Numerosi siti WordPress sono stati vittima di attacchi brute force in questi giorni, per cercare di scoprire le password associate all’account predefinito admin usato da WordPress.
Nello scorso weekend, diversi esperti di sicurezza di importanti aziende e Provider Hosting, hanno segnalato un pericoloso aumento di attacchi informatici contro siti che utilizzano la piattaforma WordPress. Un’enorme botnet, composta da circa 90.000 computer, è stata utilizzata dai cybercriminali per eseguire attacchi “brute force” , con l’obiettivo di cercare le password associate all’account predefinito “admin“ di WordPress, e nei casi di successo, con la conseguente installazione di una backdoor.
CloudFlare, noto CDN con funzioni di reverse proxy, ha segnalato un notevomente aumento del volume degli attacchi, aumentato del triplo rispetto alla media. In un’ora circa, Cloudflare ha dovuto bloccare oltre 60 milioni di richieste inviate ai siti che utilizzano WordPress.
Come bloccare un attacco “brute force”
Anche se ora la situazione sembra tornata alla normalità, è bene porre grande attenzione ad attacchi di questo tipo. Non è facile bloccare un attacco “brute force”; di norma si tende a bloccare l’IP dal quale provengono gli attacchi, ma in questo caso, si parla di migliaia di PC distribuiti in tutto il mondo, pertanto, risulta impossibile una soluzione del genere.
Esistono però altre alternative, per migliorare la sicurezza di un sito WordPress, una delle principali è sicuramente quella di non utilizzare l’account predefinito “admin” di WordPress. La seconda, è ovviamente quella di utilizzare una password ben robusta, non facilmente individuabile.
Due plugin molto interessanti, disponibili per WordPress, sono i seguenti:
- Login Security Solution (per modificare l’url del login in WP)
- BulletProof Security (per aumentare la sicurezza in WP, tramite l’htaccess ed altre funzioni)
A tutti coloro che utilizzano WordPress, vi invito a leggere questi due interessanti articoli su come migliorare la sicurezza del vostro blog:
- Come migliorare la sicurezza di WordPress con Better WP Security
- Come aumentare la sicurezza in WordPress
Non è la prima volta che avvengono attacchi del genere contro i siti WordPress, ma quello dei giorni scorsi è stato di una portata notevolmente maggiore alla norma. L’invito è sempre quello di fare frequentemente dei backup completo dei proprio siti e di seguire tutti gli accorgimenti elencati sopra, per aumentare al massimo la sicurezza del vostro sito WordPress. Per qualsiasi dubbio o domanda, lasciate un commento.