Proteggere WordPress da attacchi brute force

Come proteggere WordPress da continui tentativi di accesso non autorizzato?

State usando un server web per ospitare una o più installazioni del famoso e diffuso CMS WordPress? Allora quasi di sicuro riceverete migliaia di tentativi di accesso al pannello amministrativo dei siti realizzati con tale CMS.
Si tratta appunto di attacchi “brute-force”, per tentativi.
Se le password utilizzate sono robuste probabilmente gli accessi saranno bloccati. Purtroppo pero’, a volte, tali attacchi vanno a buon fine e, in genere gli accessi illegali sono usati per rubare dati sensibili, per installare malware nel sito compromesso o per inviare spam sfruttando le funzionalità del server. Per questo è necessario proteggere WordPress da questi tentativi.

Proteggere WordPress da attacchi brute force

Come sappiamo di essere vittime di questi attacchi brute-force rivolti a WordPress?

Possiamo controllare nei log e noteremo la ripetizione di righe di questo tipo:

46.161.27.153 – – [26/Sep/2022:06:28:41 +0200] “POST /wp-login.php HTTP/1.1″ 200 4522 “-” “Mozilla/5.0 (Windows NT 6.3; WOW64; rv:43.0) Gecko/20100101 Firefox/43.0”
46.161.27.153 – – [26/Sep/2022:06:33:27 +0200] “POST /wp-login.php HTTP/1.1″ 200 4515 “-” “Mozilla/5.0 (Windows NT 6.3; WOW64; rv:43.0) Gecko/20100101 Firefox/43.0”
46.161.27.153 – – [26/Sep/2022:06:33:30 +0200] “POST /wp-login.php HTTP/1.1″ 200 4522 “-” “Mozilla/5.0 (Windows NT 6.3; WOW64; rv:43.0) Gecko/20100101 Firefox/43.0”
46.161.27.153 – – [26/Sep/2022:06:37:43 +0200] “POST /wp-login.php HTTP/1.1″ 200 4515 “-” “Mozilla/5.0 (Windows NT 6.3; WOW64; rv:43.0) Gecko/20100101 Firefox/43.0”
46.161.27.153 – – [26/Sep/2022:06:40:16 +0200] “POST /wp-login.php HTTP/1.1″ 200 4522 “-” “Mozilla/5.0 (Windows NT 6.3; WOW64; rv:43.0) Gecko/20100101 Firefox/43.0”

Come si può notare, gli IP da cui viene eseguito il tentativo di accesso sono ripetuti. Questo è un chiaro segno che l’accesso non è avvenuto e che si sta verificando una serie di tentativi al fine di individuare una password corretta. Normalmente vengono utilizzati vocabolari contenti migliaia di password tra le più diffuse oppure vocabolari costruiti analizzando dati relativi alla vittima (sito web, pagine social, informazioni personali, etc.)

Quasi certamente sul server avrete gia’ installato un firewall ma questo non previene i tentativi e non può bloccare l’attacco.

Come bloccare l’attacco brute-force e proteggere WordPress?

Se utilizzate come firewall il diffuso CSF (ConfigServer Security & Firewall), spesso si trova installato nelle installazioni cPanel. Questo firewall dispone di un componente, LFD, che verifica i tentativi di login al diversi servizi.
Può inoltre essere customizzato per integrare nuove regole di riconoscimento.
Possiamo pertanto personalizzare il file regex.custom.pm che si trova nella cartella di installazione del firewall ed aggiungere le seguenti righe.

# WP-LOGINS
if (($globlogs{CUSTOM1_LOG}{$lgfile}) and ($line =~ /(\S+).] “\w(?:GET|POST) \/wp-login.php.*” /)) {
return (“WP LOGIN BRUTE FORCE”,$1,”WPLOGIN_FAILURE”,”6″,”80,443,21,22,25,23″,”900″);
}

Dovremo inoltre indicare che tra i log da analizzare ci sono anche quelli del web server (apache), modificando il parametro CUSTOM1_LOG=….

A questo punto, dopo aver riavviato firewall e demone LFD, se la pagina di login sarà richiamata più di 6 volte in un breve lasso di tempo, il firewall bloccherà per 900 secondi gli accessi alle porte usate dal web server ed anche ad altri servizi (ssh, smtp, ftp, etc).

Come verifico se sta funzionando la protezione di WordPress dagli attacchi?

Nel log del sistema di controllo degli accessi, LFD, troveremo traccia dei tentativi di accesso bloccati etichettati con il testo “WP LOGIN BRUTE FORCE”. Le linee si presenteranno nel seguente modo:

Sep 26 07:40:32 host100 lfd[29428]: (WPLOGIN_FAILURE) WP LOGIN BRUTE FORCE 198.98.60.32 (US/United States/ns1.boltflare.com): 6 in the last 3600 secs – Blocked in csf for 900 secs [LF_CUSTOMTRIGGER]
Sep 26 07:41:18 host100 lfd[29689]: (WPLOGIN_FAILURE) WP LOGIN BRUTE FORCE 188.166.236.35 (SG/Singapore/-): 6 in the last 3600 secs – Blocked in csf for 900 secs [LF_CUSTOMTRIGGER]
Sep 26 07:49:41 host100 lfd[32366]: (WPLOGIN_FAILURE) WP LOGIN BRUTE FORCE 188.166.183.39 (SG/Singapore/agvn.net-alpine): 6 in the last 3600 secs – Blocked in csf for 900 secs [LF_CUSTOMTRIGGER]

Questo è uno dei vari modi che abbiamo per proteggere WordPress da attacchi brute-force, in particolare è efficace se non possiamo adottare altre soluzioni più restrittive.

Vuoi attivare la protezione di WordPress ma preferisci che questo venga fatto da sistemisti esperti? Puoi richiedere il supporto di Sicurezzarete.

Vulnerabilità di Exchange mail server

Sono gravi le quattro vulnerabilità di Exchange comunicate da Microsoft, molte sono infatti le aziende che sono state attaccate e al quale sono stati rubati i dati contenuti nelle caselle di posta elettronica. Dati preziosi di aziende ma anche di università, centri di ricerca ed enti non governativi.
Le installazioni coinvolte sono molte: Exchange Server 2010, Exchange Server 2013, Exchange Server 2016 ed Exchange Server 2019, molto diffuse anche in Italia.

Exchange vulnerabilita mail server
Vulnerabilita’ mail server

Aggiornamento e patch di Exchange

Microsoft ha promesso che ci sara’ un aggiornamento, ma seguendo il ciclo tradizionale di patch (non vi saranno update, quindi, ancora almeno per qualche giorno). Riportiamo le descrizioni ali delle quattro vulnerabilità:

UPDATE: CVE-2022-2327 Microsoft Exchange Server Remote Code Execution Vulnerability (Ulteriore vulnerabilita’ di grado CVSS SCORE 8.8 !)

Attraverso un attacco da remoto gli hacker sono grado di prendere il controllo del server e di sottrarre i dati contenuti nel server della posta elettronica e i messaggi archiviati.

Secondo alcuni centri di ricerca l’attacco non si limita alle sole azienda negli stati uniti ma sta avvenedo a scala globale, pertanto è altamente probabile che aziende ed utenti in Italia possano essere state vittime di questo attacco e furto di informazioni.

Soluzioni

Purtroppo finchè il server non viene patchato o sostituito con altra installazione il problema sussiste e il servizio puo’ essere attaccato.

Chi volesse non avere piu’ costi e rischi di una installazione Exchange per la gestione della posta elettronica puo’ sostituire l’installazione con il nostro sistema integrato SRmail, un sistema basato su Linux, performante e sicuro.

Email aziendale, posta elettronica servizi a confronto

email aziendale confronto
email aziendale confronto

Comunque vengano chiamati, Email Aziendale, Posta Elettronica Aziendale, Piani Email Aziendali, si tratta sempre dei servizi più usati dalle aziende per lo scambio dei messaggi con i propri clienti e fornitori: posta elettronica.

Qui segnaliamo un caso reale di una azienda con diverse sedi in Italia che ha in uso 700 mailbox aziendali sul proprio dominio.
Il reparto IT ha deciso di rinnovare il proprio servizio e il fornitore e per questo ci ha chiesto di mettere a confronto quanto disponibile sul mercato. Ecco cosa e’ emerso.

Stime eseguite su 700 Email account (*):

Gmail: 3.996,72 Euro/mese IVA COMPRESA (Caselle MAX 30 GB)

OVH: 2.553,46 Euro/mese IVA COMPRESA (Caselle MAX 50 GB)

Aruba: 1.779 Euro/mese IVA COMPRESA (Caselle MAX 25 GB)

Sicurezzarete: 470,00 Euro/mese IVA COMPRESA (Caselle MAX 30 GB)
Server mail dedicato, antivirus, antispam, firewall, pannello amministrativo, certificato ssl per tutti i protocolli (web, IMAP, SMTP), accesso tramite i protocolli POP3, IMAP e webmail, mailbox fino a 30 GB. Server fully managed ovvero gestito da Sicurezzarete (non occorre ulteriore assistenza). Durata minima contratto 6 mesi.
Stesso costo fino a 1000 Account.

In sostanza l’adozione di un server mail gestito (managed) per la gestione della email aziendale permette di avere un risparmio del 73% rispetto al servizio cloud piu’ economico e di avere a disposizione servizi migliori (30 GB di storage contro 25 GB spazio mailbox). Se poi il confronto dei servizi di email aziendale viene fatto con provider come Gmail o OVH il risparmio sale ad oltre l’ 88%. Se il numero di mailbox fosse maggiore di quello usato nel nostro confronto (700 mailbox aziendali), il risparmio risulterebbe ancora superiore.

Con Sicurezzarete e’ sufficiente richiedere l’attivazione del Server Email Aziendale e saranno fornite le credenziali di accesso al nuovo server per attivare autonomamente e gestire tutte le caselle email necessarie.

RICHIEDI INFORMAZIONI

(*) I calcoli sono stati eseguiti alla data del 27 ottobre 2018, aggiornati al 16 Gennaio 2021 e sono stati considerati i costi dei servizi piu’ possibile simili tra loro visto che alcuni fornitori scorporano in varie componenti i servizi acquistabili (estensione spazio di archiviazione, servizio imap, filtro antispam, blocco antivirus). Di ciascun fornitore viene riportato il link al listino usato sul relativo nome.