Con queste 7 misure si lascia che gli attacchi di Brute Force corrano nel vuoto

Tobias Schüring Ultimo aggiornamento 20.10.2020
8 Min.
Con almeno 4 miliardi di attacchi individuali quest'anno, gli Brute Force attacchi sono probabilmente la maggiore minaccia per i WordPress siti.
Ultimo aggiornamento 20.10.2020

Con diversi miliardi di attacchi individuali all'anno, gli attacchi Brute Force sono probabilmente la più grande minaccia per i siti WordPress . Fortunatamente, questo tipo di attacco è anche molto goffo e facile da ingannare. Vi mostreremo quattro misure semplici e veloci contro gli attacchi degli hacker. E anche tre meccanismi di protezione più complessi.

Solo nell'aprile 2017, il fornitore di sicurezza Wordfence ha contatopiù di un miliardo di attacchi Brute Force ai siti WordPress in tutto il mondo. E questa è solo un'approssimazione - il numero di casi non segnalati è significativamente più alto. Questo significa che gli attacchi, che cercano automaticamente di indovinare le password e i nomi utente, rappresentano una grande minaccia per i siti WordPress in tutto il mondo. Ma non solo. Più del 37,5% dei 10 milioni di siti web più grandi girano attualmente su WordPress . E questo significa che la questione dei meccanismi di protezione efficaci per WordPress riguarda anche Internet nel suo insieme.

Se vuoi sapere esattamente come funzionano gli attacchi Brute Force e quanto sono pericolosi, controlla il nostro articolo di fondo sugli attacchi Brute Force .

Nonostante il loro gran numero, c'è una buona notizia: ci sono misure di sicurezza ragionevoli contro gli attacchi Brute Force che si possono implementare da soli senza molto sforzo e, soprattutto, senza conoscenze di programmazione. E ci sono misure che richiedono almeno una conoscenza di base del file .htaccess.

Queste sette misure sono l'oggetto del dibattito di oggi:

  1. Password forti (molto importanti!)
  2. Non usare "admin" come nome utente
  3. Limitare il numero di accessi non validi
  4. Autenticazione a due fattori
  5. Accesso multilivello
  6. Lista nera
  7. Nascondere l'area di login (è controverso)

1. usare una password forte

Una password forte è estremamente importante come protezione contro gli attacchi Brute Force . I bot e le botnet utilizzano enormi database di password per i loro "giochi di indovinelli". Questi sono provati senza mezzi termini. Più insolita e difficile è la vostra password, maggiore è la probabilità che non vi appaia.

Più lunga e difficile è la tua password, più tempo impiegheranno i bot a decifrarla se cercano anche di indovinare la password senza una lista.

Quindi la vostra password dovrebbe contenere varie combinazioni di caratteri ...

  • 10 numeri diversi (da 0 a 9)
  • 52 lettere diverse (dalla A alla Z e dalla a alla z)
  • 32 diversi caratteri speciali ...

... ed essere lungo almeno 8 caratteri.

Il gestore di password Passwort-Depot fornisce alcuni esempi illustrativi di calcolo. Qui si suppone che un singolo computer forte possa generare due miliardi di password al secondo. In termini concreti, questo significa:

  • Una password composta da 5 caratteri (3 lettere minuscole, 2 numeri) ha 60 466 176 combinazioni possibili e può quindi essere decifrata in 0,03 secondi.
  • Una password con 8 caratteri (4 lettere minuscole, 2 caratteri speciali, 2 numeri) ha già 457 163 239 653 376 combinazioni possibili. Qui la calcolatrice ha bisogno di circa due giorni e mezzo.
  • E una password composta da 12 caratteri (3 lettere maiuscole, 4 lettere minuscole, 3 caratteri speciali, 2 numeri) ha un numero impressionante di 475 920 314 814 253 376 475 136 combinazioni possibili. Un singolo computer impiega 7,5 milioni di anni per decifrare questa password.

Il codiceWordPress raccomanda il Plugin Force Strong Passwords per la creazione di tali password. Questo costringe gli utenti a scegliere password adeguatamente complesse. Così, questo Plugin non rende i siti direttamente più sicuri, ma educa gli utenti a usare password forti. E soprattutto se si lavora per conto di un cliente, questa piccola misura può essere molto pratica.

Non devi ricordare le password!

I gestori di password aiutano a creare e gestire password sicure. Tutto quello che devi fare è ricordare una password principale (il più complesso possibile, ovviamente). Il programma fa il resto per voi. I computer Apple hanno già installato un'applicazione chiamata "Keychain Manager". I programmi di gestione delle password basati sul cloud come 1Password, LastPass o KeyPass funzionano allo stesso modo.

Così non devi ricordare tutte le tue password. Soprattutto se gestite più di un sito e usate una varietà di servizi, una gestione professionale delle password è una benedizione.

2. non usare il nome utente "admin

Come già detto: gli attacchi Brute Force sono fondamentalmente tentativi di indovinare. Dovresti quindi rendere il più difficile possibile per gli hacker indovinare il tuo nome utente. Pertanto, non usate il nome utente "admin" preimpostato da WordPress - e quindi non usate quello che il sistema ha preimpostato per voi. Questo nome utente è ovviamente anche quello predefinito per tutti gli altri utenti di WordPress .

3. bloccare la pagina di login dopo troppi tentativi falliti

Brute Force Gli attacchi testano migliaia e migliaia di combinazioni di nomi utente e password. Al contrario, questo significa che generano migliaia e migliaia di tentativi di accesso da limitare.

Il vostro server noterà che sta succedendo qualcosa. Con un appropriato Plugin si può definire che l'accesso sia bloccato dopo un certo numero di tentativi falliti, in modo che gli hacker debbano mettere in pausa il loro attacco. Puoi implementare questa protezione con un Plugin come WP Limit Login Attempts o Limit Login Attempts Reloaded.

Su RAIDBOXES , ogni installazione di WordPress ha la funzione di limitare i tentativi di login integrata per default. Se una persona o un bot cerca di accedere troppo spesso al tuo sito con i dati di accesso sbagliati, inizialmente blocchiamo l'IP in questione per 20 minuti. Se i tentativi di login con dati falsi continuano, l'IP verrà addirittura bloccato per 24 ore. Naturalmente, potete anche definire voi stessi il numero di tentativi e il periodo di blocco.

Limitare i tentativi di accesso e Co. hanno una data di scadenza

Tuttavia, c'è una cosa importante da capire su questo Plugins : limitare i tentativi di accesso di un indirizzo IP ha un grave difetto. Non può anticipare il cambiamento di un indirizzo IP. Questo significa che gli attacchi botnet, per esempio, possono essere difesi solo male, se non del tutto. Con la nuova generazione di indirizzi IP (indirizzi IPv6), un singolo attaccante può anche cambiare il suo indirizzo IP in frazioni di secondo. Questo fatto aumenta il pericolo rappresentato dagli attacchi botnet.

E: un gran numero di attacchi Brute Force non è probabile che siano semplici indovinelli. Come mostra il calcolo nella sezione sulle password sicure, anche una botnet con un milione di dispositivi non può indovinare le password sicure. Questo è il motivo per cui molti hacker lavorano con liste di password. Questo riduce il numero di tentativi di accesso alle possibili combinazioni della rispettiva libreria di password.

Anche se la limitazione dei tentativi di login per IP haancora senso, l'importanza di questo meccanismo di sicurezza diminuirà rapidamente in futuro. L'unico meccanismo di protezione veramente sicuro contro gli attacchi con cambio di IP è l'autenticazione a due fattori.

4. autenticazione a due fattori

L'idea alla base del concetto di autenticazione a due fattori è quella di richiedere una seconda conferma oltre alla password quando si accede. Questo è di solito un altro codice alfanumerico. La particolarità di questo è che viene trasmesso al di fuori del processo di login vero e proprio - per esempio, tramite un generatore di codici o un telefono cellulare. E solo il proprietario di questo dispositivo è alla fine in grado di accedere.

Con l'app Google Authenticator e un corrispondente Plugin , l'autenticazione estesa può essere implementata relativamente facilmente per WordPress . Frequentemente utilizzati sono, per esempio, il Plugins Google Authenticator di Hendrik Schack o Google Authenticator di miniOrange.

Per installare la protezione aggiuntiva di sicurezza, scarica l'app di Google sul tuo smartphone e installa il Plugin in WordPress . Qui viene generato un codice QR, che si scansiona con l'app. In alternativa, puoi creare l'account manualmente. Ora il tuo account utente WordPress e l'app sono collegati sul tuo cellulare.

L'app ora genera un nuovo codice di sicurezza ogni 30 secondi. Ogni utente per il quale è attivata l'autenticazione a due fattori vedrà ora la riga "Google Authenticator Code" accanto a "Username" e "Password" nell'area di login. Quindi, per accedere, ha bisogno dello smartphone su cui vengono generati i codici. I grandi plugin di sicurezza come Wordfence offrono un meccanismo simile in alcuni casi.

Il processo di doppia autenticazione può sembrare complesso, ma dal punto di vista della sicurezza è un'ottima salvaguardia contro gli attacchi Brute Force . Soprattutto in vista del già citato passaggio dagli indirizzi IPv4 a quelli IPv6.

Password forti, cambiare il nome utente, Plugins come Limitare i tentativi di accesso e l'autenticazione a due fattori sono tutte misure che si possono implementare facilmente, rapidamente e senza conoscenze di programmazione. E soprattutto, l'autenticazione aggiuntiva e le password veramente forti proteggono efficacemente anche dagli attacchi di Brute Force .

Ma se vuoi, puoi fare anche di più. Puoi proteggere la tua area amministrativa WP con una password aggiuntiva, creare una blacklist o whitelist, o anche nascondere la tua area amministrativa WP. Tuttavia, tutte queste misure tendono a non offrire più sicurezza, ma sono piuttosto da intendere come opzioni o alternative.

5. protezione aggiuntiva con password

Se fai girare il tuo sito WordPress su un server Apache, hai la possibilità di introdurre una procedura di login multilivello senza Plugin . Questo perché ogni installazione di WordPress su un server Apache contiene un cosiddetto file .htaccess. In questo file è possibile memorizzare il codice per un'autenticazione HTTP aggiuntiva per aggiungere un'altra protezione con password alla pagina di login. Il server richiede una password anche solo per far passare i visitatori alla schermata di accesso.

Proteggere wp-login
AuthUserFile ~/.htpasswd
 AuthName "Accesso privato
 Tipo di autorizzazione Basic
 richiedere l'utente mysecretuser

Con questo comando, viene generata una richiesta di password prima di poter accedere all'area wp-admin. Qui si inserisce un ulteriore nome utente e password per accedere all'area di accesso. Tuttavia, i dati per l'utente aggiuntivo devono essere definiti in .htpasswd. Per fare questo, il nome utente e la password devono essere aggiunti al file in forma criptata. Il codice diWordPress spiega come funziona fondamentalmente questo processo.

6. lista nera e whitelist

A proposito di .htaccess: È possibile implementare un'altra potente protezione con questo file. Poche righe di codice fanno sì che solo certi IP abbiano accesso a WordPress -dashboard o a singole directory.

Per fare questo, si memorizza un ulteriore .htaccess con il seguente codice nella directory appropriata - preferibilmente wp-admin:

# Blocca l'accesso a wp-admin. 
 ordine negare, consentire
 permettere da x.x.x.x
 negare da tutti

x.x.x.x deve ovviamente essere sostituito con gli IP che dovrebbero avere accesso alla pagina. L'esempio mostra una whitelist, cioè una lista di IP che sono autorizzati ad accedere alla pagina. Questo significa che la pagina di login è bloccata per tutti gli altri IP. A proposito, l'ordine dei comandi - "allow" seguito da "deny" - è estremamente importante, perché vengono eseguiti in ordine. Se il "negare da tutti" viene prima, vi troverete anche di fronte a porte chiuse.

Una lista nera implementerebbe il meccanismo esattamente opposto: Determinerebbe quali IP non sono autorizzati ad accedere alla pagina. Naturalmente, ci sono anche soluzioni di plugin per entrambi. Per esempio, plugin di sicurezza ben noti, come All In One WP Security, Wordfence o Sucuri, ognuno offre una funzione di blacklist o whitelist. Tuttavia, va notato che questi tre Plugins possono ovviamente fare molto di più che creare blaklists o whitelists. Pertanto, non dovreste installarli esclusivamente per queste funzioni. Un'alternativa popolare sarebbe Plugin Loginizer, che attualmente ha più di 500.000 installazioni attive.

7. nascondere l'area di accesso

Brute Force Gli attacchi attaccano la tua pagina di login. Un modo molto semplice per prevenire questi attacchi è quello di impedire agli aggressori di accedere alla vostra pagina di login in primo luogo. A questo scopo, alcuni webmaster nascondono la maschera di login. L'area di login è quindi accessibile solo tramite un URL segreto.

Questa misura segue il principio (controverso) della sicurezza attraverso l'oscurità e non è una misura di sicurezza significativa da sola. Noi di RAIDBOXES non siamo grandi amici di questo principio. Se implementate le misure di cui sopra, avete già messo al sicuro la vostra area di login molto bene e non avete bisogno di spostarla ulteriormente. Tuttavia, questa misura può contribuire alla sicurezza percepita, che può essere particolarmente importante per la percezione dei vostri clienti.

Se vuoi nascondere la tua area wp-admin, puoi usare uno dei grandi plugin di sicurezza (che offrono molte più funzioni). Oppure puoi provare uno di questi popolari Plugins :

Come abbiamo detto: secondo noi, nascondere il wp-admin non è una misura sensata - almeno non per proteggere il tuo sito dagli attacchi Brute Force . Se avete scelto una password forte e implementato una procedura di esclusione IP sensata o un'autenticazione a due fattori, allora avete già ridotto significativamente il rischio di un attacco Brute Force .

Conclusione

Con una quota di mercato attuale di oltre il 32%, WordPress è di gran lunga il più grande CMS in tutto il mondo. È improbabile che questo cambi in futuro. La probabilità di diventare l'obiettivo di un attacco Brute Force è quindi, puramente matematica, estremamente alta. Bisogna esserne consapevoli. Fortunatamente, puoi anche proteggerti da loro molto facilmente. Perché alcune misure, come le password sicure e l'autenticazione a due fattori, possono essere implementate in pochi istanti e completamente senza conoscenze di programmazione.

E anche le misure presumibilmente più difficili, come blacklisting o whitelisting, un'ulteriore protezione con password o un meccanismo di blocco per l'area di login può essere implementato con Plugins . Quindi, se seguite solo i primi tre o quattro punti di questo post, siete già ben protetti contro gli attacchi di Brute Force . Naturalmente, si può sempre fare di più, ad esempio creare una protezione aggiuntiva con password o impostare blacklist o whitelist. Ma in questi casi, dovreste valutare se i meccanismi di sicurezza aggiuntivi valgono davvero la pena, specialmente per quanto riguarda lo sforzo di amministrazione.

Articoli correlati

Commenti su questo articolo

Scrivi un commento

Il tuo indirizzo e-mail non sarà pubblicato. I campi obbligatori sono contrassegnati con *.