Avete mai sentito parlare dei ladri che cercano di entrare in una casa chiusa a chiave provando un mucchio di chiavi diverse? Questo è più o meno il funzionamento di un attacco brute force ai siti web WordPress. Gli aggressori mirano a colpire gli utenti con password di amministrazione deboli per entrare con la forza bruta. Se vi state chiedendo come siete arrivati a questo punto, vi spieghiamo come funziona. Diverse versioni fa, WordPress utilizzava un nome utente predefinito chiamato "admin" per i suoi utenti. Gli aggressori sfruttano questi account provando diverse password da abbinare allo stesso nome utente per accedere a qualsiasi cosa che consenta loro l'accesso.
Come prevenire gli attacchi Brute Force contro WordPress?
- Il primo passo da compiere sarebbe quello di cambiare il nome utente se si utilizza ancora "admin" e utilizzare invece qualcosa di più univoco. In questo modo si elimina la possibilità di rientrare nella categoria vulnerabile che gli aggressori cercano di individuare automaticamente. È anche il passo più efficace che potete fare per proteggervi da questo attacco.
- Non utilizzate password deboli! Certo, "123456" è facile da ricordare, ma assomiglia anche all'idea di dare le chiavi di casa a un noto ladro. Se non riuscite a pensare a qualcosa di difficile, utilizzate i generatori di password per trovare qualcosa di forte che non sia facile da indovinare. WordPress semplifica anche la comprensione della forza delle password, grazie a un indicatore che appare quando si cerca di crearne una.
- Tenete aggiornate le versioni di WordPress e del software del computer e assicuratevi di attivare l'autenticazione a due fattori se utilizzate WP.com. Questo vi segnalerà se un tentativo proviene da un dispositivo/regione diverso dal vostro.
- Chiamate il vostro provider di hosting se vi sembra che le vostre pagine di amministrazione siano diventate difficili da accedere e appaiano lente. Dovrebbero essere in grado di guidarvi nella giusta direzione.
- Utilizzate uno strumento aggiuntivo o un plugin che limiti il numero di tentativi di accesso. Se il vostro sito web non richiede l'accesso di più persone, potete anche aggiungere dei plugin che bloccano qualsiasi tentativo (diverso dal vostro) di accedere a wp-admin.
- Se in passato siete stati vittime di attacchi di questo tipo e avete notato uno schema di indirizzi IP o regioni da cui provengono gli attacchi, potete aggiungere un ulteriore livello di protezione. A tal fine è possibile creare una "blocklist" di indirizzi IP che cercano di accedere al vostro sito web da quelle regioni. Sfortunatamente, così facendo bloccherete anche alcuni utenti autentici che desiderano accedere al vostro sito web.