La pratica di cercare la password usando tutte le combinazioni possibili viene denominata “brute force“, ed è questo che sta accadendo ultimamente sui siti costruiti con il CMS WordPress.
Tramite dei BotNet, per dirla in parole semplic, un automatismo innescato da PC collegati alla rete Internet, si creano ripetute richieste di autenticazione – di login – sulla pagina www.nomedominio.xx/wp-admin/ nel tentativo di scoprire la password usando sia parole da vocabolario sia caratteri alfanumerici generati a caso in sequenza vertiginosa.
Si ricorda un po’ di tempo fa un massiccio attacco ai siti worpress con l’utilizzo – si è calcolato – di oltre 90.000 computer: un BotNet in questo caso capace di elaborare in un’ora circa 2 miliardi di password!
In caso di successo, il sito violato viene infettato da file tipo backdoor che possono generare elevato traffico così da bloccare il server, oppure a far diventare il sito stesso – se non l’intero server – un’altra piattaforma usata per attaccare altri siti e server.
Poichè questi attacchi non provengono mai da un unico IP, che sarebbe facile da bannare, ma da diversi IP di computer “zombi”, cioè utilizzati da remoto all’insaputa dei loro proprietari da Hackers, diventa impossibile prevenirli.
Tuttavia è possibile, usando alcuni semplici accorgimenti e plugin, difenderci al meglio:
1) cambiare il nome utente dell’amministratore di WordPress, da “admin” – username di default – a “qualcosa altro” in modo che sia più difficile da individuare.
2) non usare questo nuovo username per postare gli articoli, così si evita di farlo sapere ad altri.
3) usare password lunghe e composte da caratteri alfanumerici, minuscolo e maiuscolo, e magari anche con caratteri speciali (esempio: #@[)
4) installare un plugin di protezione, che banni per un certo periodo chi esegue 4 o 5 tentativi di login con password errata. Consigliamo il plugin Limit Login Attempts, ma ve ne sono anche altri adatti allo scopo.
5) installare il plugin Better WP Security che permette una agevole gestione dei parametri critici, quelli che bisogna configurare per rendere più sicuro il proprio WordPress.
Altri suggerimenti sono stati descritti nel nostro articolo usare wordpress in sicurezza a cui rimandiamo la lettura e sul sito ufficiale di wordpress.
Ricordiamo che un particolare di non di minore importanza è quello di mantenere aggiornata la versione di WordPress e dei vari Plugin installati: gli aggiornamenti oramai si possono eseguire con un paio di click, perché non farlo?