Miglioriamo l’installazione di WordPress per permettere al CMS di resistere agli attacchi di brute force, dotandolo di appositi plugin di sicurezza
Quando installiamo WordPress per il nostro sito Web non teniamo conto di un aspetto fondamentale per la sicurezza del CMS, ossia che la pagina di login di WordPress, così com’è progettata, rappresenta una porta di accesso al pannello amministrativo non solo per gli utenti autorizzati, ma soprattutto per gli hacker e, in generale, per chiunque voglia manomettere il sito.
La maggior parte di noi prende sottogamba il problema dell’accesso a WordPress e non dà il peso giusto a due problematiche davvero importanti:
- Tutte le installazioni di WordPress hanno di default la parola admin come nome utente;
- Non vi sono limiti al numero di tentativi di login eseguiti a WordPress.
Soprattutto l’ultimo punto è da non sottovalutare, perché in assenza di un numero massimo di tentativi, la maggior parte dei malintenzionati cerca di accedere all’installazione del CMS attraverso gli attacchi di brute force, con i quali si tentano migliaia e milioni di combinazioni password fino a quando non si ottiene l’accesso voluto.
Gli attacchi brute force non sono solo pericolosi, ma portano a rallentamenti del sito e, a volte, anche alla sospensione dell’account hosting da parte del provider.
Per ovviare a questa situazione molto rischiosa possiamo procedere in due modi differenti:
- Creare un nuovo nome utente con privilegi di amministratore, eliminando l’utente admin per evitare qualsiasi tipo di problema legato a questo profilo predefinito;
- Installare i plugin necessari per limitare i tentativi di accesso
E vi sono due plugin che sono proprio delle chicche, che non possono mancare in nessuna installazione WordPress che mira al massimo della sicurezza.
Sicurezza WordPress anti – brute force con due plugin ad hoc
Il primo add-on che suggeriamo è Limit Login Attempts, che risulta facilissimo da installare ed è configurabile per avvertirci con un alert via email al superamento di un certo numero di tentativi di login falliti.
Il plugin blocca gli indirizzi IP degli utenti che hanno fallito l’accesso e da amministratori abbiamo l’opportunità di decidere quale sia il numero di accessi falliti ammissibile, il numero di blocchi, la durata del blocco, l’eventuale incremento automatico del tempo di blocco al superamento di un certo numero di blocchi, il tempo necessario prima del reset del numero dei tentativi permessi. Come dicevamo, possiamo anche decidere quali tipo di alert ricevere via mail per essere informati di eventuali tentativi di attacchi brute force.
Un altro plugin che può sicuramente aiutarci nel migliorare la sicurezza del nostro WordPress è Google Authenticator, che può essere usato in congiunzione con Limit Login Attempts e aggiunge l’opportunità di un’autenticazione a due fattori.
Una volta installato sulla nostra piattaforma WordPress, non dobbiamo fare altro che installare il Google Authenticator App sul nostro smartphone iOS e Android, per generare un codice univoco ogni 30 secondi.
In questo modo, se qualche malintenzionato indovinasse la combinazione dei nostri dati di accesso, comunque non sarebbe in grado di ottenere il codice generato dall’algoritmo di Google.
Con Limit Login Attempts e Google Authenticator risolviamo così il problema dell’esposizione di WordPress agli attacchi di brute force.