Ciao,

mi succede una cosa strana gerando la sitemap con Yoast: praticamente inserisce pagine che non esistono con slug "-2". Una di queste ricordo che era stata temporaneamente creata per dei test, ma poi cancellata, il problema è che adesso ricontrollando la sitemap c'è anche una privacy-policy-2 che prima non cera e che non è mai stata creata. Ovviamente entrambe rimandano a un 404. Ho contattato il loro support sul forum WordPress, ma dopo varie prove non sono riusciti a risolvere e mi hanno chiesto di acquistare la versione premium per avere supporto.
A qualcuno di voi è mai successa una cosa del genere?

Grazie.

@shazarak ha detto in Attacchi Brute Force:

@claudius gli “attacchi” continueranno perché arrivano dall esterno … ma non trovando url finiscono nel nulla… versione breve

Grazie, la mia domanda era dovuta al fatto che ci sono tentativi di accesso da quello pagina che invece dovrebbe portare, come dici tu, nel nulla. Ma probabilmente c'è qualcosa che mi sfugge nel funzionamento di questi attacchi.

@sermatica ha detto in Attacchi Brute Force:

@claudius ha detto in Attacchi Brute Force:

Eseguendo l'accesso al profilo amministratore da cPanel ho visto che dalla mattina cerano diversi tentativi di accesso, ripetuti ogni 2/4 minuti, con gli username dei vari profili WordPress.

Ciao,
se il server ti ha bloccato ci deve essere un sistema di protezione su Wordpress o sull'hosting. Per Wordpress puoi chiedere a chi ti ha sviluppato il sito, per l'hosting al tuo Hosting.

Sì, come dicevo era Loginizer che aveva bloccato lo user per troppi tentativi di accesso.

Per quanto riguarda la problematica di bloccare i login ti consiglio questo https://it.wordpress.org/plugins/limit-login-attempts-reloaded/.

@shazarak ha detto in Attacchi Brute Force:

@claudius ha detto in Attacchi Brute Force:

Loginizer

premesso che loginizer non l'ho mai usato, mi verrebbe da dire che se hai la versione free, con wp-cerber non ti servirà più loginizer, ma controlla bene

wp hide è un altro che prima o poi provo hihihi

Ho installato Wp-Cerber, davvero molto completo anche in versione free. C'è una cosa però che non capisco: dopo aver cambiato la url di login erano continuati i tentativi di login da wp-login, anche se ovviamente quell'url rimandava a un 404. Ora ho messo la check anche in "Defer rendering the custom login page", ma in teoria gli attacchi no dovevano più esserci dato che la pagina login di default non era più visibile...

@shazarak ha detto in Attacchi Brute Force:

@claudius per il mio livello di conoscenza lo puoi fare o con codici manuali o con plugin

di regola la prima cosa da fare è cambiare l'id dell'amministratore
https://www.wpwhitesecurity.com/change-wordpress-administrator-id/

e poi blocchi ( a seconda delle esigenze) la possibilità di fare scansioni agli utenti, o con le rest api ( se non le usi attenzione)

@shazarak grazie mille.
Ho trovato e provato almeno tre regole htaccess per non mostrare gli user, uno c'è anche in un commento di questa guida, ma non funzionano. Inizialmente sembrava andassero, in realtà avevo provato "/?author=1" su Chrome e là in ogni caso non vengono mostrati, anche senza regole aggiunte; fatta la stessa prova con Firefox lo username continua a essere visibile. Stranamente ho notato anche che le lo user ha una chiocciola, questa comunque non viene mostrata.

a codice non lo so fare, di regola uso i vari plugin di sicurezza

personalmente negli anni ho usato:
wordfence ( a mio parere troppo pesante )
sucuri free ( non mi fa impazzire e mis embra manchino alcune funzionallità)
ithemes security pro( pagamento) questo usato per almeno 3 anni credo, alcune cose carine, altre per le mie esigenze inutili
e sono fino da boh 6 mesi o poco piu con Wp-cerber (free)
va configurato come si deve punto per tutto e per quanto mi riguarda lo ritengo migliore degli altri

Avevo visto anche WP Hide oltre a questi che citi. Wp-Cerber invece sembra utile, nasconde gli user e cambia anche l'url della pagina di login. Se non appesantisce e non va in conflitto con Loginizer (che però a quel punto mi sa potrei anche eliminare) lo provo.

@eleclipse ha detto in Attacchi Brute Force:

Per come sia possibile non saprei dirti.

Per cosa puoi fare di più di quello che stai già facendo di primo acchito ti direi che ci sono plug-in, gratis e non, che implementano delle soluzioni specifiche contro gli attacchi di questo genere che vanno oltre il blocco IP dopo un tot tentativi.

Due su tutti Sucuri e Wordfence.

Grazie, sicuramente il blocco IP credo che sia poco efficace: ogni tentativo viene sempre da un IP diverso.

@shazarak ha detto in Attacchi Brute Force:

@claudius prova ad aggiungere ?author=1 dopo lo slash del tuo sito

www.nomesito.com/?author=1

e vedi che succede

Caspita, mi ha dato nell'url lo user dell'amministratore.

a farla breve se non li hai disattivati tramite codice o plugin ci sono diversi sistemi per scansire siti worpdress e "recuperare" nomi utenti ecc

Intendi disattivare la visualizzazione degli user? Sa indicarmi qualche guida per disattivarli?

Edit: trovato il pezzo di codice da aggiungere al file htaccess

@netmassimo ha detto in Attacchi Brute Force:

Le strategie dipendono da vari fattori. La più semplice è avere un plugin che metta un IP in lista nera per N ore se inserisce dati di login sbagliati più di x volte. Se accedi al tuo blog sempre e solo dalla stessa postazione puoi essere più drastico e limitare gli IP che accedono a wp-login.php agli IP del tuo ISP o al tuo se hai un IP fisso.

Come dicevo i tentativi di accesso vengono sempre da IP diversi, quindi una semplice lista nera è poco utile. Aggiungici che siamo tutti in smartworking in varie parti d'Italia (e del mondo in questo momento), per cui non possono neanche creare una lista di IP consentiti. Posso farlo temporaneamente finché non individuo una buona soluzione.

Edito il post per dire che adesso i tentativi di accesso sono molto meno frequenti e non usano più gli user degli account ma un generico "admin".

Ciao, creo questa discussione per consigli su come mitigare degli attacchi Brute Force su WordPress.

Ieri su uno dei siti che seguo, con WordPress e il plugin Loginizer Security installati, non riuscivo a effettuare il login per via di un avviso secondo cui avevo fatto troppi login e invito ad aspettare 16 ore. Ovviamente ho capito subito che c'era qualcosa che non andava, dato che l'ultimo login l'avevo effettuato venerdì e non avevo fatto altri accessi. Eseguendo l'accesso al profilo amministratore da cPanel ho visto che dalla mattina cerano diversi tentativi di accesso, ripetuti ogni 2/4 minuti, con gli username dei vari profili WordPress. Ho subito eliminato tutti gli account e cambiato lo user e la password del primo amministratore da database, in questo modo dovrei essere relativamente al sicuro da eventuali accessi indesiderati, ma i tentativi di login continuano.

Ora mi piacerebbe capire come sia possibile che per questi attacchi vengano utilizzati gli user dei profili, che non sono indicati da nessuna parte nelle pagine del sito e sono composti in modo da evitare questi problemi ("due lettere casuali"+"underscore"+"iniziali del nome"), e sapere come poter fermare questi tentativi di accesso ripetuti che continuano ancora oggi. Ho pensato di cambiare la url di login di default di WordPress, ci sono altri accorgimenti?

Grazie a tutti.

@juanin ha detto in Google Analytics è illegale in EU?:

@claudius dimenticavo. Ovviamente fai in modo che le macchine dove tieni queste cose server side siano di aziende europee altrimenti sei punto e a capo

Non me ne volere ma della tua risposta questa è finora l'unica parte che mi è chiara
Ti ringrazio e provo a studiarmi il materiale che hai linkato, intanto se preparate una live/webinar/workshop/segnali di fumo con @giorgiotave per me (e credo molti altri) è molto gradito.

@kal ha detto in Google Analytics è illegale in EU?:

Aggiungo: resta invece a mio parere valido l'approccio di spostare il tracciamento lato server/proxy e levare lì i dati passibili di digital fingerprint, perché effettivamente questa cosa si qualifica pienamente come queste famose "supplementary measures" che Google ha mancato completamente di fornire.

Premesso che non ho nessuna competenza in merito, avete da consigliare delle letture di approfondimento su come implementare questo bypass?
Grazie

@filtro ha detto in Google Analytics è illegale in EU?:

@robot il titolare del sito. Google è importatore in questo caso

Scusate, mio intrometto da semplice "marketer" (che brutta parola) che utilizza i servizi Google.
Mi sembra che il nodo della questione (e forse errore del GDPR) sia questo: come può una qualunque PMI italiana (o europea) essere legalmente considerata esportatore di dati, visto che non ha alcun controllo sull'infrastruttura di raccolta dati di Google?
Se i servizi sono erogati da Google Ireland Limited, in questo caso l'esportatore dovrebbe essere questo soggetto.

Per fare un esempio concreto: sto facendo consulenza per un progetto di startup non ancora costituita, che dovrebbe fare una campagna Google Ads di raccolta metriche di validazione. Ciò comporta chiaramente l'integrazione di Google Ads e Analytics e l'utilizzo di un servizio di blocco preventivo dei consensi (paradossalmente non si potrebbe neanche usare Cookiebot), ma pur con tutto in regola e con una privacy policy a prova di bomba elaborata da un legale, si porrebbe sempre il problema dell'esportazione dei dati. Se qualcuno (competitor?) facesse un esposto al garante, questa startup verrebbe condannata prima ancora di essere costituita.
Solo io trovo folle tutto ciò?

Ciao a tutti, innanzitutto complimento per il forum
Vi seguo da un pò e adesso mi sono iscritto per chiedervi un consiglio. Ho un sito statico realizzato in html puro e un blog in una specifica cartella gestito con word press (dominio/blog). Adesso vorrei portare tutto su word press per gestire più agevolmente i contenuti e vorrei sapere qual'è il modo migliore per reindirizzare i link evitando di perdere il posizionamento acquisito. Per il blog non ho problemi perchè in linea di massima manterrò la stessa nomenclatura. Per il sito invece, pur mantenendo gli stessi nomi delle pagine dovrò reindirizzare le pagine. Ho letto in un'altra discussione su questo forum che il redirect 301 potrebbe essere penalizzante, è vero oppure ho capito male io? Non basta un redirect 301 in un file .htaccess?
Grazie per l'aiuto.