In questi giorni d’estate anche i blogger si rilassano facendo qualche giorno di vacanza, e lo stesso ho fatto io. Evidentemente qualcuno non ha fatto lo stesso, dato che negli stessi giorni il blog ha subito un attacco bruteforce, col quale hanno tentato di trovare la password del mio account. Posso dire con grande gioia che l’attacco è fallito, e il blog sta benissimo.
Cos’è un attacco bruteforce?
Secondo quanto riporta Wikipedia, il metodo Forza Bruta (bruteforce) è un algoritmo di risoluzione di un problema dato che consiste nel verificare tutte le soluzioni teoricamente possibili fino a che si trova quella effettivamente corretta. Per dirla in parole semplici, dato un problema, si tentano tutte le possibili soluzioni finché non si trova quella giusta. Nel mio caso, si tentano tutte le possibili password finché non viene trovata quella corretta. Situazione decisamente spiacevole, dal mio punto di vista.
Le difese di questo blog
Ben prima di aprire il blog nel dicembre 2015, avevo letto diverse guide e consigli su come gestire un blog, come crearlo, quali plugin installare e anche come difenderlo dai malintenzionati. Nello specifico mi aveva attirato questo articolo scritto da Bennaker, nel quale descrive due attacchi subiti a distanza di breve tempo. Girando per il suo sito ho scovato questa lista, che elenca ben due plugin dedicati alla sicurezza su cinque, segno che dopo gli attacchi subiti Bennaker ha potenziato e molto le difese del suo blog.
Al momento della nascita di questo blog, prima ancora di pubblicare il primo contenuto, mi sono occupato dei plugin “di servizio”, e quindi anche della sicurezza. A ripensarci ora sembra quasi ironico, un blog neonato al quale, come prima cosa, si mette un’armatura addosso per tenerlo al sicuro (l’immagine sotto ha scopo puramente ironico/descrittivo)
fonte immagine: Ebay
Il plugin al quale ho affidato la difesa del blog è iThemes Security (qui tutte le info) e posso dire che ha fatto un ottimo lavoro, anche grazie al fatto che è molto facile mettere in sicurezza un sito, dato che è il plugin stesso a consigliare quali opzioni attivare per utenti poco esperti. Già solo questo livello di sicurezza “base” consente ai siti di avventurarsi abbastanza protetti nel mare di Internet, anche se è bene non sentirsi troppo al sicuro. L’attacco subito dal blog lo dimostra.
Le difese post attacco
Per complicare la vita di chiunque vorrà attaccare di nuovo con un bruteforce questo blog, ho innalzato il livello di difesa, inserendo un plugin che obbliga ad inserire un chaptcha code al momento del login nella parte amministrativa, con tanti saluti (si spera) agli attacchi condotti da bot. Inoltre ho cambiato l’indirizzo di accesso alla parte amministrativa stessa, eliminando il troppo comune /wp-admin con un’indirizzo di mia scelta. Il tutto in 5 minuti, grazie a iTheme Security.
Consiglio aggiuntivo
Se anche l’attacco fosse riuscito, il blog avrebbe avuto pochi danni, dato che grazie a iTheme Security ho il backup settimanale dell’intero sito comodamente via mail, che mi avrebbe consentito di ripristinarlo velocemente. Inoltre tutti i plugin e WordPress stesso sono sempre aggiornati, in modo da non lasciare pericolose falle sfruttabili da hacker. Va bene fidarsi di iTheme Security, ma diamogli anche una mano a fare il suo lavoro, no?
In chiusura un sentito grazie al gruppo Facebook Supporto WordPress per i consigli su come attivare il livello avanzato di difesa che difende ora questo blog e a Giacomo per aver tenuto sotto controllo il blog e aver installato il plugin per il chaptcha mentre ero via.
Pingback: Consigli per l'estate - Cultura Social