Tutorial: Proteggere WordPress dagli hacker in 5 minuti

Non tutti sanno che la maggior parte dei siti WordPress sono soggetti a continui tentativi di hacking. Ecco un plugin che vi aiuta a fermare gli attacchi e a scoprire chi sono questi hacker e cosa digitano…

La scoperta

Io l’ho scoperto per puro caso, guardando le statistiche di accesso lato server (perchè il tracker di Google Analytics, funzionando solo sulla parte pubblica del sito, non ha mai rilevato nulla): la pagina di accesso al pannello di controllo “wp-admin/” di un mio sito in stato di quasi abbandono era visitata centinaia di volte!

Mmmm interessante, ma chi è che si ostina a cercare di indovinare la mia password?

Ho poi scoperto che la quasi totalità dei siti WordPress è oggetto di un continuo bombardamento da parte di hacker più o meno improvvisati che cercano di indovinare la password per sfruttarne le risorse.

Ma chi sono? Come fanno? E come fare per vedere se il proprio sito è sotto attacco e proteggersi? Andiamo per ordine…

Leggendo questo tutorial imparerai:

  • Come vedere se il tuo sito è sotto attacco
  • Come proteggerlo in modo semplice ma efficace
  • Come scoprire le combinazioni di username/password tentate gli hacker (ci vanno vicino o non hanno speranze?)
  • Da dove arrivano gli attacchi?

Come proteggersi

Prima di tutto io ho scoperto un plugin molto utile che si chiama Captcha on Login (aspetta a cercarlo e installarlo, in questo articolo trovi una versione “potenziata” scaricabile gratis).

A prima vista è una barriera che chiede oltre alle solite username e password anche la ricopiatura di una sequenza di letterine (detta “captcha“). Il perché è presto detto: i tentativi di indovinare la password vengono fatti molto spesso da software automatici, che non potendo leggere le lettere sull’immagine sono tagliati fuori.

C’è di più: contro chi tenta di indovinare la password operando “a mano”, si impone un numero limitato di tentativi: dopo un certo numero di volte che puoi decidere tu, tipicamente 3 o 5 tentativi, il sistema si “chiude” e blocca l’accesso per 24 ore. In questo modo è veramente difficile per un hacker entrare se non conosce la password esatta. Ma ecco il piatto forte:

Il plugin offre un comodissimo “report” da cui si vede esattamente quando e quante volte il nostro sito è stato oggetto di attacchi!

Nello screenshot qui sotto potete dare un’occhiata…


Ora, il plugin in questione nella sua versione originale ha un “report” piuttosto scomodo da consultare (la lista con i numeri IP è una listbox da cui non potete copiare nulla).

Nella versione scaricabile qui sotto (potenziata dal sottoscritto) trovi le seguenti modifiche:

  • Lista degli attacchi da cui potete selezionare, e copiare i numeri IP (magari per poi usarli in un filtro, vedi sotto)
  • In caso l’accesso sia fallito perché il codice captcha non era corretto, tiene traccia di quali user e password sono state inserite.
  • Link rapido al sito InfoSniper, per vedere dal numero IP da dove arrivano gli attacchi
  • Promemoria per il codice da usare nel vostro file .htaccess, se volete tagliare fuori per sempre tutta una classe di numeri IP

Più sotto le spiegazioni di dettaglio su come usare le varie funzioni. Do qui per scontato che tu sappia come scaricare sul tuo computer e, da lì, installare il plugin sul tuo sito.

 

 

Come usare il plugin

  • Installa e attiva il plugin come fai di solito con qualsiasi plugin. Se tutto è OK vedrai una nuova voce nel menu di amministrazione “Captcha on Login”
  • Vai a Captcha on Login, Settings. Sotto “How many tries before locking the IP” imposta a 3 per bloccare l’accesso dopo 3 tentativi. Clicca Save per salvare le impostazioni.
  • Esci e prova a rientrare. Se non hai avuto difficoltà, tutto OK.
  • Se per qualche motivo non riesci a rientrare (su alcuni server mal configurati il sistema può non funzionare, per esempio possono non apparire le lettere nell’immagine), ricorda: puoi sempre accedere al tuo spazio web con FTP e cancellare la cartellina wp-content/plugins/captcha-on-login disattivando così il plugin e ripristinando l’accesso normale.
  • Fra qualche giorno, fai sotto Captcha on Login, Report. Se trovi una lista di tentativi di accesso falliti, bé, anche il tuo sito è sotto attacco ma hai una protezione in più!

login-protettoPer scoprire da dove vengono gli hacker

Seleziona il numero IP del computer usato per entrare (è composto da 4 gruppi di cifre searati con un puntino es. 222.333.444.555), copia il numero e poi clicca sul link “Infosniper”. Incolla quindi il numero IP nell’unica casella di testo e fai clic sul pulsante [Check] … ora sai da dove si è collegato l’hacker e quale provider ha usato per collegarsi a Internet.

Per bloccare un numero IP o un range di numeri IP

il plugin ha una funzione di banning sotto Settings (“Add IPs to permanent blacklist“) che però io trovo poco efficace perché se un domani disinstalli il plugin ti ritrovi di nuovo senza protezione. Preferisco un intervento più radicale. Usa la procedura seguente a tua disecrezione:

  • Se l’attacco arriva da una regione del mondo da cui non aspetti clienti prendi le prime due cifre del numero IP e il puntino finale (esempio: 222.333. ) e copia questa porzione di numero
  • Apri con FTP il file .htaccess che si trova nella cartella radice del sito, e in cima inserisci il codice che ho riportato per  comodità nella stessa pagina “Report” del plugin
  • La specifica seguente blocca l’accesso a tutti i computer con numero 222.333.(qualsiasi).(qualsiasi)
     <files "*.*">
     Deny from 222.333.
     </files>

    se volessi aggiungere altri numeri, basterà aggiungere una riga “Deny from”

  • ciò basta a tagliare fuori buona parte del traffico di quello specifico provider, cosicché se l’hacker se ci vuol riprovare dovrà comprarsi una chiavetta Internet di un altro provider oppure faticare ulteriormente per ottenere un IP completamente diverso.
  • Note di buon senso: Occhio a non tagliare fuori provider di nazioni da cui vi aspettate traffico e ovviamente non inserire mai nella lista il tuo numero IP: non riusciresti più a vedere il tuo sito. Anche in questo caso, comunque, basterà aprire il file .htaccess via FTP e ripulirlo dal filtro per rimettere tutto alla normalità (FTP infatti bypassa il filtro .htaccess).

 

 

Una sicurezza in più

Molti hacker partono dal presupposto che l’utente amministratore di un sito sia l’utente “admin“. Questo plugin ti permette  anche di modificare il nome utente in qualcosa di tuo personale, che di per sé costituisce un ottima difesa. Questo si fa sempre sotto Settings. Attenzione ad annotare il nome utente se decidi di cambiarlo!

NB. Se dovessi dimenticare il nuovo nome dell’amministratore, potrai recuperarlo aprendo la tabella wp_users del database di WordPress, accessibile tramite l’interfaccia phpMyAdmin.

Conclusioni

14Abbiamo capito che la maggior parte dei siti WordPress è soggetta a un costante bombardamento operato da hacker che da molte regioni del mondo tentano di guadagnare l’accesso per poi sfruttare le risorse del nostro sito (inserire link, ruba password, chi più ne ha più ne metta).

Abbiamo visto che un plugin, qui scaricabile in versione potenziata, permette di arginare il fenomeno e di tenerlo sotto controllo. Consultando il comodo “Report” offerto dal plugin, noto che gli hacker tentano sempre password piuttosto banali: basta scegliere qualcosa di meno stupido del classico “123456” o “letmein” per avere un minimo di protezione in più, posto che il plugin visto qui blocca l’accesso dopo N tentativi quindi rende di fatto impossibile il brute force cracking (cioè il tentare tutte le password possibili).

La mia impressione è che questi hacker vengano perlopiù da paesi molto poveri, dunque persone in difficoltà che usano sistemi tutto sommato modesti per guadagnare qualche risorsa informatica da usare per i loro fini. Se vogliamo capire chi sono e avere almeno numero IP e indicazione sul provider che usano e da dove si collegano, questo plugin ve ne dà la possibilità.

Commenti e segnalazioni riguardo questo articolo e plugin si possono fare sulla mia Pagina Facebook.

 

Scarica il plugin potenziato

iconadropbox4il plugin è scaricabile gratuitamente con la formula “pay with a like”. Per scaricare il plugin potenziato di cui ho parlato in questo articolo occorre fare uno dei seguenti (a tua scelta):

  • un “mi piace” (è relativo a questo sito)
  • un Google +1
  • un Tweet

Usa uno dei bottoncini nell’area azzurra qui sotto per fare il “mi piace”/+1/tweet e ottenere istantaneamente il link per il download!

Scritto da Cristiano Leoni

Cristiano Leoni

Cristiano è sviluppatore di siti web ed è specializzato in tecnologie e soluzioni avanzate per Internet, in particolare PHP, WordPress e Prestashop.
Puoi seguirlo su Siti Web Bologna su Google+, Siti Web Bologna su Twitter, Siti Web Bologna su Facebook,

Altri post utili


Valuta questo articolo

1 Star2 Stars3 Stars4 Stars5 Stars (No Ratings Yet)
Loading...

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *