Nell’ultimo periodo sono cresciuti gli attacchi “Brute Force” ai siti web in WordPress.
Lo stesso Wordfence, che si occupa di sicurezza in WP, ha segnalato la pericolosità di questi attacchi hacker che mirano a “forzare” le password per l’accesso e (una volta ottenuto l’accesso) propagano poi l’azione attraverso una rete di siti bot infetti.
Cos’è un attacco Brute force?
Per chi non lo sapesse ancora, si parla di un attacco brute force ad un sito web in WordPress, quando attraverso un meccanismo automatizzato, gli hacker tentano di indovinare password e username di centinaia di siti. Nel caso la corrispondenza di user e password sia indovinata, ne assumeranno il controllo sul backend o pannello d’amministrazione.
Come si cade nel mirino degli hacker?
In realtà non esiste un motivo specifico che rende un sito web più “appetibile” per questo tipo di attacchi. Tuttavia, esiste una negligenza comune alla maggior parte dei proprietari di un sito web: l’attribuzione di password d’accesso semplici o addirittura “ripetute” in diverse occasioni. Questo è il principale motivo di vulnerabilità di un sito web.
Come provvedere alla sicurezza di un blog/sito WordPress?
Se possiedi un sito e ti sei accorto adesso che la tua password d’accesso è vulnerabile, non hai che da provvedere compiendo i seguenti passaggi:
- Modifica la tua Username se hai lasciato: Admin (generalmente ripeto questa buona regola ai miei clienti come un mantra)
- Modifica la password se hai messo il tuo nome, 1234, o abcd e così via
- Scegli di rendere ancora più sicuro il tuo sito con UNLOQ
Cos’è UNLOQ?
UNLOQ è un sistema distribuito di autenticazione con un livello di crittografia enterprise. I dati sono crittografati con lo standard AES-256-CBC e viene utilizzata la connessione TLS per tutte le comunicazioni.
In parole semplici, si tratta di un sistema di autenticazione a due fattori che rende l’accesso al sito in WP ancora più sicuro. Potrei definirlo “l’armatura per il tuo sito”.
Come si ottiene questa armatura?
Per mettere in sicurezza WordPress innanzitutto bisogna provvedere all’installazione del plugin sul proprio blog WordPress e ad installare sul proprio telefonino la app.
Dopo il primo setup, dovrai eseguire queste azioni:
- Clicca sul pulsante per ricevere una notifica push sul cellulare
- Conferma sulla richiesta approvandola per accedere all’area riservata.
Quindi, non avrai più bisogno di password complesse da ricordare.
E’ possibile personalizzare l’interfaccia con splash screen, logo e colori dell’azienda o del sito.
In alternativa alla notifica push è possibile utilizzare una OTP (One Time Password) o l’accesso via email.
Infine, tra le opzioni è presente anche una funzionalità Firewall: per una maggiore sicurezza è possibile infatti restringere l’accesso solo a certi IP o zone geografiche specifiche.
Naturalmente UNLOQ non è l’unico sistema di autenticazione a 2 fattori: ne esistono tanti altri tra i quali Google Authenticator e Clef (purtroppo non più attivo, e di cui avevo parlato in questo articolo).
