Brute force: gli host dopo l’attacco

wordpress-avanzato-wpchef
WordPress avanzato: plugin di prenotazione servizi
marzo 9, 2016
Siteground
Installazione WordPress one click
aprile 3, 2016
Mostra tutto

Brute force: gli host dopo l’attacco

Brute-force

La settimana scorsa molti proprietari di siti web hanno riportato di essere sotto un attacco di brute force. Un attacco che è stato lanciato su vasta scala e che ha colpito migliaia di siti, oltre ad una moltitudine di web host. Cosa hanno fatto i nostri partner di SiteGround per porvi rimedio?

Che cosa è un attacco di brute force? Un attacco di brute force non è un evento insolito per gli hosting web. Nella sua essenza cerca di sfruttare le password deboli per hackerare siti web. L’attacco che è stato sferrato contro i siti WordPress, si indirizzava alle password di amministratore più deboli. Attraverso il modulo di wp-login.php. Questo ultimo attacco è stato più massiccio di altri e ha usato 100.000 indirizzi IP (o più) per creare il maggior numero di query ai vari siti WordPress. È stato tentato di indovinare tutte le password di amministratore. Durante questo processo, il carico sui server host è significativamente aumentato. L’amministratore, dal backend di WordPress ha iniziato a notare errori di caricamento e il server veramente lento.


In sintesi, il problema per tutti gli hosting provider (i veri padroni di casa di WordPress) non era solo di cercare di salvare dall’essere violati i loro siti ospitati. Ma di assicurarsi che i loro server non venissero sovraccaricati dall’attacco. I fornitori sono riusciti a combattere questi due problemi con successo? Quanto tempo hanno impiegato a farlo senza danneggiare l’utente?


Anche noi di SiteGround, abbiamo fermato queste azioni di hacking e vorremmo condividere alcune delle soluzioni prese dagli altri e confrontarle con le nostre. Riteniamo infatti che questo tipo di situazioni dimostrino la vera qualità e il livello di assistenza di un hosting provider.

Brute force

1) Cambiare la password di Admin

Quasi tutti gli host hanno chiesto ai loro clienti di modificare le password di amministrazione di WordPress. Molti utenti potrebbero aver dimenticato di cambiare password predefinite o avrebbero utilizzato password facili da ricordare e facili da essere violate. L’attacco di brute force ha cercato di sfruttare esattamente questo tipo di password deboli. La cosa più ovvia è  stata quella di cambiare le password deboli con quelli più forti. Una password forte è una combinazione di lettere, numeri e caratteri speciali e di solito è di 8 o più simboli.


2) I plugin di WordPress

Ci sono vari plugin di WordPress che sono molto utili per proteggere una singola installazione da violazioni di un attacco di brute force. Matt Mullenberg il CEO di Automattic (titolare ufficiale del software WordPress), raccomanda l’uso di plugin in più dichiarazioni ufficiali su questo argomento. Molti utenti che hanno capito il problema e hanno installato questo tipo di plugin. Che a livello utente è una mossa saggia. Tuttavia, se un host sta invitando i propri clienti ad installare tali plug-in non sta realmente affrontando il problema del carico del server. E della possibilità di un attacco a livello centrale. I tentativi di brute force raggiungeranno anche il server, cercando di rallentare tutte le prestazioni su scala massiccia.


3) Il file .htacces

Molti hosting provider hanno aggiunto delle restrizioni nel file .htaccess per negare tutti i tentativi (o dopo un certo numero) dell’accesso al backend di WordPress. Sembrava un’ottima soluzione. La cattiva notizia è stata però che, mentre queste restrizioni sono valide, l’amministratore non può accedere il proprio sito a causa di questa “correzione”. Dovrebbe anche aspettare fino alla fine dell’attacco. InMotion Hosting sembra aver utilizzato questo tipo di approccio per limitare l’attacco. Questo è quanto si dice nel loro blog:

“Queste regole sono in grado di rilevare un tentativo di brute force in atto e per entrare nel sito web WordPress di un cliente. Ogni volta che ci sono 5 tentativi di accesso non riusciti e le attività non inizieranno entro 30 secondi. Un ulteriore accesso al amministratore dashboard di WordPress sarà negato per i successivi 15 minuti.  – “Hanno anche informato gli utenti su come accedere al proprio backend dal proprio IP .”
WPengine ha scritto “…installiamo il limite dei tentativi di connessione su tutta la linea software oltre a WordPress e su tutti i siti dei nostri clienti .”

Brute Force

Brute Force: quale rimedio è stato più efficace?

Sulla base delle dichiarazioni ufficiali e della cronologia degli eventi, SiteGround ha dimostrato di essere l’host vincente. La velocità con la quale sono stati fatti interventi e prese contromisure ha praticamente messo tutti gli effetti negativi dell’attacco alla porta. SiteGround è stato pro attivo nelle azioni di prevenzione. Attivandosi anche con soluzioni in-house personalizzate per ridurre anticipatamente il carico del server.

Il CEO di SiteGround, ha dichiarato: “Non voglio entrare nei dettagli, in termini di quello che abbiamo fatto. Per non permettere ad alcuno di questi hacker di superarci in astuzia. I fatti dimostrano che per le ultime 12 ore abbiamo hanno bloccato più di 15 milioni di tentativi di brute force. Nei confronti dei nostri clienti e dei nostri server non si sono evidenziati problemi di carico.”


Conclusioni

Quando si sceglie di utilizzare vecchie tattiche si dovrebbe farlo in modo intelligente. Si dovrebbero prendere anche in considerazione soluzioni personalizzate per le nuove circostanze, come dimostra l’esempio di SiteGround. L’hosting ha applicato in modo dedicato tutte le correzioni necessarie per prevenire l’hacking. Soprattutto con patch in-house personalizzati che hanno risolto il problema senza danneggiare l’utente.

Quando la prossima volta sceglierai un hosting provider, non guardare solo al prezzo più basso. Verifica sempre la qualità di assistenza e servizi offerti. Con Gestione WP, partner SiteGround, sarai sempre aggiornato su nuove criticità. Oltre a godere del nostro servizio gratuito e in italiano, per ogni tua esigenza di ottimizzazione. Website transfer o domain transfer. A partire da un nuovo account cliccando link sulla nostra pagina: HOSTING.

Stay tuned, Gestione WP



NON ESISTONO DOMANDE STUPIDE O INUTILI

Le domande hanno solo bisogno
della risposta giusta.

Marcello Moresco
Marcello Moresco
Marcello Moresco è un Art Director - SEO Specialist che negli anni si è specializzato nella realizzazione di progetti web 2.0 e 3.0. Gestisce il gruppo Facebook: Wordpress facile e si occupa di grafica, SEO e ottimizzazione della Page Speed per i propri clienti. CEO e project manager di Gestione WP gestisce il sito, il blog e tutti i servizi assieme agli altri professionisti della squadra. Gestione WP assistenza WordPress e realizzazione siti web è anche su Facebook: Assistenza WordPress.