Questo articolo è stato pubblicato in WordPress Security il 18 dicembre 2017 da Mark Maunder
Una massiccia campagna di attacchi brute force* indirizzata ai siti WordPress è iniziata il 18 Dicembre mattina alle 3:00 Ora del Pacifico. L’attacco è ampio in quanto utilizza un gran numero di IP di attacco, ed è anche nel profondo che ogni IP sta generando un enorme numero di attacchi.
Questa è la campagna più aggressiva che vista fino ad oggi, con un picco di oltre 14 milioni di attacchi all’ora. La campagna di attacco è stata così severa che abbiamo dovuto ampliare la nostra infrastruttura di registrazione per far fronte al volume al momento del lancio, il che rende chiaro che questo è l’attacco con il volume più alto che abbiamo visto nella storia di Wordfence, dal 2012.
La campagna continua aumentare di volume nell’ultima ora mentre pubblichiamo questo post. La nostra infrastruttura ha automaticamente inserito nella lista nera gli IP partecipanti in tempo reale e li ha distribuiti ai nostri clienti Premium. Tutto questo è successo in un momento di bassa attenzione questa stamattina presto. Continuiamo a monitorare la campagna e stiamo analizzando la sua origine e chi ci sta dietro.
Ciò che sappiamo in questo momento: l’attacco ha raggiunto il picco massimo di 14,1 milioni di attacchi all’ora. Il numero totale di IP coinvolti in questo momento è di oltre 10.000. Stiamo visualizzando fino a 190.000 siti WordPress mirati all’ora.
Questa è la campagna più aggressiva che abbiamo mai visto dal volume di attacco orario. Una possibile spiegazione per questo nuovo massiccio aumento degli attacchi di forza bruta: il 5 dicembre è emerso un enorme database di credenziali hackerate che contiene oltre 1,4 miliardi di coppie nome utente / password.
Circa il 14% del database contiene credenziali che non sono mai state viste prima. Il database è anche ricercabile e facile da usare. Storicamente, gli attacchi di forza bruta indirizzati a WordPress non hanno avuto molto successo. Questo nuovo database fornisce nuove credenziali che, se abbinate a un nome utente di WordPress, possono fornire una percentuale di successo più elevata per gli attaccanti che scelgono i siti che non dispongono di alcuna protezione.
Proteggersi
Se non lo hai già fatto, installa Wordfence immediatamente sul tuo sito. Perfino la versione gratuita di Wordfence fornisce un’eccellente protezione della forza bruta limitando i tentativi di accesso e nascondendo i nomi utente mentre impiega una varietà di altri meccanismi per respingere gli attaccanti. Si consiglia vivamente di eseguire l’aggiornamento a Wordfence Premium per beneficiare della funzionalità di lista nera in tempo reale che blocca il traffico da questi IP dannosi. Spargi la Parola Questo è il più alto attacco di forza bruta del volume che abbiamo visto fino ad oggi. Potrebbe anche utilizzare le nuove credenziali fornite nel database rilasciato il 5 dicembre, in modo che possa raggiungere un tasso di successo più alto del normale. Si prega di diffondere la parola tra la comunità di WordPress per creare consapevolezza di questa nuova minaccia. Puoi suggerire le seguenti azioni ai tuoi altri proprietari di siti WordPress: Installa un firewall come Wordfence che blocca in modo intelligente gli attacchi brute force. Assicurati di avere password complesse su tutti gli account utente, in particolare l’amministratore. Wordfence Premium offre funzionalità di controllo della password. Cambia il tuo nome utente amministratore da predefinito ‘admin’ a qualcosa di più difficile da indovinare. Elimina tutti gli account non utilizzati, in particolare gli account admin che non usi. Questo riduce la tua superficie d’attacco. Abilita l’autenticazione a due fattori su tutti gli account admin. Wordfence Premium offre due fattori. Abilitare una lista nera IP per bloccare gli IP coinvolti in questo attacco. Wordfence Premium fornisce una lista nera IP in tempo reale. Monitorare i tentativi di accesso configurando gli avvisi quando un amministratore accede al tuo sito web. Wordfence (versione gratuita) fornisce questo. Non riutilizzare una password su più servizi. In questo modo se hai una password da una violazione dei dati in questo nuovo database, non sarà la stessa password amministratore di WordPress. È possibile utilizzare un gestore di password come 1password per gestire molte password tra i servizi.
*Gli attacchi di forza bruta o “Brute-force” in campo informatico sono piuttosto semplici da capire. Avendo un programma protetto da password, un hacker che vuole decifrarla comincia a provare, in serie, ogni combinazione di caratteri, simboli lettere o numeri fino a che non viene trovata la chiave giusta.
Ovviamente questi tentativi non vengono fatti a mano, ma in modo automatico con un programma per computer che è tanto più veloce quanto potente è il computer utilizzato. L’attacco “a forza bruta” inizia partendo con chiavi da un carattere, poi con due e cosi via fino a quando trova la password.