WordPress brute force

ATTENZIONE: questo articolo è più vecchio di un anno, e potrebbe non essere più attuale, sei pregato di tenerne conto.

WordPress brute force - sicurezza violazione password

Gira voce che sia in corso un attacco di grandi dimensioni, rivolto soprattutto a siti e blog su piattaforma WordPress. Un attacco di tipo “brute force”, tentativi cioè di violare l’utente admin del nostro CMS preferito.

Che sia vero o meno riguardo l’attacco massiccio di questi giorni, non ho ancora avuto modo di verificare, tentativi di violazione di questo genere sono sempre all’ordine del giorno, e bisogna sempre stare in campana.

Come proteggersi da questo tipo di attacchi?

Ci sono livelli di protezione diversi, ma il “minimo sindacale” che si trova in mille articoli in rete si può riassumere con:

  • Se esiste un utente admin in WordPress, eliminarlo. (Anche se io, vedi dopo…)
  • Se esiste un utente con ID uguale a 1, e cioè l’ID tipico del primo utente del WordPress appena installato, solitamente un utente amministratore, eliminare pure quello. (Anche se io, vedi dopo…)
  • Usare password serie, non cazzate.
  • Usare un plugin per bloccare quegli IP che tentano di accedere al blog con tot errori di autenticazione consecutivi, tipo Limit Login Attemps o Better WP Security (quest’ultimo offre anche molte altre opzioni di sicurezza).
  • Se possibile, proteggere con password la cartella wp-admin o il file wp-login.php

Ovviamente, se si decide di eliminare l’utente admin, bisogna far attenzione che eventuali articoli e commenti di quell’utente vengano assegnati ad altro utente, altrimenti li si perde.

Utente admin di WordPress, conviene davvero cancellarlo?

Riguardo la cancellazione dell’utente admin, personalmente (e a quanto pare non sono il solo) preferisco non eliminarlo, ma “ridurlo all’impotenza”, ad un utente senza alcun potere nel blog. Solo per il gusto di aver fatto fare una fatica inutile a chi riuscisse a beccargli la password.

Che ne pensi?
Domande? Suggerimenti?
Lascia un commento…

Condividi se ti è piaciuto!

Condividi su facebook
Condividi su twitter
Condividi su linkedin
Condividi su whatsapp

Maggori informazioni:

Roberto Rota

Roberto Rota

Libero professionista, un "artigiano del web", lavoro nella comunicazione in rete da quando esiste Internet. Mi occupo principalmente di assistenza su WordPress e assistenza e consulenza WooCommerce, seguo la realizzazione di progetti web, in particolare siti di e-commerce, visibilità e comunicazione in rete. Il mio curriculum è su Linkedin, e mi puoi trovare anche su Instagram, FaceBook e Twitter.

CONTRIBUISCI A QUESTO SITO
Se il mio lavoro ti è stato di aiuto,
e vuoi che io continui a publbicare,
contribuisci allo sviluppo di questo sito
con una donazione su PayPal.

3 commenti su “WordPress brute force”

  1. Pingback: √ WordPress e la sicurezza trascurata | robrota

  2. Pingback: √ Login Limit Attempts in italiano | robrota

  3. Purtroppo questo tipo di attacchi ha spesso come obiettivo quello di creare altri “zombie” tra i siti con wordpress.

    Una volta zombificato il sito vengono caricate delle sottopagine php che ospitano form di phishing (ne ho trovati diversi analizzando le mail).

    Quindi aggiungerei questi plugin alla lista (anche se vanno usati con cautela)
    https://wordpress.org/extend/plugins/kyplex/
    https://wordpress.org/extend/plugins/wordfence/
    https://wordpress.org/extend/plugins/exploit-scanner/

    Qui altre informazioni
    http://securityskeptic.typepad.com/the-security-skeptic/2013/01/use-these-wordpress-plugins-to-help-secure-your-site-.html

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.

Cerca nel sito:

Assistenza specializzata WordPress e WooCommerce

Altri articoli

Mandami un messaggio

Ciao, come posso aiutarti?