggersi da questo tipo di attacchi?

Ci sono livelli di protezione diversi, ma il “minimo sindacale” che si trova in mille articoli in rete si può riassumere con:

  • Se esiste un utente admin in WordPress, eliminarlo. (Anche se io, vedi dopo…)
  • Se esiste un utente con ID uguale a 1, e cioè l’ID tipico del primo utente del WordPress appena installato, solitamente un utente amministratore, eliminare pure quello. (Anche se io, vedi dopo…)
  • Usare password serie, non cazzate.
  • Usare un plugin per bloccare quegli IP che tentano di accedere al blog con tot errori di autenticazione consecutivi, tipo Limit Login Attemps o Better WP Security (quest’ultimo offre anche molte altre opzioni di sicurezza).
  • Se possibile, proteggere con password la cartella wp-admin o il file wp-login.php

Ovviamente, se si decide di eliminare l’utente admin, bisogna far attenzione che eventuali articoli e commenti di quell’utente vengano assegnati ad altro utente, altrimenti li si perde.

Utente admin di WordPress, conviene davvero cancellarlo?

Riguardo la cancellazione dell’utente admin, personalmente (e a quanto pare non sono il solo) preferisco non eliminarlo, ma “ridurlo all’impotenza”, ad un utente senza alcun potere nel blog. Solo per il gusto di aver fatto fare una fatica inutile a chi riuscisse a beccargli la password.

Tags: , , ,

3 Risposte a “WordPress brute force”

  1. Glamis 15 Apr 2013 at 16:39 #

    Purtroppo questo tipo di attacchi ha spesso come obiettivo quello di creare altri “zombie” tra i siti con wordpress.

    Una volta zombificato il sito vengono caricate delle sottopagine php che ospitano form di phishing (ne ho trovati diversi analizzando le mail).

    Quindi aggiungerei questi plugin alla lista (anche se vanno usati con cautela)
    https://wordpress.org/extend/plugins/kyplex/
    https://wordpress.org/extend/plugins/wordfence/
    https://wordpress.org/extend/plugins/exploit-scanner/

    Qui altre informazioni
    http://securityskeptic.typepad.com/the-security-skeptic/2013/01/use-these-wordpress-plugins-to-help-secure-your-site-.html

Trackbacks/Pingbacks

  1. √ Login Limit Attempts in italiano | robrota - 20 Apr 2013

    […] per mio uso personale, ma visto il gran parlare di attacchi verso installazioni WordPress, e che quasi tutti consigliano Limit Login Attempts tra le misure di protezione, ho pensato fosse buona cosa […]

  2. √ WordPress e la sicurezza trascurata | robrota - 29 Apr 2013

    […] scorse settimane sono state caratterizzate da un allarme sicurezza per WordPress, con segnalazioni di violazioni più o meno ovunque. Io sono stato contattato per risolvere quattro […]

Dubbi o suggerimenti? Lascia un commento!

I love Instagram