Sito sotto attacco Bruteforce – Come difendersi
Sempre più spesso si verificano attacchi web a siti e portali online.
Quella che analizzeremo oggi è una tecnica chiamata Bruteforce ed è una delle principali tecniche di attacco che consiste nell’invio di richieste http alla pagina di login di un sito web fino al termine dell’algoritmo di attacco o fino a che non si riesce a loggare nella pagina di amministrazione dalla quale sarà poi possibile modificare e danneggiare il sito internet.
Questo genere di attacchi sovraccarica il nostro server creando notevoli disagi in primis rallentando la navigazione e impedendo ai nostri utenti di sfruttare appieno i nostri servizi ma può anche mandare in blocco servizi chiave quali i servizi di posta o i servizi in background sul server.
Per proteggersi esistono alcune pratiche che è necessario sapere e mettere in atto:
- innanzi tutto nascondere l’area di amministrazione in una cartella difficile da trovare (quindi evitare i classici www.dominio.it/admin, www.dominio.it /amministrazione, www.dominio.it /backoffice; inoltre è necessario impedire che venga indicizzata sui motori di ricerca tramite l’apposito robots.txt
- non usare username standard come ad esempio i classici “admin”, “amministratore”, “administrator”
- utilizzare password sicure quindi composte da almeno 8 caratteri con almeno 1 o 2 valori numerici ed 1 simbolo o una lettera maiuscola
- cambiare l’ID della username di amministrazione mettendola diversa da 1 (per utenti esperti o con l’ausilio di un programmatore)
Tutte queste pratiche sono valide per qualsiasi sito o portale dotato di amministrazione, sia esso un sito programmato manualmente da un nostro programmatore di fiducia o, a maggior ragione, se si tratta di un cms open source come wordpress, joomla e gli altri cms disponibili online di cui tutti sono a conoscenza delle vulnerabilità e degli standard utilizzati come ad esempio l’amministrazione che in wordpress si trova sempre nella cartella www.dominio.it/wp-admin.