Gli attacchi brute force (letteralmente forza bruta) sono tra gli espedienti più “antichi” impiegati dai malintenzionati sul Web che, nonostante la loro semplicità, continuano a funzionare, soprattutto grazie al disinteresse di alcuni vendor ed alle leggerezze degli utenti.
L’obiettivo dell’attacco è basilare quanto la manovra d’esecuzione: individuare la combinazione esatta (username e password) di uno o più user effettuando un elevato numero di tentativi d’accesso (anche migliaia).
Le probabilità di successo degli hacker sono destinate ad aumentare in proporzione alla complessità delle credenziali: ovviamente la situazione preferita dagli attacker è quella in cui il target adopera delle combinazioni predefinite/di fabbrica o si affida ad una delle tante combinazioni da evitare – ma che ogni anno finiscono nelle celebri classifiche dedicate.
Nel tutorial di oggi, grazie all’estensione Brute Force Stop, vedremo come neutralizzare gli attacchi brute force indirizzati ad un sito Joomla.
Procediamo prima di tutto al download dell’archivio pkg_bfstop-1.4.1.zip (la versione potrebbe cambiare in futuro) cliccando sull’omonimo bottone nella pagina ufficiale dell’estensione.
Effettuiamo l’accesso al back-end del CMS con un account amministratore, seguiamo il consueto percorso Estensioni, Gestione, Installa e trasciniamo lo zip nell’area evidenziata dall’interfaccia per installare il plugin (Trascina o rilascia il file qui per caricarlo). Dopo alcuni istanti vedremo il seguente messaggio:
Come suggerito dal CMS, dobbiamo procedere nell’ordine alla configurazione ed alla pubblicazione del modulo System – Brute Force Stop. Andiamo in Estensioni, Plugin e digitiamo nella casella di ricerca la parola brute:
Cliccando sul nome del modulo accediamo alla pagina di configurazione:

Se si intende utilizzare il file .htacces (abilitato), quest’ultimo dovrà essere sia leggibile che scrivibile dal CMS o l’estensione non funzionerà a dovere.
La Soglia del Blocco determina il numero di tentativi che è possibile effettuare prima che il CMS blocchi un IP per un determinato numero di ore (predefinito 1 Giorno). E’ possibile personalizzare ulteriormente il sistema accedendo alla sezione Avanzate:
Le impostazioni più importanti sono:
– Attivo per, che consente di selezionare le parti del sito da proteggere (si consiglia entrambe, il front-end riguarda gli utenti mentre il back-end admin e collaboratori).
– Attiva il blocco, per rendere operativo o meno il blocco degli IP.
– Permanente dopo, che consente di stabilire dopo quanti blocchi radiare in modo permanente un IP.
– Tentativi rimasti, per informare l’utente che dopo un determinato numero di tentativi il suo IP sarà bloccato.
– Messaggio bloccato, per visualizzare un messaggio agli utenti bloccati.
Una volta ultimate le modifiche torniamo alla sezione iniziale (Plugin), selezioniamo Abilitato da Stato (parte destra della schermata) e clicchiamo sul bottone Salva e Chiudi per rendere effettive le nuove preferenze. L’elenco degli indirizzi IP bloccati sarà visionabile seguendo il percorso Componenti, Pannello di Amministrazione di Brute Force Stop: