Con brute force si indica una modalità di attacco che tenta di individuare delle credenziali di accesso provando tutte le combinazioni alfanumeriche possibili. Per riuscire a portare a termine la loro missione (e non sempre riescono), gli algoritmi utilizzati dagli hacker hanno bisogno di una finestra temporale che varia in base alla complessità delle parole da individuare.
L’username e la password di un amministratore WordPress sono naturalmente un obiettivo appetibile per i malintenzionati anche perchè, di default, il CMS permette un numero illimitato di tentativi d’accesso. Nel tutorial di oggi vedremo come limitarli impostando dei semplici ma efficaci “lockout”. Buona lettura.
Installazione e setup del plugin
Accediamo alla bacheca WordPress e raggiungiamo la sezione dedicata alla ricerca ed installazione di nuovi plugin (Plugin, Aggiungi nuovo). Digitiamo “Limit Login Attempts Reloaded” e procediamo all’installazione ed attivazione del plugin.
Dal menu laterale andiamo ora su Impostazioni, Limit Login Attempts per visualizzare la seguente schermata:
Nella sezione “Lockout” sono presenti varie voci, nell’ordine:
- numero di tentativi consentiti prima del blocco dell’indirizzo IP;
- durata del blocco (in minuti) a seguito del superamento dei tentativi consentiti;
- numero di blocchi per medesimo IP che attivano l’estensione del periodo di lockout (nello screen +24 ore ogni 4 blocchi);
- numero di ore necessarie a resettare il conteggio dei tentativi effettuati.
Chiudono la rassegna gli indirizzi IP e gli username ai quali non dovrà essere applicata alcuna restrizione (Whitelisted – per non esporre il sito ad eventuali minacce, le credenziali whitelisted potrebbero essere infatti rubate, è meglio lasciare vuota la sezione) e gli indirizzi IP e gli username da bloccare immediatamente (Blacklisted).
Salviamo le impostazioni e verifichiamo il funzionamento del plugin inserendo delle credenziali di accesso errate:
Al prossimo tutorial.