Con queste 7 misure si può far sì che gli Brute Force attacchi non portino a nulla

8 Min.
Con almeno 4 miliardi di attacchi individuali quest'anno, gli Brute Force attacchi sono probabilmente la maggiore minaccia per i WordPress siti.
Ultimo aggiornamento il 10/07/2020

Con diversi miliardi di attacchi individuali all'anno, gli Brute Force attacchi sono probabilmente la maggiore minaccia per i WordPress siti. Fortunatamente, questo tipo di attacco è anche molto maldestro e facilmente ingannevole. Vi mostreremo quattro semplici e veloci misure contro gli attacchi degli hacker. E anche tre meccanismi di protezione più complessi.

Solo nell'aprile 2017, il fornitore di sicurezza Wordfence più di un miliardo Brute Force di attacchi contato su WordPress -pagine in tutto il mondo. E questo è solo un valore approssimativo - il numero di casi non dichiarati è significativamente più alto. Ciò significa che gli attacchi che tentano di indovinare automaticamente le password e i nomi utente sono un grande pericolo per i WordPress siti di tutto il mondo. Ma non solo. Perché circa 37,5 per cento dei 10 milioni di siti web più grandi attualmente gestiti sotto WordPress . E questo significa che è rilevante WordPress anche la questione dei meccanismi di protezione efficaci per Internet nel suo complesso.

Se volete sapere esattamente come funzionano gli Brute Force attacchi e quanto sono pericolosi, date un'occhiata al nostro Articolo di fondo sul tema Brute Force degli attacchi in funzione.

Nonostante il loro numero elevato c'è una buona notizia: ci sono misure di sicurezza utili contro Brute Force gli attacchi che si possono attuare da soli senza grandi sforzi e soprattutto senza conoscenze di programmazione. E ci sono misure che richiedono almeno qualche conoscenza di base del file .htaccess.

Queste sono le sette misure di cui stiamo discutendo oggi:

  1. Password forti (molto importante!)
  2. Non usare "admin" come nome utente
  3. Numero limite di accessi non validi
  4. Autenticazione a due fattori
  5. Accesso a più livelli
  6. Lista nera
  7. Nascondi l'area login (è controversa)

1. utilizzare una password forte

A password forte è estremamente importante come protezione contro gli Brute Force attacchi. I bot e le botnet utilizzano enormi database di password per i loro "guessing games". Queste sono provate senza mezzi termini. Più la vostra password è insolita e difficile, più è probabile che non appaia in essa.

Più lunga e difficile è la vostra password, più tempo ci vorrà ai bot per decifrarla se cercano di indovinare la password senza una lista.

La vostra password dovrebbe quindi contenere diverse combinazioni di caratteri ...

  • 10 numeri diversi (da 0 a 9)
  • 52 lettere diverse (dalla A alla Z e dalla a alla z)
  • 32 diversi caratteri speciali ...

... ed essere lungo almeno 8 caratteri.

Il Password Manager Password Depot fornisce alcuni chiari esempi di questo Calcoli di esempio Pronti. Si presume che un unico computer forte possa generare due miliardi di password al secondo. In termini concreti:

  • Una password di 5 caratteri (3 lettere minuscole, 2 numeri) ha 60 466 176 combinazioni possibili e può essere decifrata in 0,03 secondi.
  • Una password con 8 caratteri (4 lettere minuscole, 2 caratteri speciali, 2 numeri) ha già 457 163 239 653 376 combinazioni possibili. Qui la calcolatrice ha bisogno di circa due giorni e mezzo.
  • E una password di 12 caratteri (3 lettere maiuscole, 4 lettere minuscole, 3 caratteri speciali, 2 numeri) ha non meno di 475 920 314 814 814 253 376 475 136 combinazioni possibili. Ci vogliono 7,5 milioni di anni per decifrare questa password con un solo computer.

All'indirizzo WordPress -Codex per la creazione di tali password il Plugin Forzare le password forti raccomandato. Questo costringe gli utenti a scegliere password complesse. Anche se questo Plugin non rende direttamente il sito più sicuro, educa gli utenti a usare password forti. E soprattutto se si lavora per un cliente, questo piccolo aiuto può essere molto pratico.

Non è necessario ricordare le password!

I gestori di password vi aiutano a creare e gestire password forti. Basta ricordare una master password (naturalmente anche la più complessa). Il programma fa il resto per voi. I computer Apple hanno già installato un'applicazione corrispondente chiamata "Gestione portachiavi". I programmi di gestione delle password basati su cloud come 1Password, LastPass o KeyPass funzionano allo stesso modo.

Quindi non è necessario ricordare tutte le password. Soprattutto se si gestisce più di un sito e si utilizzano diversi servizi, la gestione professionale delle password è una benedizione.

RAIDBOXES  FREE-DEV programma

2. non utilizzare il nome utente "admin".

Come già detto: gli Brute Force attacchi sono fondamentalmente tentativi di indovinare. Quindi dovreste rendere il più difficile possibile agli hacker indovinare il vostro nome utente. Quindi non usate il nome utente WordPress predefinito "admin" - e quindi non usate quello che il sistema ha impostato per voi. Questo nome utente è anche quello predefinito per tutti gli altri WordPress utenti.

3. bloccare' la pagina di login dopo troppi tentativi falliti

Brute Force Gli attacchi testano migliaia e migliaia di combinazioni di nomi utente e password. Al contrario, ciò significa che si generano migliaia e migliaia di tentativi di login per limitare.

Quindi il vostro server è ben consapevole che sta succedendo qualcosa. Con una corrispondentePlugin , è possibile specificare che l'accesso viene bloccato dopo un certo numero di tentativi falliti, per cui gli hacker devono mettere in attesa il loro attacco. È possibile impostare questa protezione, ad esempio, con unPlugin Tentativi di accesso al limite WP oppure Tentativi di accesso limitato Ricaricato implementare.

Ogni WordPress installazione RAIDBOXES ha la funzione di limitare i tentativi di login, integrato di serie. Se una persona o un bot tenta di accedere al vostro sito troppo spesso con dati di accesso errati, blocchiamo prima il rispettivo IP per 20 minuti. Se i tentativi di login continuano con dati errati, l'IP viene addirittura bloccato per 24 ore. Naturalmente è possibile definire anche il numero di tentativi e il periodo di tempo per il quale l'IP è bloccato.

I tentativi di accesso al sito Limit Attemps and Co. hanno una data di scadenza

Tuttavia, c'è una cosa importante da capire a questo propositoPlugins : la limitazione dei tentativi di login di un indirizzo IP ha un grave punto debole. Non può anticipare il cambiamento di un indirizzo IP. Ciò significa che gli attacchi con le reti bot, ad esempio, possono essere respinti solo con un discreto sforzo o non possono essere respinti affatto. Inoltre, con la nuova generazione di indirizzi IP (gli indirizzi IPv6), un singolo aggressore può modificare il proprio indirizzo IP in una frazione di secondo. Questo fatto aumenta il pericolo rappresentato dagli attacchi delle reti bot.

E: Un gran numero di Brute Force attacchi non dovrebbero essere semplici indovinelli. Come mostra il calcolo nella sezione sulle password sicure, anche una rete bot con un milione di dispositivi non può indovinare le password sicure. Per questo motivo molti hacker lavorano con liste di password. In questo modo si riduce il numero di tentativi di login alle possibili combinazioni della rispettiva biblioteca di password.

Sebbene la limitazione dei tentativi di login per IP sia ancora sensata, l'importanza di questo meccanismo di sicurezza diminuirà rapidamente in futuro. L'unico meccanismo di protezione veramente sicuro contro gli attacchi con IP che cambiano è l'autenticazione a due fattori.

4. autenticazione a due fattori

L'idea alla base del concetto di autenticazione a due fattori è quella di richiedere una seconda conferma oltre alla password al momento del login. Questo è di solito un altro codice alfanumerico. La particolarità è che viene trasmessa al di fuori della procedura di login vera e propria - ad esempio tramite un generatore di codici o un telefono cellulare. E solo il proprietario di questo dispositivo è finalmente in grado di effettuare il login.

Con Google App Google Authenticator e il corrispondente Plugin Google Authenticator, l'autenticazione avanzata può essere WordPress implementata in modo relativamente semplice. Frequentemente utilizzati sono ad esempio i Plugins Google Authenticator da Hendrik Schack o Google Authenticator da miniOrange.

Per aggiungere la protezione di sicurezza aggiuntiva, scarica l'applicazione Google sul tuo telefono e installala Plugin in WordPress . Qui verrà generato un codice QR, che potrete scansionare con l'app. In alternativa, è possibile creare il conto manualmente. Ora il vostro account WordPress utente e l'app sul vostro telefono sono collegati.

L'app genera ora un nuovo codice di sicurezza ogni 30 secondi. Ogni utente per il quale è attivata l'autenticazione a due fattori vede ora la riga "Google Authenticator Code" oltre a "Username" e "Password" nell'area login. Per effettuare il login, hanno bisogno dello smartphone su cui vengono generati i codici. I grandi plugin di sicurezza, come ad esempio quelli di grandi dimensioni, Wordfence offrono in parte un meccanismo simile.

Il processo di doppia autenticazione può sembrare complesso, ma dal punto di vista della sicurezza è un'ottima protezione contro gli Brute Force attacchi. Soprattutto in considerazione del passaggio dagli indirizzi IPv4 a IPv6 di cui si è parlato in precedenza.

Password forti, modifiche al nome utente Plugins come Limit Login Attempts, e l'autenticazione a due fattori sono tutte misure che si possono implementare facilmente, rapidamente e senza conoscenze di programmazione. E soprattutto, l'autenticazione aggiuntiva e le password davvero forti proteggono efficacemente dagli Brute Force attacchi.

Ma se vuoi, puoi fare di più. Potete proteggere la vostra area di amministrazione del WP con una password aggiuntiva, creare una lista nera o bianca, o creare il vostro Nascondi l'area amministrativa del WP. Tuttavia, tutte queste misure tendono a non offrire maggiore sicurezza, ma dovrebbero piuttosto essere viste come opzioni o alternative.

5. protezione supplementare con password

Se si esegue il WordPress sito su un server Apache, si ha la possibilità di eseguire il sito su un server Apache senza Plugin introdurre una procedura di login a più livelli. Ogni WordPress installazione su un server Apache contiene un cosiddetto file .htaccess. In questo file è possibile aggiungere il codice per un'ulteriore autenticazione HTTP per proteggere la pagina di login con una password aggiuntiva. Il server richiede già una password per consentire ai visitatori di accedere alla pagina di login.

# Proteggi il wp-login
AuthUserFile ~/.htpasswd
 Nome dell'autore "Accesso privato
 AuthType Basic
 richiedono un utente mysecretuser

Con questo comando viene creata una richiesta di password prima che si possa accedere all'area wp-admin. Qui si inserisce un nome utente e una password aggiuntivi per accedere all'area di login. I dati per l'utente aggiuntivo devono essere definiti nel file .htpasswd. A tale scopo, il nome utente e la password devono essere inseriti nel file in forma criptata. Il sito WordPress -Codex spiega come funziona fondamentalmente questo processo.

ebook: Misurate le prestazioni del vostro sito come un professionista

6. lista nera e lista bianca

A proposito di .htaccess: Con questo file, è possibile implementare un'altra potente protezione Poche righe di codice assicurano che solo alcuni IP abbiano accesso alle directory WordPress -dashboard o alle singole directory.

Per fare questo, è necessario aggiungere un ulteriore .htaccess con il seguente codice nella directory appropriata - preferibilmente wp-admin:

# Blocca l'accesso al wp-admin.
 ordine negare, consentire
 consentire da x.x.x.x.x
 negare da tutti

x.x.x.x.x.x.x è necessario sostituire con gli IP che dovrebbero avere accesso al sito, naturalmente. L'esempio mostra una whitelist, una lista di IP che possono accedere alla pagina. Quindi la pagina di login è bloccata per tutti gli altri IP. A proposito, l'ordine dei comandi - "consentire" seguito da "negare" - è estremamente importante perché vengono eseguiti in ordine. Se "negare da tutti" viene prima di tutto, anche voi sarete davanti a porte chiuse.

Una lista nera implementerebbe il meccanismo esattamente opposto: Esso determinerebbe quali IP non sono autorizzati ad accedere al sito. Naturalmente ci sono soluzioni di plugin per entrambi. Ad esempio, noti plug-in di sicurezza, come Sicurezza All In One WP, Wordfence oppure Sucuriognuna con funzione di lista nera o di lista bianca. Tuttavia, va notato che questi tre possono Plugins ovviamente fare molto di più che creare liste nere o whitelist. Non dovete quindi installarle esclusivamente per queste funzioni. Un'alternativa popolare in questo caso sarebbe il Plugin Loginizerche attualmente ha più di 500.000 installazioni attive.

7. nascondere l'area di registrazione

Brute Force Gli attacchi attaccano la tua pagina di login. Un modo molto semplice per prevenire questi attacchi è quello di impedire che gli aggressori entrino anche nella vostra pagina di login. A questo scopo alcuni webmaster nascondono la pagina di login. L'area di login è quindi accessibile solo tramite un URL segreto.

Questo provvedimento segue il principio (controverso) Sicurezza attraverso l'oscurità e non è di per sé una misura di sicurezza significativa. Non siamo RAIDBOXES grandi amici di questo principio. Perché se implementate le misure di cui sopra, avete già messo in sicurezza la vostra area di accesso molto bene e non dovete spostarla ulteriormente. Tuttavia, questa misura può contribuire alla sicurezza percepita, che può essere particolarmente importante per la percezione dei vostri clienti.

Se volete nascondere l'area wp-admin è possibile utilizzare uno dei grandi plugin di sicurezza (che, come ho detto, offrono molte più caratteristiche). Oppure potete provare uno di questi popolariPlugins :

Come detto prima: secondo noi, nascondere il wp-admin non è una misura sensata - almeno non per proteggere il vostro sito dagli Brute Force attacchi. Se avete scelto una password forte e avete implementato un metodo di esclusione IP sensato o un'autenticazione a due fattori, avete già ridotto notevolmente il rischio di un Brute Force attacco riuscito.

Conclusione

Con una quota di mercato attuale di oltre il 32%, è WordPress di gran lunga il più grande CMS al mondo. Questo probabilmente non cambierà in futuro. Il sito Probabilità di diventare il bersaglio di un Brute Force attacco è quindi, puramente matematico, estremamente alto. Dovete esserne consapevoli. Fortunatamente, è anche possibile proteggersi da loro molto facilmente. Perché alcune misure, come le password sicure e l'autenticazione a due fattori, possono essere implementate in pochi istanti e completamente senza conoscenze di programmazione.

E si possono anche Plugins implementare le misure presumibilmente più difficili, come la black- o whitelist, un'ulteriore protezione con password o un meccanismo di blocco per l'area di login. Quindi, se si considerano solo i primi tre o quattro punti di questo post, si è già ben protetti dagli Brute Force attacchi. Naturalmente si può sempre fare di più, cioè creare un'ulteriore protezione con password o impostare delle liste nere o bianche. In questi casi, tuttavia, si dovrebbe valutare se i meccanismi di sicurezza aggiuntivi ne valgano davvero la pena, soprattutto per quanto riguarda l'impegno amministrativo.

Articoli correlati

Commenti su questo articolo

Scrivi un commento

Il tuo indirizzo mail non sarà pubblicato. I campi obbligatori sono contrassegnati con * marcato.