Uno degli attacchi più ripetuti verso Wordpress è sicuramente effettuato verso la pagina wp-login.php.
Una volta che abbiamo appurato che il CMS in uso è Wordpress sappiamo bene che all’indirizzo http://miosito.com/wp-admin (o wp-login) troviamo la porta di ingresso principale.
Il tuo primo compito è quello di aver scelto una buona password, aver abilitato la doppia autenticazione ed aver effettuato gli aggiornamenti di Sicurezza.
Abbiamo visto che la maggior parte dell’hardening e della messa in sicurezza si puó fare manualmente, sia per imparare qualcosa sia per non appesantire troppo Wordpress (al netto del Two Factor-Authentication e dell’evenutale Password Policy).
Sono dell’opinione che i plugin vanno utilizzati per abbellire Wordpress e per rendere ogni sito diverso dagli altri, ma è anche giunto il momento di presentarti un nuovo amico che si chiama Login Lockdown (https://wordpress.org/plugins/login-lockdown/)
Non lo confondere con WP-Limit Login Attempts, un plugin molto simile ma che ha dimostrato vulnerabilità nelle versioni precedenti (risolti per fortuna nell’ultima versione)
Una volta installato lo troviamo nella voce Impostazioni del menu della dashboard, e qui possiamo gestire come meglio crediamo i valori da assegnare.
Iniziamo con il capire la logica del plugin. Qualcuno sta tentando di accedere al mio blog in maniera ripetuta, per cercare di indovinare utenza e password per entrare in maniera fraudolenta.
Lo so che hai diecimila account sparsi per tutti i servizi che utilizzi, ma credo anche che in tre tentativi ce la puoi fare , quindi il numero massimo di tentativi lo lascio a 3 (Max Login Retries)
Il Retry Time Period Restriction è il lasso di tempo in cui vengono conteggiati i login falliti. (di default 5, tempo espresso in minuti)
Se in cinque minuti un utente sbaglia per 3 volte l’accesso, l’utenza viene bloccata per 60 minuti (Lockout Lenght, valore in minuti, di default 60)
Al 4 tentativo anche indovinando la password non si entra.
Ora entriamo di piú nello specifico.
Se siamo vittime di un attacco si presume che l’utente malevolo abbia una lista di username e password contenute in un file di testo e stia provando ad indovinare entrambi i fattori.
Di default Limit Lockdown non controlla e blocca le utenze inesistenti, invece noi vogliamo bloccarle e mettiamo Yes all’opzione Lockout Invalid Usernames. Cosí facendo andiamo a scremare il numero delle richieste continue che vengono fatte al sito.
Se vogliamo eliminare i messaggi di informazione sulla pagina di login, non volendo dare info supplementari sull’errore in fase di autenticazione Mask Login Errors lo fará per noi, quindi Yes.
Show Credit Links non è altro che un piccolo link sulla login che riporta alla pagina del plugin.
Se vuoi supportare il team di sviluppo lascialo, se hai una bella pagina customizzata per esigenze personale toglilo, il mio consiglio è torglielo subito perché stiamo dando informazioni su un plugin che stiamo utilizzando.
In basso abbiamo la lista degli utenti attualmente bloccati, con la possibilitá di sbloccarli selezionandoli.
Succede anche nella vita reale che piú di qualcuno dimentichi le password veramente…
Non è molto, ma è già qualcosa, hai abilitato la doppia autenticazione ed imposto un limite ai tentativi di login.
Se hai effettuato tutti gli altri passaggi ti manca solo un pezzettino per ultimare il nostro puzzle, e magari alla fine ti stai anche divertendo...
arulajeh.id Situs Berita Terbaru Dan Terbaik
Tambahkan Komentar