Brute Force WordPress, come difendersi

Scritto da: Seeoux

Ultimamente molte installazioni di WordPress vengono prese di mira con attacchi Brute Force, portando problemi di lentezza nonchè di sicurezza ai siti e alle installazioni del CMS stesso. Cerchiamo di capire di cosa si tratt..

Cos’è un Brute Force?

Un attacco in Brute Force è un tipo di attacco che viene messo in pratica per ottenere l’accesso a un sito o un’area dello stesso: si cercano attraverso tentativi multipli, di scoprire nomi utente e password, fino a quando questi non vengono trovati o fino a quando l’attacco stesso non viene terminato.

In WordPress soprattutto viene preso di mira il file wp-login.php che permette l’accesso al backend del CMS dal /wp-admin della propria installazione. Gli attacchi Brute Force per la loro natura, ovvero richieste HTTP continue e frequenti che vengono effettuate dai client verso il server, possono rallentare il caricamento del vostro sito web o comunque far notare un peggioramento delle prestazioni.

Vediamo come difenderci da un Brute Force in WordPress:

Andando sul sito ufficiale wordpress.org ci vengono riportate tutte le protezioni che si possono prendere ed attivare su un’ installazione per aumentare il livello di sicurezza evitando e riducendo i Brute Force.

Alcuni consigli che vengono offerti sono quelli di non usare un nome utente e password comuni per l’area amministrativa, come possono essere username: admin e password: prova ( esempio ) , ma avere un’username ed anche password robusti e che non siano facilmente scopribili.

Una password robusta è composta da simboli, caratteri maiuscoli e minuscoli e numeri, e può variare da un numero di 6 a più caratteri, ovviamente più le vostre password saranno lunghe e robuste più vi assicurerete una protezione in tal senso.

Altri consigli che possono essere utili per evitare i Brute Force sono l’attivazione di alcuni plugin come:

Limit Login Attempts il quale limiterà il numero di login errati da client che tenteranno di loggarsi nel vostro wp-admin.

Lockdown WP Admin Questo plugin bloccherà l’area wp-admin per utenti non connessi e sarà utile anche per rinominare l’url di login all’area amministrativa del vostro WordPress.

Better Wp Security Plugin che è uno dei must per aumentare la sicurezza di un’installazione in wordpress, questo plugin fa parecchie cose, per restare nel tema: