Quante volte è stato suggerito di trovare e utilizzare password complesse per i propri account? Soprattutto accessi al cPanel e all’FTP, ma anche al CMS, hanno bisogno di parole chiave robuste proprio per scongiurare e rallentare un attacco brute force. Ovvero? Di cosa parliamo?
L’attacco brute force è il tentativo di accedere alle tue proprietà digitali indovinando la password che hai utilizzato per l’accesso. Sembra impossibile ma ci sono dei programmi automatizzati (bot) che servono proprio a questo: trovare keyword e accedere al tuo sito web o a qualsiasi altro account. Devi difenderti da questa minaccia così come avviene per gli attacchi DDoS. Ma in che modo? Ecco cosa approfondire per lavorare in sicurezza.
Argomenti
Si tratta del tentativo, svolto da parte di un software automatizzato, di trovare la password giusta per accedere a un servizio digitale. Come, ad esempio, il tuo backend WordPress. Il bot malevolo inizia dalla prima parola possibile ed elabora una serie rapida di combinazioni fino a raggiungere quella giusta.
Una volta entrato, può rubare dati o danneggiare le tue proprietà. Come puoi immaginare, è meglio prevenire un attacco di forza bruta. Cosa influenza la riuscita di un attacco brute force? Di sicuro la complessità della password ma anche la capacità del computer di supportare il tool nel calcolo.
Come come fare un attacco brute force? Con degli strumenti. Il primo metodo per prevenire una minaccia del genere: conoscere chi e cosa può causare danni. Ecco, quindi, quali sono i programmi più utilizzati da chi vuole mettere a rischio la sicurezza del tuo sito web WordPress (e non solo).
Non sempre questi strumenti per fare attacchi di forza bruta fanno danni. Ma si possono fruttare per prove di sicurezza. Quindi puoi fare test di penetrazione per tentare di hackerare i sistemi IT utilizzando gli stessi metodi degli hacker. Questo ti permette di identificare eventuali falle di sicurezza.
Perché gli attacchi basati su dizionario funzionano? Semplice, quest’ultimi si basano su una lista di password note e che spesso rappresentano la soluzione per chi non ha l’attenzione di generare una parola chiave di accesso robusta. Ad esempio 00000, 12345, qwerty e altre combinazioni note.
Queste sono inserite nei dizionari degli attacchi brute force che consentono di ridurre al minimo il tempo necessario per forzare l’accesso. Esistono anche hybrid brute-force attacks che mescolano parole del dizionario a quelle random create con semplici anagrammi e combinazioni casuali.
Con un tool per fare brute force attack, e grazie a webmaster poco attenti, bastano pochi secondi per risolvere la missione malevola. Per bloccare un tentativo di accesso del genere c’è una soluzione da mettere in campo: il blocco dell’IP. Puoi farlo attraverso il file htaccess aggiungendo:
order allow,deny
deny from xxx.xxx.xx.xx
allow from allOvviamente al posto delle X devi mettere il numero IP che ti attacca. Puoi aggiungere anche un range di indirizzi IP da bloccare utilizzando lo slash in questo modo xxx.xxx.xx.xx/xx ma spesso è difficile intervenire ex post perché bastano pochi minuti per avere delle brutte sorprese.
Inoltre, non è detto che tu riesca a trovare l’IP. Quindi è sempre meglio anticipare. Come fare per risolvere un attacco brute force prima che faccia danni? Segui questa guida per creare su WordPress, attraverso file htaccess, un doppio passaggio per ottenere l’autenticazione a due fattori.
Da leggere: scoprire l’indirizzo IP di un sito web
Qual è il punto di accesso più vulnerabile per un attacco informatico? Di sicuro il primo metodo per risolvere e anticipare il problema degli attacchi brute force è la scelta di una parola chiave sicura. Quanto tempo serve per scoprire una password con attacco brute force? Per una keyword di 6 parole servono 10 secondi. Ma se passiamo a 8 e abbiamo una combinazione di maiuscole, minuscole e cifre passiamo a 3 anni (fonte dati).
Quindi questa è la base di partenza. Poi una doppia autenticazione a due fattori (2FA) è perfetta per bloccare chi riesce ad avere la meglio sul primo passaggio. Sicuramente, l’ultimo metodo per fermare i tentativi di attacco a forza bruta può essere il blocco di accessi ripetuti. Su WordPress, il miglior plugin è Limit Login Attempts Reloaded. Ma ci sono ottime suite per aumentare la sicurezza del sito web. Ma non è sufficiente per iniziare.
La soluzione migliore: scegliere un hosting di qualità che ti consente di sfruttare immediatamente tutti i software per bloccare minacce come attacchi brute force, DDoS e malware di qualsiasi tipo. Proprio come avviene con i servizi Serverplan che dispone anche della sicurezza di Bitninja.
Hosting gestito: veloce, affidabile, performante
