Messa in sicurezza WordPress – Riservatezza (Autenticazione)

In un sistema informatico, l’autenticazione degli utenti, è una delle prime misure di sicurezza atte a tutelare la riservatezza dei dati in esso contenuti.

L’autenticazione permette di verificare la corretta identità dell’utente, in modo da fornirgli i diritti necessari (autorizzazione) per utilizzare le diverse funzionalità fornite del sistema.
I diritti vengono definiti dal ruolo assegnatogli al momento della registrazione.

Ruoli utenti WordPress

I ruoli utenti in un sistema WordPress sono in ordine crescente di importanza:

  1. Sottoscrittore
    L’utente può solo gestire il proprio profilo
  2. Collaboratore
    L’utente può scrivere e gestire i propri articoli, ma non può pubblicarli
  3. Autore
    L’utente può scrivere, gestire e pubblicare i propri articoli
  4. Editore
    L’utente può scrivere, gestire, pubblicare i propri articoli e quelli di altri utenti
  5. Amministratore
    L’utente ha accesso a tutte le funzionalità amministrative del singolo sito

 

Rischi

a) Individuazione remota utente amministratore

L’utente amministratore è il profilo più bersagliato dagli attacchi da parte di utenti malintenzionati.

In una installazione standard di WordPress, all’utente amministratore viene assegnato il nome predefinito “admin” e l’identificativo (ID) numero 1.

Con un semplice comando del tipo:

http://www.esempio.it/?author=1

si riesce ad individuare il nome dell’utente amministratore (anche se è stato cambiato con un nome meno ovvio) e di qualsiasi altro profilo utente sostituendo l’ID dell’utente, facilitando il compito all’utente malintenzionato, al quale resta ora, solo indovinare la sua password.

Misure protettive

Installare plugin Stop user enumeration (vedi sito WordPress.org)

 

b) Nascondere il nome utente

Se durante la creazione di un nuovo utente, si compilano solo i campi “obbligatori” (nome utente e indirizzo e-mail) il nome utente (di accesso) corrisponderà al nome utente visualizzato nel sito WordPress (per es. come autore di articoli).

Misure protettive

Per evitare che il nome utente di accesso sia uguale al nome visualizzato, procedere in questo modo:

  1. Compilare i campi seguenti
    * “nome utente”
    * “indirizzo e-mail
    * “Nome” (digitare un nome diverso dal nome utente)
    * “Cognome” (digitare un cognome diverso dal nome utente)
  2. Nel campo “Password” digitare la password desiderata e cliccare sul pulsante “Aggiungere nuovo utente”

 

c) Atacchi di forza bruta (brute force)

L’installazione predefinita di WordPress, non prevede misure protettive per l’accesso alla pagina di login al pannello di amministrazione di WordPress (tipicamente http://www.dominio.estensione/wp-login.php).
Se lasciata senza protezioni, diventa facile bersaglio per attacchi di brute force, che consiste nel cercare di individuare la password dell’utente amministratore, tramite programmi automatici che sono in grado di testare migliaia di probabili password al minuto.

Misure protettive

1) Nascondere la pagina
Tramite specifiche istruzioni, tipicamente inserite nel file .htaccess di un’installazione WordPress in ambiente di hosting condiviso (oppure direttamente nel file di configurazione di Apache, nel caso di un server dedicato) si può nascondere la pagina di login, usando un alias al posto del nome predefinito

2) Impostare una password di accesso alla pagina e la cartella wp-admin
Tramite la funzione di protezione directories tramite password di cPanel si può impostare una password di accesso alla cartella wp-admin e di conseguenza alla pagina wp-login.php

3) Permettere l’accesso solo agli indirizzi IP dell’utente amministratore
Sempre tramite istruzioni nel file .htaccess si può impostare l’accesso alla pagina di login, solo agli indirizzi degli utenti amministratori del sistema

4) Impostare un’autenticazione a due fattori
Infine tramite l’utilizzo di plugin specifici, si può impostare l’accesso al pannello di amministrazione di WordPress, con un sistema di autenticazione a due fattori: la password dell’utente e un codice univoco usa e getta inviato all’utente amministratore tramite SMS

Leave a reply

Questo sito web utilizza i cookie per migliorare l'esperienza dell'utente. Utilizzando il nostro sito acconsenti a tutti i cookie in conformità alla nostra politica sui cookie. Ulteriori informazioni

Le impostazioni dei cookie su questo sito web sono impostate su "Consenti cookie" per offrirti la migliore esperienza di navigazione possibile. Se continui a utilizzare questo sito senza modificare le impostazioni dei cookie oppure fai clic su "Accetto" qui di seguito, acconsenti all’uso dei cookie.

Chiudi