Proteggi il tuo CMS




Forse in molti lo conoscono e forse no ma per violare un blog realizzato con la piattaforma WordPress agli malintenzionati basta usar eun software chiamato Acunetix. Disponibile anche in versione Trial per 15 giorni.
Con questo software il "pirata" può mettere in atto attacchi a dizionario tramite richieste HTTP o form HTML.

Ecco le impostazioni per sferrare l' attacco con Acunetix :


  1. si imposta il target Url to test con l' url del pannello amministratore di wordpress che solitamente è http://www.nome-sito.com/wp-admin/
  2. poi si imposta il metodo di autenticazione come Web form based in Authentication method
  3. poi dalla voce del menu Logon has failed si inserisce Errore nel modulo testuale.
  4. Username cosi imposterà i due percorsi che contengono username da testare ed il percorso dizionario delle password.
  5. Poi si imposta il nome dei form campi di autenticazione premendo Select messo in alto a Select user/password form fields to use. Nel caso di wordpress si selezionano le voci log per il nome e pwd per la password.
  6. In fine si lancia l' attacco premendo Start . Se la password è contenuta nel dizionario usato verrà mostrata nella parte inferiore della scheda. Come sappiamo l' operazione può durare 2 minuti o diversi giorni.


Bene questa era una piccola spiegazione di come procedono i "pirati" per avere accesso al pannello amministratore, ma vediamo come mettere al sicuro il nostro CMS:

Per fare ciò ci basterà installare un plug-in per WordPress che serve a blindare il nostro sito e difenderlo da attacchi a dizionario o brute force.

WordPress non comprende protezioni contro attacchi a dizionario quindi ci servirà scaricare questi plug-in . Andiamo al' indirizzo
WordPress › WordPress Plugins e troviamo il plug-in Simple Login Log e Limit Login Attempts. Il primo terrà traccia dei login falliti il secondo ci consente di limitare i tentativi di log in per account WordPress.

Per installare le estensioni andiamo nella scheda Plugin che troviamo a sinistra del nostro pannello amministrazione e digitiamo i nomi dei due plug-in dove c'è scritto cerca. Una volta finita l' installazione troverete sempre sul lato sinistro due nuovi voci Login Log e Login Limit.

Fatto ciò ci basterà configurare il Login Limit il quale di defoult permette un massimo di 4 tentativi dopo i quali blocca l' account per 20 minuti.

Per trovare chi ha provato a connettersi al nostro pannello usiamo il plug-in Login log nel quale ci verranno fornite tutte le informazioni sui vari tentativi di accesso : data,ora,indirizzo ip e nome utente con il quale hanno tentato di accedere.


se avete dubbi o domande non esitate a chiedere.