Security Blog
Security Blog
Posted By Gregory

Forza bruta, DoS e DDoS attacchi – qual è la differenza?

Come sono pericolosi? Quali strumenti o plugin WordPress possono mitigarli? Quali sono le possibilità che possiamo farlo con successo? Facciamo chiarezza con queste attività anti-intrusione che vediamo ogni giorno su qualsiasi sito web.


English version: Brute-force, DoS, and DDoS attacks – what’s the difference?


Un attacco a forza bruta è un metodo di prova ed errore utilizzato dagli hacker per indovinare credenziali o dati crittografati come login, password o chiavi di crittografia, attraverso uno sforzo esauriente (usando la forza bruta) con la speranza di indovinare infine correttamente. L'attacco brute-force è ancora oggi uno dei metodi di cracking delle password più popolari per l'hacking di WordPress.

Un attacco DoS (Denial-of-Service) è un attacco che serve a chiudere un sito Web, rendendolo inaccessibile agli utenti previsti invadendolo con traffico inutile (richieste indesiderate). A volte gli attacchi DoS vengono utilizzati per distruggere i sistemi di difesa del computer. Alcune funzionalità di WordPress possono essere sfruttate come vettore di attacco. Ad esempio, CVE-2018-6389 .

Un attacco DDoS è l'abbreviazione di un attacco DoS distribuito. Tali attacchi vengono eseguiti invadendo il sito Web di destinazione con traffico inutile da più dispositivi o una botnet. Una botnet è una rete di computer infettati da software dannoso (malware) senza che l'utente ne sia a conoscenza, organizzati in un gruppo e controllati da criminali informatici. Le botnet moderne possono contenere decine di migliaia di dispositivi mobili o computer desktop compromessi. A causa della loro natura, i moderni attacchi DDoS sono costosi e richiedono molte risorse. Di solito, ciò significa che hai un nemico forte che ha abbastanza soldi grigi per ordinare questo tipo di attacco. Gli attacchi DDoS molto spesso eseguiti sono ordinati da concorrenti senza scrupoli o avversari politici.

Quindi, qual è la differenza?

Tecnicamente sembrano diversi, ma dal punto di vista del proprietario di un sito web, la differenza è solo nell'obiettivo di un attacco .

Entrambi gli attacchi DoS e DDoS hanno lo stesso obiettivo. E questo obiettivo è quello di spingere verso il basso la vittima , il sito Web o il server Web di destinazione e trarne un profitto. A volte l'attacco DDoS sta eseguendo per distruggere il sistema di difesa e ottenere l'accesso amministrativo.

L'obiettivo di fare attacchi a forza bruta è quello di ottenere l'accesso amministrativo al sito Web target per eseguire attività illegali che l'intruso / hacker vuole fare. Le loro attività tipiche sono:

  • Rubare dati personali da un database clienti
  • Reindirizzare gli utenti legittimi a falsi siti Web per rubare i loro dati personali lì
  • Installare backdoor e trojan sul server web per utilizzarlo a lungo termine
  • Installazione di software dannoso per infettare i computer degli amministratori e dei clienti
  • Aggiunta di collegamenti a siti Web infetti ai contenuti del sito Web

Questi attacchi influenzano davvero WordPress?

Per impostazione predefinita, WordPress consente tentativi di accesso illimitati tramite il modulo di login, XML-RPC o inviando cookie di autenticazione speciali. Ciò consente alle password di essere violate con relativa facilità tramite l'attacco di forza bruta menzionato sopra.

Come proteggere WordPress e mitigare questi attacchi

Sia gli attacchi brute-force che DoS possono essere mitigati con successo con il software di sicurezza installato su un sito web. In entrambi i casi, non è necessario essere nerd e ottenere gratuitamente tale protezione.

  1. Gli attacchi di forza bruta contro WordPress possono essere mitigati con successo con il plugin WP Cerber gratuito. Tra le altre funzionalità di sicurezza, offre protezione per interfacce API XML-RPC e REST.
  2. Gli attacchi DoS possono essere mitigati con una configurazione speciale del server web. Non è possibile ottenere ciò installando un plug-in di sicurezza. La procedura migliore utilizza le regole di limitazione della velocità NGINX. Consulta i nostri consigli: Trasforma il tuo WordPress in Fort Knox .

Sfortunatamente, gli attacchi DDoS non possono essere mitigati a livello di server Web o solo con alcuni plug-in di WordPress. Gli attacchi DDoS possono essere mitigati con successo solo con un hardware speciale installato sulla rete del provider di hosting. A causa della mitigazione degli attacchi DDoS sono necessarie molte risorse, è costato denaro e fornito come servizio dai provider di hosting in abbonamento. A differenza degli attacchi di forza bruta e DoS, non vi è alcuna garanzia che tutti gli attacchi DDoS siano mitigati con successo . Tutto dipende da quanto è potente l'attacco e da quanto sia potente il sistema anti-DDoS fornito dal provider di hosting e dalla quantità di un provider di hosting della larghezza di banda della rete.

Una delle soluzioni più economiche per proteggere WordPress dagli attacchi DDoS è l'utilizzo del servizio Cloudflare. Ma ci sono alcuni svantaggi minori. Questi ragazzi avranno il controllo su tutti i tuoi record DNS, sul traffico web in entrata e in uscita da e verso il tuo sito Web perché tutto il traffico passa attraverso i server Cloudflare. Alcuni utenti hanno riferito che Cloudflare aveva persino problemi con i proprietari che venivano bloccati dai loro siti web. Quindi, se non hai problemi con DDoS, come molti di noi, non c'è motivo di aggiungere uno strato in più che possa generare ulteriore dolore al collo.

Recupera un intruso

WordPress IP address information

Cerber shows additional WHOIS information about the intruder IP address in the WordPress dashboard

Puoi facilmente identificare una fonte fisica di un attacco: un computer, un dispositivo mobile, ecc.

Se hai installato WP Cerber Security e Antispam, dai un'occhiata a questo post: Scopri di più sull'IP di intrusione . La cosa più deludente è che la stragrande maggioranza di quegli attacchi non può essere ricondotta a un vero esecutore o a un maestro. Ogni tentativo di rintracciarli finisce con una serie di PC domestici infetti o dispositivi mobili usati come pupazzi, punti intermedi per un attacco.

Forse, un giorno, non ci sarà un accesso anonimo a Internet e chiunque nel mondo sarà responsabile di tutto il traffico in uscita dai loro connessi ai dispositivi Internet, ma per il momento, tutti i siti web sono sotto pressione di attività degli hacker .


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments
There are currently no comments.