Attacchi di forza bruta, DoS e DDoS: qual è la differenza?
Questi tipi di attacchi informatici sono ben noti fin dagli albori di Internet. Costituiscono un rischio per la sicurezza di WordPress? Quali strumenti di sicurezza possono mitigarli efficacemente? Quali sono le possibilità che possiamo farlo con successo?
English version: Brute-force, DoS, and DDoS attacks – what’s the difference?
Un attacco di forza bruta è un metodo di prova ed errore utilizzato dagli hacker per indovinare credenziali o dati crittografati come login, password o chiavi di crittografia, attraverso uno sforzo esaustivo (utilizzando la forza bruta) con la speranza di riuscire infine a indovinare correttamente. L'attacco a forza bruta è uno dei metodi di cracking delle password più popolari per l'hacking di WordPress.
Un attacco Denial-of-Service (DoS) è un attacco inteso a chiudere un sito Web o un server Web, rendendolo inaccessibile agli utenti previsti inondandolo di traffico inutile (richieste spazzatura) da un singolo host (indirizzo IP). A volte gli attacchi DoS vengono utilizzati per distruggere i sistemi di difesa del computer. Alcune funzionalità di WordPress possono essere sfruttate come vettore di attacco per attacchi DoS. Ad esempio, CVE-2018-6389 .
Un attacco DDoS è l'abbreviazione di "attacco DoS distribuito". Tali attacchi vengono sferrati inondando il sito web o il server web preso di mira con traffico inutile proveniente da più dispositivi o da una botnet. Una botnet è una rete di computer infettati da software dannoso (malware) all'insaputa dell'utente, organizzati in gruppo e controllati dai criminali informatici. Le botnet moderne possono contenere decine di migliaia di dispositivi mobili o computer desktop compromessi. Per la loro natura, i moderni attacchi DDoS sono costosi e richiedono molte risorse. Di solito, ciò significa che hai un nemico forte che ha abbastanza soldi grigi per ordinare questo tipo di attacco. Molto spesso i crescenti attacchi DDoS vengono ordinati da concorrenti o oppositori politici senza scrupoli.
Allora, qual è la differenza?
Tecnicamente sembrano diversi ma dal punto di vista del proprietario di un sito web la differenza sta proprio nell'obiettivo dell'attacco .
Entrambi gli attacchi DoS e DDoS hanno lo stesso obiettivo. E questo obiettivo è abbattere la vittima , il sito web preso di mira o il server web e trarne un profitto. A volte l'attacco DDoS viene eseguito per distruggere un sistema di difesa e ottenere l'accesso amministrativo.
L'obiettivo degli attacchi di forza bruta è ottenere l'accesso amministrativo al sito Web di destinazione per eseguire alcune attività illegali che l'intruso/hacker desidera svolgere. Le loro attività tipiche sono:
- Reindirizzamento di utenti legittimi a siti Web falsi per rubare i loro dati personali
- Creazione di pagine di phishing con moduli di pagamento che imitano quelli legittimi sul sito web della vittima
- Rubare dati personali da un database di clienti
- Installazione di backdoor e trojan sul server web per utilizzarli come strumenti per attaccare altri siti web
- Installazione di software dannoso per infettare i computer dell'amministratore e dei clienti
- Alterazione del contenuto di un sito Web affidabile per inserire collegamenti a siti Web di phishing
In che modo questi attacchi influenzano WordPress?
Per impostazione predefinita, WordPress consente tentativi di accesso illimitati tramite il modulo di accesso, API REST , XML-RPC o inviando speciali cookie di autenticazione. Ciò consente di violare le password con relativa facilità tramite l'attacco a forza bruta sopra menzionato.
Come proteggere WordPress e mitigare questi attacchi
Sia gli attacchi di forza bruta che quelli DoS possono essere mitigati con successo con il software di sicurezza installato su un sito web. In entrambi i casi, non è necessario essere un nerd e puoi ottenere la protezione gratuitamente.
- Gli attacchi di forza bruta contro WordPress possono essere mitigati con successo dal plugin WP Cerber. Tra le altre funzionalità di sicurezza, protegge le interfacce XML-RPC e API REST .
- Gli attacchi DoS possono essere mitigati con una speciale configurazione del server web. Non puoi raggiungere questo obiettivo installando un plug-in di sicurezza. La migliore pratica è utilizzare le regole di limitazione della velocità di NGINX. Dai un'occhiata ai nostri consigli: Trasforma il tuo WordPress in Fort Knox .
Sfortunatamente, gli attacchi DDoS non possono essere mitigati a livello di server web o semplicemente con un plugin WordPress. Gli attacchi DDoS possono essere mitigati con successo solo con hardware speciale installato sulla rete del provider di hosting. A causa della loro natura, la mitigazione degli attacchi DDoS richiede molte risorse computazionali e viene fornita come servizio dai provider di hosting su abbonamento. A differenza degli attacchi di forza bruta e DoS, non esiste alcuna garanzia che tutti gli attacchi DDoS vengano mitigati con successo . Tutto dipende dalla potenza dell’attacco, dalla potenza del sistema anti-DDoS e dalla quantità di larghezza di banda di rete che il fornitore di sicurezza può allocare.
Una delle soluzioni più convenienti per proteggere WordPress dagli attacchi DoS distribuiti è l’utilizzo dei servizi Cloudflare. Ma ci sono alcuni svantaggi che dovresti conoscere e considerare. Cloudflare avrà il controllo su tutti i tuoi record DNS per il tuo dominio, sul traffico web da e verso il tuo sito web, compresi i dati personali dei tuoi clienti, perché tutto il traffico e tutti i dati passano attraverso i server proxy Cloudflare in forma non crittografata. Alcuni utenti hanno riferito che Cloudflare ha avuto problemi anche con il blocco dell'accesso dei proprietari ai loro siti web. Quindi, se non hai problemi con DDoS, come molti di noi, non c’è motivo di aggiungere un ulteriore livello che possa generare ulteriore fastidio.
Una volta che hai deciso di utilizzare Cloudflare, ti consigliamo di utilizzare uno speciale componente aggiuntivo Cloudflare per WP Cerber .
Cattura un intruso
Puoi facilmente identificare la fonte fisica di un attacco: un computer, un dispositivo mobile, ecc.
Se hai installato WP Cerber Security & Antispam, dai un'occhiata a questo post: Scopri di più sull'IP dell'intruso . La cosa più deludente è che la stragrande maggioranza di questi attacchi non può essere ricondotta ad un vero esecutore o ad un maestro. Ogni tentativo di rintracciarli si conclude con una serie di personal computer e dispositivi mobili infetti che vengono utilizzati come marionette, punti intermedi per un attacco.