Negli ultimi giorni c’è stata un drastico aumento degli attacchi alla pagina di login di WordPress. Quasi 100.000 computer “zombies” in preda a un botnet stanno cercando di forzare un gran numero di installazioni tramite un attacco “brute force” che tenta di indovinare la password dell’amministratore.
Difendersi non è difficile, basta prendere alcune precauzioni. Potete cambiare il nome dell’amministratore, scegliendone uno diverso da “admin”, potete scegliere una password complessa di almeno 10 caratteri, o potete attivare l’autenticazione a due fattori.
Di quest’ultimo sistema vi ho già parlato, riferendomi alla implementazione di Google e descrivendone l’utilizzo per Gmail e per l’accesso SSH a un server remoto. Lo stesso sistema può essere usato anche per il login a WordPress. E’ sufficiente installare un plugin e attivare la funzione per l’utente amministratore e per tutti gli altri dei quali si voglia aumentare la sicurezza. E’ consigliabile che venga fatto per tutti coloro che hanno privilegi amministrativi. L’applicazione per la gestione esiste per Android, iOS e Blackberry, è gratuita, Open Source, e non necessita della connessione dati poiché non scambia nessuna informazione con Google (il login è vostro, privato e sconosciuto a chiunque) e, se lo usate già, è sufficiente scansionare il QR Code per attivare l’interfaccia.
Proteggetevi.
Commenti
7 risposte a “Aumentare la sicurezza di WordPress”
Sezione /wp-admin/ protetta da .htpasswd e passa la paura verso questo genere di attacchi.
Ciao,
Emanuele
Non tutti hanno accesso a .htpasswd (e relativa gestione degli utenti) e il plugin è più semplice. Inoltre se scoprono la pw non se ne fanno nulla senza il secondo fattore di autenticazione che cambia ogni 60 secondi.
[…] Andrea Beggi, “Aumentare la sicurezza di WordPress”: Negli ultimi giorni c’è stata un drastico aumento degli attacchi alla pagina di login di WordPress. Quasi 100.000 computer “zombies” in preda a un botnet stanno cercando di forzare un gran numero di installazioni tramite un attacco “brute force” che tenta di indovinare la password dell’amministratore. […]
Si sa come riconoscere se l’infezione è avvenuta?
Si sa come riconoscere se l’infezione è avvenuta? (ripeto commento per iscrivermi a notifiche via mail)
Andrea, concordo anche se più plugin attivi significano più risorse richieste. Probabilmente per l’utente comune attivare il plugin è la scelta più semplice e immediata. Per gli altri (e per chi vuol ottimizzare un po’), sfruttare le funzioni di Apache può essere vantaggioso. In caso di attacchi casuali andrà bene e nel caso di attacchi mirati… imho non basta né l’uno né l’altro.
Ciao,
Emanuele
Ottimo suggerimento 😉 mi permetto di consigliare un altro plugin dedicato alla protezione di siti realizzati con wordpress, ossia: https://wordpress.org/plugins/better-wp-security/