• User Newbie

    Attacchi Brute Force

    Ciao, creo questa discussione per consigli su come mitigare degli attacchi Brute Force su WordPress.

    Ieri su uno dei siti che seguo, con WordPress e il plugin Loginizer Security installati, non riuscivo a effettuare il login per via di un avviso secondo cui avevo fatto troppi login e invito ad aspettare 16 ore. Ovviamente ho capito subito che c'era qualcosa che non andava, dato che l'ultimo login l'avevo effettuato venerdì e non avevo fatto altri accessi. Eseguendo l'accesso al profilo amministratore da cPanel ho visto che dalla mattina cerano diversi tentativi di accesso, ripetuti ogni 2/4 minuti, con gli username dei vari profili WordPress. Ho subito eliminato tutti gli account e cambiato lo user e la password del primo amministratore da database, in questo modo dovrei essere relativamente al sicuro da eventuali accessi indesiderati, ma i tentativi di login continuano.

    Ora mi piacerebbe capire come sia possibile che per questi attacchi vengano utilizzati gli user dei profili, che non sono indicati da nessuna parte nelle pagine del sito e sono composti in modo da evitare questi problemi ("due lettere casuali"+"underscore"+"iniziali del nome"), e sapere come poter fermare questi tentativi di accesso ripetuti che continuano ancora oggi. Ho pensato di cambiare la url di login di default di WordPress, ci sono altri accorgimenti?

    Grazie a tutti.


    eleclipse shazarak 2 Risposte
  • User Attivo

    Per come sia possibile non saprei dirti.

    Per cosa puoi fare di più di quello che stai già facendo di primo acchito ti direi che ci sono plug-in, gratis e non, che implementano delle soluzioni specifiche contro gli attacchi di questo genere che vanno oltre il blocco IP dopo un tot tentativi.

    Due su tutti Sucuri e Wordfence.


    C 1 Risposta
  • User Attivo

    @claudius prova ad aggiungere ?author=1 dopo lo slash del tuo sito

    www.nomesito.com/?author=1

    e vedi che succede 😛

    a farla breve se non li hai disattivati tramite codice o plugin ci sono diversi sistemi per scansire siti worpdress e "recuperare" nomi utenti ecc

    se non ricordo male anche con le rest api

    trovi in rete decine di plugin chi piu chi meno che ti vanno a chiudere porte e portoni sugli attacchi brute force ed altri ancora

    considera che molti di questi potrebbero rallentarti il sito, e a seconda di come li configuri capita che poi ti bloccano alcune funzionalità ( che ne so le chiamate ajax, oppure ti vedono bot falsi positivi ecc). quindi sempre meglio testare ogni plguin e relativa funzione per bene cosi da evitare problematiche varie

    altrimenti o in aggiunta vai a lavorare lato server / firewall / waf ecc

    edit: https://www.wordfence.com/blog/2016/12/wordfence-blocks-username-harvesting-via-new-rest-api-wp-4-7/


  • Moderatore

    Le strategie dipendono da vari fattori. La più semplice è avere un plugin che metta un IP in lista nera per N ore se inserisce dati di login sbagliati più di x volte. Se accedi al tuo blog sempre e solo dalla stessa postazione puoi essere più drastico e limitare gli IP che accedono a wp-login.php agli IP del tuo ISP o al tuo se hai un IP fisso.


  • User Newbie

    @eleclipse ha detto in Attacchi Brute Force:

    Per come sia possibile non saprei dirti.

    Per cosa puoi fare di più di quello che stai già facendo di primo acchito ti direi che ci sono plug-in, gratis e non, che implementano delle soluzioni specifiche contro gli attacchi di questo genere che vanno oltre il blocco IP dopo un tot tentativi.

    Due su tutti Sucuri e Wordfence.

    Grazie, sicuramente il blocco IP credo che sia poco efficace: ogni tentativo viene sempre da un IP diverso.

    @shazarak ha detto in Attacchi Brute Force:

    @claudius prova ad aggiungere ?author=1 dopo lo slash del tuo sito

    www.nomesito.com/?author=1

    e vedi che succede 😛

    Caspita, mi ha dato nell'url lo user dell'amministratore.

    a farla breve se non li hai disattivati tramite codice o plugin ci sono diversi sistemi per scansire siti worpdress e "recuperare" nomi utenti ecc

    Intendi disattivare la visualizzazione degli user? Sa indicarmi qualche guida per disattivarli?

    Edit: trovato il pezzo di codice da aggiungere al file htaccess 😉

    @netmassimo ha detto in Attacchi Brute Force:

    Le strategie dipendono da vari fattori. La più semplice è avere un plugin che metta un IP in lista nera per N ore se inserisce dati di login sbagliati più di x volte. Se accedi al tuo blog sempre e solo dalla stessa postazione puoi essere più drastico e limitare gli IP che accedono a wp-login.php agli IP del tuo ISP o al tuo se hai un IP fisso.

    Come dicevo i tentativi di accesso vengono sempre da IP diversi, quindi una semplice lista nera è poco utile. Aggiungici che siamo tutti in smartworking in varie parti d'Italia (e del mondo in questo momento), per cui non possono neanche creare una lista di IP consentiti. Posso farlo temporaneamente finché non individuo una buona soluzione.

    Edito il post per dire che adesso i tentativi di accesso sono molto meno frequenti e non usano più gli user degli account ma un generico "admin".


    shazarak 1 Risposta
  • User Attivo

    @claudius per il mio livello di conoscenza lo puoi fare o con codici manuali o con plugin

    di regola la prima cosa da fare è cambiare l'id dell'amministratore
    https://www.wpwhitesecurity.com/change-wordpress-administrator-id/

    e poi blocchi ( a seconda delle esigenze) la possibilità di fare scansioni agli utenti, o con le rest api ( se non le usi attenzione)

    a codice non lo so fare, di regola uso i vari plugin di sicurezza

    personalmente negli anni ho usato:
    wordfence ( a mio parere troppo pesante )
    sucuri free ( non mi fa impazzire e mis embra manchino alcune funzionallità)
    ithemes security pro( pagamento) questo usato per almeno 3 anni credo, alcune cose carine, altre per le mie esigenze inutili
    e sono fino da boh 6 mesi o poco piu con Wp-cerber (free)
    va configurato come si deve punto per tutto e per quanto mi riguarda lo ritengo migliore degli altri

    qui ti puoi fare una idea https://wphive.com/plugins/wp-cerber/
    se vuoi puoi anche cercare e comparare gli altri plugin di sicurezza

    prima o poi vorrei provare questo: https://it.wordpress.org/plugins/block-bad-queries/ piu che altro per capire cosa e come lo fa

    in generale puoi anche sentire il tuo fornitore hosting che sistemi usa, e qui dipende
    Cloudways ti da un plugin bot che poi è Malcare, e poi usa cloudflare waf
    altri hosting italiani hanno o stanno implementando i loro sistemi di protezione
    se sei con server dedicati dipende da cosa usi, faccio un esempio io su un server con Plesk uso failtoban e modsecurity waf ( quest'ultimo pero in modalita solo rilevamento perche se lo attivo meta dei siti wordpress cominciato ad avere problemi e dovrei stare ad inserire regole dedicate una alla volta)


    C 1 Risposta
  • User Newbie

    @shazarak ha detto in Attacchi Brute Force:

    @claudius per il mio livello di conoscenza lo puoi fare o con codici manuali o con plugin

    di regola la prima cosa da fare è cambiare l'id dell'amministratore
    https://www.wpwhitesecurity.com/change-wordpress-administrator-id/

    e poi blocchi ( a seconda delle esigenze) la possibilità di fare scansioni agli utenti, o con le rest api ( se non le usi attenzione)

    @shazarak grazie mille.
    Ho trovato e provato almeno tre regole htaccess per non mostrare gli user, uno c'è anche in un commento di questa guida, ma non funzionano. Inizialmente sembrava andassero, in realtà avevo provato "/?author=1" su Chrome e là in ogni caso non vengono mostrati, anche senza regole aggiunte; fatta la stessa prova con Firefox lo username continua a essere visibile. Stranamente ho notato anche che le lo user ha una chiocciola, questa comunque non viene mostrata.

    a codice non lo so fare, di regola uso i vari plugin di sicurezza

    personalmente negli anni ho usato:
    wordfence ( a mio parere troppo pesante )
    sucuri free ( non mi fa impazzire e mis embra manchino alcune funzionallità)
    ithemes security pro( pagamento) questo usato per almeno 3 anni credo, alcune cose carine, altre per le mie esigenze inutili
    e sono fino da boh 6 mesi o poco piu con Wp-cerber (free)
    va configurato come si deve punto per tutto e per quanto mi riguarda lo ritengo migliore degli altri

    Avevo visto anche WP Hide oltre a questi che citi. Wp-Cerber invece sembra utile, nasconde gli user e cambia anche l'url della pagina di login. Se non appesantisce e non va in conflitto con Loginizer (che però a quel punto mi sa potrei anche eliminare) lo provo.


    shazarak 1 Risposta
  • User Attivo

    @claudius ha detto in Attacchi Brute Force:

    Loginizer

    premesso che loginizer non l'ho mai usato, mi verrebbe da dire che se hai la versione free, con wp-cerber non ti servirà più loginizer, ma controlla bene 🙂

    wp hide è un altro che prima o poi provo hihihi


  • Moderatore

    @claudius ha detto in Attacchi Brute Force:

    Eseguendo l'accesso al profilo amministratore da cPanel ho visto che dalla mattina cerano diversi tentativi di accesso, ripetuti ogni 2/4 minuti, con gli username dei vari profili WordPress.

    Ciao,
    se il server ti ha bloccato ci deve essere un sistema di protezione su Wordpress o sull'hosting. Per Wordpress puoi chiedere a chi ti ha sviluppato il sito, per l'hosting al tuo Hosting.

    Per quanto riguarda la problematica di bloccare i login ti consiglio questo https://it.wordpress.org/plugins/limit-login-attempts-reloaded/.


    C 1 Risposta
  • User Newbie

    @sermatica ha detto in Attacchi Brute Force:

    @claudius ha detto in Attacchi Brute Force:

    Eseguendo l'accesso al profilo amministratore da cPanel ho visto che dalla mattina cerano diversi tentativi di accesso, ripetuti ogni 2/4 minuti, con gli username dei vari profili WordPress.

    Ciao,
    se il server ti ha bloccato ci deve essere un sistema di protezione su Wordpress o sull'hosting. Per Wordpress puoi chiedere a chi ti ha sviluppato il sito, per l'hosting al tuo Hosting.

    Sì, come dicevo era Loginizer che aveva bloccato lo user per troppi tentativi di accesso.

    Per quanto riguarda la problematica di bloccare i login ti consiglio questo https://it.wordpress.org/plugins/limit-login-attempts-reloaded/.

    @shazarak ha detto in Attacchi Brute Force:

    @claudius ha detto in Attacchi Brute Force:

    Loginizer

    premesso che loginizer non l'ho mai usato, mi verrebbe da dire che se hai la versione free, con wp-cerber non ti servirà più loginizer, ma controlla bene 🙂

    wp hide è un altro che prima o poi provo hihihi

    Ho installato Wp-Cerber, davvero molto completo anche in versione free. C'è una cosa però che non capisco: dopo aver cambiato la url di login erano continuati i tentativi di login da wp-login, anche se ovviamente quell'url rimandava a un 404. Ora ho messo la check anche in "Defer rendering the custom login page", ma in teoria gli attacchi no dovevano più esserci dato che la pagina login di default non era più visibile...


    shazarak 1 Risposta
  • User Attivo

    @claudius gli “attacchi” continueranno perché arrivano dall esterno … ma non trovando url finiscono nel nulla… versione breve


    C 1 Risposta
  • User Newbie

    @shazarak ha detto in Attacchi Brute Force:

    @claudius gli “attacchi” continueranno perché arrivano dall esterno … ma non trovando url finiscono nel nulla… versione breve

    Grazie, la mia domanda era dovuta al fatto che ci sono tentativi di accesso da quello pagina che invece dovrebbe portare, come dici tu, nel nulla. Ma probabilmente c'è qualcosa che mi sfugge nel funzionamento di questi attacchi. 👍


    shazarak 1 Risposta
  • User Attivo

    @claudius ciao questi due articoli dovrebbero darti maggiori spiegazioni

    https://www.hackingarticles.in/multiple-ways-to-crack-wordpress-login/

    https://www.malcare.com/blog/wordpress-brute-force/

    Molto semplificato immagina di avere un robot che alla cieca va di casa in casa a bussare alle porte per cercare di entrare, lui non vede, arriva in un punto sempre prestabilito e bussa, se qualcuno risponde lui tentata la parola magica e se ha fortuna entra a fare danni
    Se però tu La porta la sposti da dove sta di solito, il robot busserà ad un muro, nessuno risponderà , non potrà tentare la parola magica e non potrà entrare….

    Però sto robot in teoria continuerà a venire a bussare alla tua ipotetica porta,….. e qui la teoria vuole che o si stanca lui di vedere muri e quindi smette, oppure l’edificio per primo lo blocca ancora prima che possa bussare ( ban ip) ecc

    Più o meno