Giugno 2023 – WordPress sotto attacco Brute Force 2023, Come difendersi?
La popolarità di WordPress è innegabile, oltre 400 milioni di siti web usano questa piattaforma che, nel frattempo, si è evoluta dal semplice blog ad una struttura complessa e polifunzionale.
Ma non mancano di certo i problemi, come del resto, anche in tutte le altre piattaforme. In queste ore stiamo rilevando oltre 20 milioni di attacchi ai siti web che sono costruiti appunto con WordPress. Vi chiederete, ma perchè che senso ha attaccare un blog? considerate che moltissimi siti web a base WordPress sono di E-commerce, e che vi transitano dei soldi attraverso le varie piattaforme di pagamento. Entrare in possesso di un dominio, sostituirlo con uno fasullo (tecnica del pharming) giova senz’altro ai detrattori. Distinguere un sito falso da uno ufficiale non è proprio semplice se non si hanno le necessarie conoscenze. Abbiamo visto in questi mesi anche furti di dominio e furti dei certificati SSL. Insomma, gli hacker le pensano tutte. Noi del resto, cerchiamo di tenerci al passo e contrastare, per quanto possibile, almeno utilizzando delle regole di base che ci consentono di dare un minimo di protezione al nostro sito.
Quali sono i metodi usati per forzare i siti web?
Diversi. Ad esempio, le modalità con i quali stanno agendo in questo momento su larga scala, utilizzano dei server che si mascherano dietro proxy rotativi(cambiano IP per ogni tentativo di accesso), utilizzando in genere 2 nomi potenziali di USER: cioè IL NOME DEL SITO A DOMINIO ed il classico ADMIN e tutti quei nomi User che potenzialmente vengono utilizzati.
Con questi 2 utenti provano tutte le combinazioni di password standard presenti in un data file, dalla solita passw 123456, a pippo, pluto e qualche altra milionata di parole che statisticamente vengono usate come passw.
media attacchi mensili ai siti WordPress:
Vediamo quindi un dettaglio di un log tipico su WordPress sotto attacco Brute Force 2023:
Come si puo’ vedere, ruotano gli indirizzi e quindi appaiono arrivare da ogni parte del mondo, invece è sempre lo stesso server che simula gli IP(internet Protocol) e attaccano in particolare i due file noti di login “xmlrpc.php” e “wp-login.php” che sappiamo essere i due file che consentono il login nelle 2 modalità diretta e attraverso la “Remote Procedure Call”. Nel log si vede un attacco provenire dalla Georgia e nel giro di 2 secondi tenta prima l’uno e poi l’altro.
Nel riquadro aggiornato al 7/6/23 vediamo come gli attacchi sono sempre piu’ sofisticati.
Nello specifico, vediamo di capire come è strutturato:
Il dato che salta subito all’occhio è che il sistema non riconosce il BOT ma indica che è UMANO, cioè simula un attacco manuale. Insomma 500 attacchi l’ora per chissà quanti altri milioni di siti contemporaneamente, non mi sembra cosi umano. Tutti i software contengono errori e bug, sta a noi interpretare e correggere il tiro, quindi difenderci.
Le regole d’oro!
Mai usare i nomi di account standard: eliminare l’utente ADMIN e il nome del sito a dominio;
- Usa password complesse di almeno 12/16 caratteri (3rTyF4$5!kJ-L7OIP(£%)
- usa maiuscole, minuscole, simboli e numeri
- se vuoi ricordarla a memoria costruisciti un tuo schema(NO software)
- imposta un firewall sul tuo sito
- crea delle regole personalizzate, elimina quelle standard
- impedisci gli accessi almeno dal 3° login errato
- blocca immediatamente gli utenti standard (admin, administrator etc)
- disattiva i permessi di esecuzione nella cartella upload
- non usare plugin obsoleti e usa quelli strettamente necessari
- elimina gli inutilizzati
- Elimina i temi non utilizzati, ogni occasione è buona per bucare i sistemi
- usa un plugin di controllo login e impostalo in modo restrittivo
- disattiva gli utenti non necessari
Spero che questa breve guida ti sia stata d’aiuto.
aggiornamento 7/6/23
