Home

"I'm brave but I'm chicken shit"

Aumentare la sicurezza di WordPress

wp_bruteforce_opt1Negli ultimi giorni c’è stata un drastico aumento degli attacchi alla pagina di login di WordPress. Quasi 100.000 computer “zombies” in preda a un botnet stanno cercando di forzare un gran numero di installazioni tramite un attacco “brute force” che tenta di indovinare la password dell’amministratore.

Difendersi non è difficile, basta prendere alcune precauzioni. Potete cambiare il nome dell’amministratore, scegliendone uno diverso da “admin”, potete scegliere una password complessa di almeno 10 caratteri, o potete attivare l’autenticazione a due fattori.

Di quest’ultimo sistema vi ho già parlato, riferendomi alla implementazione di Google e descrivendone l’utilizzo per Gmail e per l’accesso SSH a un server remoto. Lo stesso sistema può essere usato anche per il login a WordPress. E’ sufficiente installare un plugin e attivare la funzione per l’utente amministratore e per tutti gli altri dei quali si voglia aumentare la sicurezza. E’ consigliabile che venga fatto per tutti coloro che hanno privilegi amministrativi. L’applicazione per la gestione esiste per Android, iOS e Blackberry, è gratuita, Open Source, e non necessita della connessione dati poiché non scambia nessuna informazione con Google (il login è vostro, privato e sconosciuto a chiunque) e, se lo usate già, è sufficiente scansionare il QR Code per attivare l’interfaccia.

Proteggetevi.

 

 

Pubblicato

in

da

Andrea Beggi

Tag:

, , , , , ,

Commenti

7 risposte a “Aumentare la sicurezza di WordPress”

  1. Avatar Emanuele
    Emanuele

    Sezione /wp-admin/ protetta da .htpasswd e passa la paura verso questo genere di attacchi.
    Ciao,
    Emanuele

  2. Avatar Andrea
    Andrea

    Non tutti hanno accesso a .htpasswd (e relativa gestione degli utenti) e il plugin è più semplice. Inoltre se scoprono la pw non se ne fanno nulla senza il secondo fattore di autenticazione che cambia ogni 60 secondi.

  3. alcuni aneddoti dal futuro degli altri | 15.04.13 | alcuni aneddoti dal mio futuro

    […] Andrea Beggi, “Aumentare la sicurezza di WordPress”: Negli ultimi giorni c’è stata un drastico aumento degli attacchi alla pagina di login di WordPress. Quasi 100.000 computer “zombies” in preda a un botnet stanno cercando di forzare un gran numero di installazioni tramite un attacco “brute force” che tenta di indovinare la password dell’amministratore. […]

  4. Avatar settolo
    settolo

    Si sa come riconoscere se l’infezione è avvenuta?

  5. Avatar settolo
    settolo

    Si sa come riconoscere se l’infezione è avvenuta? (ripeto commento per iscrivermi a notifiche via mail)

  6. Avatar Emanuele
    Emanuele

    Andrea, concordo anche se più plugin attivi significano più risorse richieste. Probabilmente per l’utente comune attivare il plugin è la scelta più semplice e immediata. Per gli altri (e per chi vuol ottimizzare un po’), sfruttare le funzioni di Apache può essere vantaggioso. In caso di attacchi casuali andrà bene e nel caso di attacchi mirati… imho non basta né l’uno né l’altro.
    Ciao,
    Emanuele

  7. Avatar Gregg
    Gregg

    Ottimo suggerimento 😉 mi permetto di consigliare un altro plugin dedicato alla protezione di siti realizzati con wordpress, ossia: https://wordpress.org/plugins/better-wp-security/