Cosa sono gli attacchi brute force e perché non devi preoccuparti di loro

Che cos’è esattamente un attacco brute force? Il nome “forza bruta” evoca il titolo di un film d’azione di terza categoria. Ma per la maggior parte dei siti, un attacco brute force può essere molto serio.

Che cos’è un attacco brute force?

Un attacco brute force è esattamente quello che il nome stesso indica. Non esiste una logica particolare nell’individuare credenziali e password, è semplicemente un bot che va per tentativi iniziando con nome utente “A” e password “A” e da lì inizia a lavorare. Proverà pazientemente ogni combinazione di lettere e numeri fino a quando non troverà un login e una password che funzionano. Quando sono iniziati gli attacchi brute force, non erano molto più di questo, ma nel corso degli anni sono diventati più sofisticati, anche se nella sostanza rimangono dei bot.

Oggi esistono reti di bot che fanno questo lavoro. Una volta gli attacchi brute force provenienti da un singolo computer erano davvero facili da rilevare e bloccare. Quindi ora, per attaccare i siti e ricavare le credenziali, vengono messe in piedi reti con centinaia o migliaia di computer che lavorano insieme.

Inoltre, oggi esistono elenchi di password già utilizzate o parole che possono essere combinate insieme per creare una password. Una rete bot può provare a indovinare un login e una password migliaia di volte al secondo. Il tuo sito è tanto più sicuro quanto la password è complessa.

Oltre ad usare questi elenchi, gli hacker sono diventati ancora più furbi. Quando un sito viene violato e tutte le informazioni dell’utente vengono prese, le credenziali di quel sito vengono aggiunte alla lista delle credenziali da provare. Sanno che le persone non si preoccupano di creare login e password diversi nella maggior parte dei casi, quindi gli accessi per un sito sono probabilmente validi anche per altro.

Come si riduce l’efficacia di un attacco brute force?

Siti non ospitati su SiteGround

Se non sei ospitato su SiteGround, devi cercare qualche plugin di sicurezza e configurare i firewall. Nel nostro blog puoi trovare diversi articoli sulla sicurezza che possono fare al caso tuo. Avrai bisogno di:

Installare un firewall e configuralo correttamente.

Ci sono molti buoni plugin nella repository di WordPress che proteggeranno il tuo sito da attacchi brute force e da altri tipi di hack. Personalmente non ne consiglio uno in particolare, ma ti basterà guardare i migliori per valutazione per trovare quello giusto per te. Tutti i plugin migliori hanno un abbonamento mensile, ma è quello che serve per proteggere il tuo sito.

Richiedi password complesse per tutti gli utenti

Abbiamo già parlato di password in questo articolo, ma vale la pena ripeterlo. Le password complesse sono la tua prima linea di difesa. Ai tuoi utenti potrebbe non piacere, ma manterrà il tuo sito e i loro dati al sicuro.

Richiedi l’autenticazione a due fattori per tutti gli accessi

L’autenticazione a due fattori riduce al 100% gli attacchi brute force perché il login e la password sono solo 2/3 della procedura di accesso. Per l’ultimo “terzo” serve avere un telefono. Questa è la fine dei giochi per gli attacchi brute force.

Come per le password complesse, gli utenti di solito odiano l’autenticazione a due fattori. Puoi limitarla agli account amministratore, ma se un utente malintenzionato entra nel tuo sito, sei compromesso.

Implementa un criterio di rotazione che imponga nuove password ogni 90 giorni

Un altro metodo che gli utenti odiano, ma che è efficace nell’aiutare a prevenire attacchi brute force, richiede agli utenti di reimpostare le proprie password. Questa è un’altra cosa mal sopportata dagli utenti e se fai troppe cose (in nome della sicurezza) che gli utenti non apprezzano, potresti iniziare a perdere utenti. Quindi sta a te fare una scelta ben ponderata.

Suggerimento bonus: Fail2Ban

Oltre a questi suggerimenti, mi sento di consigliare WP-fail2Ban. Configurato correttamente (serve uno sviluppatore o un amministratore di rete per configurarlo correttamente) può essere uno strumento molto potente per prevenire un attacco brute force. Non è facile da configurare ma è molto potente. Fail2ban è open source e gratuito, mentre il plugin WP Fail2Ban ha una versione pro che vale il suo prezzo.

Di solito non consiglio plugin specifici, ma questo è unico. Ho la versione gratuita installata su tutti i miei blog che non sono ospitati su SiteGround e funziona meravigliosamente. Sto fortemente considerando l’aggiornamento alla versione pro.

ATTENZIONE: questo plugin richiede che Fail2ban sia correttamente installato, configurato e funzionante sul tuo server. Fail2ban stesso ha anche un paio di requisiti. Questo non è un plugin semplice da usare. Se non sei uno sviluppatore o non hai molta familiarità con Linux, chiedi aiuto.

Siti ospitati su SiteGround

Se il tuo sito è ospitato su SiteGround, puoi dormire sonni tranquilli. SiteGround ha una suite completa di strumenti integrati, incluso un sistema di intelligenza artificiale che rileva gli attacchi brute force provenienti da reti di bot. Questo non significa che il tuo sito sia sicuro al 100%, nessuno può raggiungere il 100%. Tuttavia, significa che gli attacchi brute force sono una cosa in meno di cui ti devi preoccupare.

Riassumendo

Gli attacchi brute force sono conosciuti e ben compresi. Esistono strumenti che puoi installare per ridurre i rischi legati a essi. Detto questo, la soluzione migliore è scegliere un hosting provider affidabile come SiteGround che se ne occupa al posto tuo, in modo che tu possa dedicare il tuo tempo a migliorare sempre più il tuo sito.