Che cos’è un attacco di forza bruta?

Gli attacchi di forza bruta, brute force consistono nell’individuare username e password, o trovare una pagina web nascosta, o trovare la chiave utilizzata per crittografare un messaggio tentando tutte le possibili combinazioni di lettere, parole, caratteri speciali e numeri. Questo è un vecchio metodo di attacco, ma è ancora efficace e popolare tra gli hacker.

Uno dei modi in cui gli aggressori cercano di entrare nel tuo sito web, è indovinare il tuo nome utente e la tua password. Cercano di individuare dei nomi utente validi e poi provano con le liste di password comuni sperano di accedere con successo al tuo sito internet. Questi è un tipo di attacco di login detti a forza bruta.

Molti plugin di protezione in WordPress, ma anche in altri CMS, includo una serie di potenti funzioni di protezione contro gli attacchi di forza bruta che possono essere utilizzate per impedire ai BOT di accedere al tuo sito internet. Sono incluse l’integrazione con la versione 2 di Troy Hunt di Pwned Passwords API che impediscono l’accesso utilizzando le password viste in precedenza in una violazione.

Quando si installano queste protezioni le impostazioni di default sono adatte sulla maggior parte dei siti web. Non sarà necessario fare molto, tuttavia, gli stessi plugin consentendo di personalizzare il loro funzionamento in base alle proprie esigenze.

Come scoprire il tuo sito è sotto attacco di forza bruta?

Il metodo più rapido è l’utilizzo dello strumento gratuito Firefox Monitor. Si tratta di un programma di sicurezza sponsorizzato da Mozilla. Grazie a Firefox Monitor, puoi sapere in pochi secondi se sei stato coinvolto o se verrai coinvolto in attacchi informatici globali.

In che modo ha un impatto sul tuo sito web?

Molti sono i motivi che spingono gli Hacker a compiere questo tipo di attacco, alcuni esempi sono sottrarre dati o per diffondere malware che, a loro volta, possono innescare attacchi di forza bruta. Anche senza violare proprietà online, gli attacchi di forza bruta possono congestionare il traffico dei server, compromettendo enormemente le prestazioni dei siti colpiti.

Quali sono i fattori importanti da considerare, per le impostazioni corrette dei plugin?

Una banca dati dove i malintenzionati vanno alla ricerca delle Username e password sono i tuoi stessi utenti. Infatti avere utenti che dimenticano spesso le loro password, si collegano sporadicamente al tuo sito web e hanno un’alta probabilità di perdere la password sono fattori negativi che aumentano il rischio di attacchi di forza bruta.

La prima impostazione da considerare, per la protezione forza bruta in wordpress, è stabilire quanti tentativi di login non riusciti bisogna considerare per definire che sia un attacco di forza bruta. Generalmente le configurazioni predefinite sono di manica larga: circa 20 in un periodo di 4 ore. Se hai molti utenti, specialmente quelli più inclini a dimenticare le password, questo potrebbe essere perfetto per il tuo sito web. Tuttavia, se avete solo pochi utenti non inclini a sbagliare le credenziali, potreste restringere il campo permettono solo al massimo 3 errori di login in un periodo di 5 minuti.

Un’altra operazione importante è la “password dimenticata” sul modulo di login del tuo sito internet. Una buona prassi di sicurezza in WordPress è quella di non avere il link “Password dimenticata” perché impedisce agli aggressori di cercare di indovinare gli account utente sul tuo sistema. Impostate il valore del vostro plugin in modo da avere un numero massimo (ad es. 5) di invio richieste password dimenticate per ogni utente.

Altre impostazioni importanti

Una volta che la protezione di forza bruta in WordPress ha rilevato l’ipotetico attacco, devi decidere per quanto tempo bloccare un utente (o l’IP) una volta che ha superato una delle tue soglie di errore di login. Il valore generalmente predefinito è di 4 ore. Il grande svantaggio di essere eccessivamente aggressivi con queste impostazioni è che si rischia di bloccare i propri utenti, o se stessi, fuori dal sito web per un lungo periodo di tempo. Considerate bene cosa farete in queste situazioni quando decidete questo parametro.

Un’altra opzione che merita particolare attenzione è bloccare immediatamente gli utenti,o gli IP, che utilizzano un nome utente non valido. Per impostazione predefinita in molti plugin questa opzione è disattivata, in quanto aumentano le possibilità che tu o un altro amministratore siate blocchi tuo sito web. Se si è sicuri di poter evitare di essere bloccato.

Ad ogni buon modo la maggior parte degli attacchi di forza bruta in WordPress, sono costituiti dai nomi utente comuni come ‘admin’, ‘Administrator’ e stringhe diverse in base al tuo nome di dominio. Creare una propria black list basata su questi nomi da evitare in quanto prevedibili può essere molto efficace.

Protezione contro gli attacchi di forza bruta – Raccomandazioni

Alcuni consigli prima di rivolgervi ad un esperto sono:

  • Creare una password sicura attraverso un generatore di password;
  • Non lasciare che WordPress riveli agli utenti errori di login;
  • Impedire agli utenti di registrare il nome utente ‘admin’ ;
  • Verifica la forza della password al momento dell’aggiornamento del profilo;
  • Prevenire la scoperta dei nomi utente attraverso le scansioni ‘/?author=N’, le API oEmbed e le API WordPress REST API.
  • Blocca gli IP che inviano richieste POST con un agente utente e referente vuoto;
  • Aggiornare WordPress, temi e plugin.