Post Taggati ‘brute force’

Brute force

Sapevo che prima o poi sarebbe successo, anche se ammetto di non essermi mai informata per quanto riguarda i possibili attacchi che possono essere fatti via web ai siti in generale e a quelli su base WordPress, almeno non fino a 4 giorni fa, quando è iniziato l’attacco a un sito che gestisco.
Quello che mi ha stupida – e che continua a stupirmi – è l’insistenza, visto che tempo fa anche questo mini-sito aveva avuto un attacco simile, ma era durato appena un pomeriggio, tanto che io me ne ero accorta praticamente al termine, invece in questo caso l’attacco persiste e purtroppo sto iniziando a sospettare che non si tratti per niente di un caso.

Partiamo dall’inizio: cos’è un “brute force”?

Brute force è un attacco massiccio che viene realizzato verso un qualsiasi sistema con lo scopo di scoprirne la password d’accesso. Nell’attuale caso specifico, si tratta di un attacco che viene effettuato da tantissimi IP differenti [ne sono stati stimati 90.000] verso un sito con base WordPress, prendendo di mira la pagina wp-login.php, con lo scopo di trovare la password [partendo dall’user “admin”, da non usare mai] o di rallentare/buttare giù il server a causa del sovraccarico.
In questo caso il “rischio più grande” è dato da talune aziende di hosting, che quando realizzano che un sito ospitato sulla loro piattaforma è sotto un attacco massiccio, bruciando loro troppe risorse, decidono molto semplicemente di risolvere il problema alla base, sospendendo il servizio e cancellando quindi il sito attaccato senza troppi complimenti.
 

C’è un rimedio?

Bella domanda. In questi giorni ho messo sottosopra tutto il web, trovando vari plug-in e varie pseudo-soluzioni, ma fondamentalmente sono tutti dei rimedi temporanei, che generalmente funzionano con attacchi meno forti e quando gli IP usati sono pochi e ripetuti. Quindi l’unica cosa realizzabile è quella di fare un backup completo [di WordPress e del Database] e di tentare di blindare il più possibile il sito, cercando eventuali backdoor, usando password forti, cancellando l’user “admin”, diminuendo i permessi ai file, come .htaccess, usando vari plug-in consigliati un po’ ovunque e che effettivamente fanno il loro notevole lavoro, anche se chi usa Aruba purtroppo deve sempre prestare molta attenzione, perché – per motivi meramente suoi – non accetta tutte le modifiche effettuate per la sicurezza sul file .htaccess [es. l’opzione no index] e non accetta neppure l’eccessiva restrizione dei permessi su file e cartelle, pena: il K.O. del sito web, con il classico “Errore HTTP 500 Internal server error” [stesso errore che si presenta quando si aggiorna semplicemente WordPress, sempre a causa della modifica dei permessi], motivo per cui è altamente consigliabile fare sempre una copia del file .htaccess prima di procedere con modifiche o con l’attivazione di tali plug-in, in modo tale da portelo sostituire nel caso in cui il sito vada in crash.
 

E poi?

Poi bisogna semplicemente aspettare che l’attacco cessi, sperando che il server resista e che il servizio di Hosting non crei problemi.
 

Quali sono i Plug-in consigliati?

Riporto quelli che ho provato direttamente, tra cui quello che sembra effettivamente “funzionare” nel mio caso, anche se ovviamente non ferma l’attacco, però blocca le richieste d’accesso prima che vengano realmente effettuate e credo che questo aiuti a limitare i “danni”, mentre gli altri plug-in bloccano le richieste d’accesso solo dopo che sono state inviate, riconoscendole come lesive, ma il server ne risente comunque [mia opinione personale, magari sbaglio, ma gli accessi invasivi con il plug-in in questione non vengono proprio più registrati dagli altri programmi, vengo visti solo gli accessi regolari, anche se errati].

BruteProtect: il plug-in sopra menzionato, il suo unico scopo è quello di “bloccare” gli attacchi Brute Force, sia da parte di IP unici, sia da parte di IP multipli e – almeno per ora – posso dire che sta facendo il suo degno lavoro. È molto basico, motivo per cui non ha un menu complesso e le selezioni da compilare sono 3: l’inserimento dell’indirizzo e-mail per ricevere la chiave di attivazione del plug-in, la sezione dove inserire la chiave numerica ricevuta e la scelta su chi può vedere – nella Bacheca – la finestrella informativa in cui viene semplicemente mostrato il numero degli attacchi bloccati.

Better WP-Security: un plug-in completo, il cui scopo è la protezione totale e in svariati modi del sito web, in pratica lo “blinda”, intervenendo anche sui permessi dei file [.htaccess incluso], nascondendo le pagine wp-admin.php, wp-login.php e wp-register, modificando i nominativo dei file nel database [prestare massima attenzione!], limitando il n. dei tentativi d’accesso, tenendo contosia  dei dell’IP, sia dell’user inserito, più molte altre cose. Lo consiglio? Sì, ma nel mio caso non è bastato, o meglio, bloccava tutti i tentativi – anche perché errati – riconoscendoli come lesivi, però dopo che venivano realizzati, infatti venivano tutti registrati sul file log e cosa più fastidiosa nessun IP veniva mai bannato [perché sempre differenti] e neppure l’username [il motivo non lo so].

Limit Login Attempts: come da titolo, limita i tentativi d’accesso, togliendo inoltre il messaggio d’errore di wordpress, che indica se si è sbagliata la password o il nome utente, fornendo quindi delle indicazioni importanti ai malintenzionati. È un buon plug-in, ma nel mio caso se impostavo 3 tentativi, in realtà ne concedeva solo 2. Attualmente lo uso ancora, ma solo per togliere il messaggio di wordpress.

Stop Spammer: non è molto intuibile, perché tutto in inglese, ma io lo considero molto utile per impedire le registrazioni, i commenti e gli accessi a scopo di SPAM, inoltre ha un ottimo resoconto registrando tutti gli IP che tentato svariate operazioni. Ha anche l’opzione per bannare in automatico gli IP che tentano di accedere al sito tramite l’username “admin”, però me ne sono accorta solo dopo aver attivato “BruteProtect”, quindi non so se funzioni realmente o meno.

Wordfence Securit: è un buon plug-in per la sicurezza del sito – io l’ho tolto solo perché ne ho veramente troppi e temevo un conflitto – che include il firewall, la scansione virus [questo non l’ho notato], le statistiche del traffico sul sito, l’avviso e il controllo per i file modificati, etc.

Questi non li ho provati, ma dai commenti sembrano altrettanto buoni: BulletProof Security, All In One WP Security & Firewall.
 

Sono possibili altre protezioni specifiche?

Sì, manuali però, tra cui la più gettonata: applicare una password direttamente sul server per poter accedere alla pagina wp-login.php. Io non l’ho fatto, ci ho provato, ma con Aruba purtroppo mi sono imbattuta nei soliti problemi e dopo che neppure l’Assistenza mi ha fornito soluzioni adeguate, mi sono temporaneamente arresa, tornando ai plug-in. Sui seguenti siti comunque è possibile trovare varie procedure, spiegate passo passo: qui, qui, qui.

È inoltre possibile apportare svariate piccole accortezze, oltre che controllare la sicurezza di tutti i file e plug-in aggiunti sul sito, dato che talvolta al loro interno si possono annidare dei “file spia”, delle backdoor, che aprono un accesso a terzi.

In rete sembrano essere disponibili dei plug-in e dei siti “scanner” per controllare la sicurezza dei singoli siti e l’eventuale presenza al loro interno di virus, backdoor, etc. Non so se siano realmente attendibili, però provare non costa nulla: Plug-in WordPress:

Anti-Malware (Get Off Malicious Scripts): sembra un buon plug-in, che scannerizza tutto il sito alla ricerca di bug, backdoor, malware, etc, segnalando i file potenzialmente infettabili e intervenendo direttamente risolvendo i problemi di sicurezza rilevati. Su questo sito mi ha segnalato un grave errore di protezione riconosciuto di un file php, risolvendolo e mettendo in sicurezza anche il file wp-login.php [come, non lo ancora..].

Sucuri Security – SiteCheck Malware Scanner: è un altro “plug-in” scanner, che segnala inoltre gli aggiornamenti da eseguire per proteggere il sito e con l’aggiunta del “Sucuri CloudProxy Web Firewall (WAF)” si dovrebbe completare la protezione, anche se attualmente non so ancora se rimuove i problemi riscontrati o si limita a segnalarli.

Siti (fonte: blog.keliweb.it):

sitecheck.sucuri.net: è un’utility molto valida per rilevare, ad esempio (ma non solo), i temi di WordPress corrotti o potenzialmente pericolosi. Se scaricate uno di quelli gratuiti dai repository non ufficiali, ad esempio, potrebbe capitarne qualcuno che presenta bug di sicurezza o addirittura codice malevolo che potrebbe infettare le macchine dei vostri visitatori. Aiuta a rilevare siti in blacklist, malware generico, download forzati, iframe o javascript malevolo, spam, potenziali rischi per Internet Explorer e via dicendo

siteinspector.comodo.com: è un’utility per rilevare e comprendere la natura di eventuali malware presenti nel vostro sito web.

urlvoid.com: serve specificatamente a rilevare i casi in cui il vostro sito sia presente in qualche eventuale blacklist, il che significa che ad esempio potrebbe star diffondendo un virus in rete a vostra insaputa.

scanurl.net: rileva se il sito venga utilizzato a scopo di phishing, se esista una reputazione positiva calcolata dal WEB of Trust e se siano presenti script sospetti.

onlinelinkscan.com: verifica se il sito venga rilevato correttamente da Google e la presenza di eventuali problemi di sicurezza.

Volendo poi esistono anche dei siti/programmi “barriera”, come ModSecurity, Incapsula e CloudFlare, che filtrano il traffico e tutte le attività del sito web, in modo tale da bloccare loro ogni possibile problema e attacco. Purtroppo però nella maggior parte dei casi sono servizi a pagamento o – se gratis – non facilissimi da usare.
Non li ho mai usati, anzi, li ho appena trovati, quindi non posso dare un’opinione personale in merito, però suggerisco la lettura di questo articolo, che sicuramente è più chiaro e fornisce maggiori informazioni.