Come proteggere il tuo sito WordPress da un attacco “brute force”

Un attacco brute force è un metodo di hacking che utilizza tentativi ed errori per decifrare password, credenziali di accesso e chiavi di crittografia. È una tattica semplice ma affidabile per ottenere l’accesso non autorizzato ad account di portali web o sistemi informatici.

L’hacker prova più nomi utente e password, spesso utilizzando un computer per testare un’ampia gamma di combinazioni, finché non trova le informazioni di accesso corrette. Il nome “brute force” deriva dal modo che hanno gli aggressori di attaccare, utilizzano tentativi eccessivamente energici per ottenere l’accesso agli account. Nonostante sia un vecchio metodo di attacco informatico, i brute force sono provati, testati e rimangono una tattica ancora oggi molto popolare nel mondo dell’hacking.

Come proteggere il tuo sito dagli attacchi brute force su WordPress

Gli attacchi brute force possono essere travolgenti, ben prima che questo abbia successo. La maggior parte dei siti dispone di risorse del server limitate, che si esauriscono rapidamente e spesso un sito sotto attacco si blocca completamente diventando così inaccessibile al pubblico. Fortunatamente, c’è molto che si può fare per prevenire questa tipologia di attacco.

1. Usa password complesse e univoche

La più grande vulnerabilità nel mondo della sicurezza informatica, da sempre, è l’utente stesso e di conseguenza le password che sceglie di utilizzare. Le password sono una grande vulnerabilità in un qualsiasi sistema di sicurezza a causa della tendenza umana a impostare un insieme di caratteri facili da ricordare e riutilizzarle in molteplici occasioni.

Prima di tutto è fondamentale non riutilizzare mai le password su account diversi, infatti molti bot utilizzano password rubate da violazioni di dati per effettuare attacchi alle pagine di accesso. In secondo luogo, una password come ad esempio “password” è incredibilmente facile da indovinare e per questo è importante utilizzare parole con un minimo di 12 caratteri fra lettere, numeri e caratteri speciali. Per aiutarti nella creazione di una password efficace puoi utilizzare un generatore di password.

2. Limita i tentativi di accesso

Uno dei metodi più semplici ed efficaci per prevenire un attacco brute force è limitare i tentativi di accesso. Ciò blocca l’efficacia dei bot poiché questi si basano sul metodo per tentativi ed errori per indovinare le credenziali. Grazie a questo sistema il bot non può provare migliaia di combinazioni diverse, le richieste non vengono inviate al server e le risorse non vengono utilizzate dall’attività del bot.

3. Installa un firewall per applicazioni web

La protezione dell’accesso è una difesa specifica contro gli attacchi brute force, mentre un firewall è una difesa contro tutti i tipi di attacchi. I firewall utilizzano regole per bloccare il traffico dannoso e fanno molto per proteggere il tuo sito web. Inoltre, i firewall mitigano uno dei maggiori problemi degli attacchi brute force, ovvero il carico eccessivo sulle risorse del server, bloccando le richieste errate.

4. Aggiungi l’autenticazione a due fattori in WordPress

I nomi utente e le password possono essere indovinati, quindi l’autenticazione a due fattori, o addirittura l’autenticazione a più fattori, è un modo per avere elementi dinamici per autenticare gli utenti. Con l’autenticazione a due fattori, un token di accesso in tempo reale come un OTP o un codice QR viene condiviso con il dispositivo dell’utente. Ha una validità limitata, solitamente di circa 10-15 minuti, e può autenticare solo un utente per quella sessione.

Il token aggiuntivo è difficile da decifrare oltre al nome utente e alla password e questo garantisce un ulteriore livello di sicurezza alla pagina di accesso.

5. Disabilita la navigazione nelle directory

Per impostazione predefinita, la maggior parte delle cartelle e dei file principali di WordPress sono accessibili tramite browser. Ad esempio, puoi digitare “iltuosito.it/wp-includes” nella barra degli indirizzi del tuo browser e l’intero contenuto della cartella sarà immediatamente visibile.

Anche se la navigazione nelle directory di per sé non è una vulnerabilità, può rivelare informazioni sul sito che possono essere a loro volta utilizzate per sfruttarne le vulnerabilità. La cartella “/wp-content” contiene plugin e temi e, se un hacker può vedere quali sono installati e i relativi numeri di versione, può potenzialmente trovare e sfruttare le vulnerabilità note. Questo è un tipo meno popolare di attacco chiamato directory brute force, ma ha comunque senso disabilitare del tutto la navigazione nelle directory, come salvaguardia.

---

In conclusione, gli attacchi brute force possono debilitare un sito web, anche se non vanno a buon fine. In questo articolo abbiamo approfondito alcune pratiche utili a prevenire o contrastare questo tipo di attacco.

Per eventuali dubbi o necessità non esitare a contattarci: il nostro staff sarà a disposizione della tua azienda al fine di pianificare una strategia di prevenzione efficace e sicura.