Che cos'è una violazione della password?
Pubblicato: 2022-06-10Che cos'è una violazione della password? Quali passaggi dovresti adottare per evitare che ne accada uno sul tuo sito Web WordPress?
Fin dall'inizio dei moduli di accesso a Internet e al sito Web, ci è stato insegnato a utilizzare password sicure e indistruttibili per proteggere la nostra privacy online. Ma come proprietario di un sito WordPress, è ancora più importante che mai. A causa delle continue minacce alla sicurezza informatica, è necessario adottare misure per evitare violazioni delle password che potrebbero portare a un hacker che si impossessa del tuo sito web.
In questa guida, analizzeremo il rischio di violazione delle password e come vengono utilizzate per assumere il controllo completo del tuo sito WordPress. Ti mostreremo anche esattamente cosa devi fare per difendere il tuo sito da una violazione della password. Diamo un'occhiata.
Che cos'è una violazione della password?
In poche parole, una violazione della password si verifica quando qualcuno ha accesso alla tua password senza la tua autorizzazione. Le violazioni delle password spesso si verificano su larga scala, poiché vengono compromessi grandi insiemi di combinazioni di nome utente e password. Le violazioni delle password spesso provocano perdite e dump del database. Questi dump del database vengono divulgati sul dark web o addirittura venduti.
Le violazioni delle password sono un grosso problema per una serie di motivi. Il primo, ovviamente, è che un hacker può accedere ai tuoi account online. Una volta che la tua password è stata inclusa in una violazione dei dati, la tua sicurezza online è notevolmente ridotta.
Ancora peggio, se stai riutilizzando una password per più account, tutti quegli account vengono quindi compromessi. In un recente Verizon Data Breach Investigations Report, oltre il 70% dei dipendenti riutilizza le password sul posto di lavoro. Ma la statistica più importante del rapporto Verizon è che l'81% delle violazioni legate all'hacking ha sfruttato password rubate o deboli.
Che cos'è un attacco Man-In-the-Middle (MITM)?
Quando si tratta di violazioni delle password, è importante comprendere gli attacchi MITM, o Man-In-the-Middle. Gli attacchi Man in the Middle sono un termine generico per qualsiasi attacco informatico in cui gli hacker si posizionano in una posizione intermedia tra il mittente e il destinatario di informazioni o dati.
Un esempio potrebbe essere che un hacker si trovi tra il browser Web di un utente e il sito Web che sta attualmente visitando. Posizionandosi nel mezzo, consente agli aggressori di intercettare e, in molti casi, modificare il contenuto mirato mentre viene inviato e ricevuto tra le due diverse posizioni.
Quando un hacker è in grado di acquisire le credenziali di accesso di un utente del sito, a volte può utilizzare tali informazioni per ottenere un accesso privilegiato al tuo sito WordPress. E se sono in grado di acquisire le credenziali di amministratore del tuo sito, saranno in grado di fare qualsiasi cosa sul tuo sito a loro piacimento, incluso il reindirizzamento in una posizione completamente diversa.
Come gli hacker rubano password e credenziali per l'accesso
Gli hacker utilizzano molte tecniche per rubare le tue password, tra cui il phishing, il furto dei cookie di autenticazione e la ricerca di connessioni non sicure o non crittografate.
Per comprendere appieno come si verifica una violazione della password e come le credenziali possono essere rubate, devi prima esaminare una richiesta HTTP non sicura che contiene le credenziali inviate utilizzando gli strumenti di sviluppo integrati di un browser.
Tieni presente che questo non è un attacco Man-In-the-Middle, ma è comunque una violazione della password. E queste informazioni aiuteranno a illustrare ciò che dovrai cercare un po' più avanti in questo processo.
Ora, dobbiamo dare un'occhiata a ciò che vede un hacker quando ispeziona il traffico HTTP che non è crittografato. Per questo esempio, utilizziamo uno strumento chiamato Wireshare. Questo è uno strumento di analisi di rete popolare e gratuito che chiunque può utilizzare. Un utente malintenzionato, che si trova sulla stessa rete WiFi in cui ti trovi, potrebbe utilizzare uno strumento del genere per ottenere informazioni sensibili che non sono crittografate tramite HTTPS.
In che modo i cookie si riferiscono esattamente all'autenticazione del sito Web?
Oltre a rubare semplicemente le tue credenziali di accesso e password, un hacker esperto è anche in grado di rubare il tuo cookie di autenticazione e usarlo per impersonarti completamente sul tuo sito web.
È importante capire che HTTP è ciò che è noto come protocollo stateless. In altre parole, in HTTP, il server non attribuisce alcun significato individuale alle richieste che arrivano tramite lo stesso socket TCP.
Ciò significa che, a meno che tu non voglia inserire la tua password completa ogni volta che richiedi una pagina sul sito, il browser deve memorizzare un token temporaneo che ti segue mentre navighi nel sito.
Questo token viene definito token di sessione. E il browser invia automaticamente questo token con ogni singola richiesta che fai sul sito web. Fortunatamente, i browser Web hanno un meccanismo integrato per questa esatta funzione. E il meccanismo sono i cookie.
Questo è il motivo per cui, quando elimini tutti i cookie memorizzati nel tuo browser, verrai disconnesso da tutti i siti Web a cui eri precedentemente collegato.
Questo ci informa che gli hacker e gli aggressori dannosi non hanno nemmeno bisogno di conoscere la tua password per violare una password e impersonarti. Tutto quello che devono fare è mettere le mani sul tuo token di sessione e possono accedere direttamente al tuo sito.
Come nel nostro precedente esempio di violazione della password di WordPress, vedrai che le stesse informazioni identiche sono ora accessibili a un utente malintenzionato che utilizza Wireshark.
Quindi, utilizzando un'estensione del browser completamente gratuita come Cookie-Editor, l'hacker sarà in grado di utilizzare facilmente il valore del cookie che ha rubato nel proprio browser Web e iniziare a navigare nella dashboard dell'amministratore di WordPress come te. E non ne verrà fuori nulla di buono per te o per il tuo sito web.
Come proteggersi dalle violazioni delle password
Tieni presente che alcuni tipi di attacchi di violazione delle password richiedono uno sforzo estremamente ridotto per un hacker esperto. E questo è particolarmente vero su reti pubbliche o poco sicure, come le posizioni Wi-Fi pubbliche.
Fortunatamente, mantenere il tuo sito WordPress protetto dalle violazioni delle password è estremamente semplice. Ed è qualcosa su cui ogni proprietario responsabile di un sito Web WordPress deve concentrarsi immediatamente per evitare un attacco che potrebbe rovinare l'intero sito Web.
Innanzitutto, assicurati di abilitare e applicare HTTPS su tutti i siti WordPress che gestisci. Questo è un requisito assoluto per qualsiasi tipo di sito WordPress, piccolo o grande che sia, anche se i tuoi utenti non hanno il permesso di accedere al sito.
In poche parole, HTTPS crittografa tutto il traffico tra i browser e il server del tuo sito. Se un utente malintenzionato tenta di leggere il contenuto del traffico crittografato con HTTPS, finirà per vedere solo testo crittografato confuso e privo di significato.
E le tue password saranno al sicuro.
Ovviamente, dovrai disporre di un certificato di sicurezza SSL per poter applicare HTTPS sul tuo sito. Oggi, molti host WordPress offrono certificati SSL gratuiti, il che lo rende un gioco da ragazzi.
Utilizzo del plug-in iThemes Security Pro per evitare una violazione della password sul tuo sito WordPress
Simile a tutte le altre applicazioni di siti Web che contengono moduli di accesso, il sistema di gestione dei contenuti di WordPress invia nomi utente e password all'interno di una richiesta HTTP quando tu o un altro utente effettua l'accesso. E, come probabilmente saprai, HTTP non è un protocollo crittografato.
Ciò significa che se non esegui il tuo sito in modo sicuro utilizzando HTTPS, tutte le comunicazioni tra i tuoi utenti e il tuo server web sono soggette a intercettazioni da parte di hacker e malintenzionati.
Gli hacker sono quindi in grado di intercettare e modificare facilmente il traffico HTTP (non crittografato) del tuo sito WordPress in chiaro. E, naturalmente, l'informazione più preziosa che un hacker cercherà sono le credenziali di accesso dell'amministratore del sito, inclusa la tua password. Ecco perché è così importante utilizzare sempre HTTPS per il tuo sito WordPress. Ecco una guida rapida su cosa significa HTTP vs HTTPS.
Se hai un sito Web WordPress, una delle tue migliori linee di difesa è il plug-in iThemes Security Pro. iThemes Security è un potente plug-in di sicurezza per WordPress con funzionalità progettate per proteggere gli account utente e rafforzare WordPress.
Ad esempio, la funzione Requisiti password in iThemes Security Pro non è solo la tua politica per la password, ma anche il tuo strumento di imposizione della password.
Utilizzando la funzione Requisiti password, sarai in grado di forzare facilmente i membri di qualsiasi gruppo di utenti WordPress all'interno della tua dashboard a:
- Usa password complesse
- Scegli un tempo assegnato affinché le password scadano e vengano reimpostate dagli utenti all'interno di ciascun gruppo
- Rifiuta le password che sono state compromesse (questo costringe gli utenti a utilizzare password che non sono apparse in alcuna violazione delle password che vengono monitorate da Have I Been Pwned)
- Forza una modifica della password dell'intero sito per garantire che tutti sul sito rispettino la nuova policy per le password complesse che stai implementando.
La funzione Requisiti password di iThemes Security Pro funzionerà per proteggere le credenziali di accesso di WordPress dagli attacchi di violazione della password di cui abbiamo appena discusso in questa guida e molto altro ancora.
In effetti, è una suite di sicurezza WordPress completa di cui nessun proprietario di un sito WordPress dovrebbe fare a meno se per te è importante proteggere il tuo sito da tutti i tipi di attacchi dannosi.
Inoltre, ti dà la possibilità di applicare la tua politica sulla password con un semplice clic di un pulsante. La verità è che la maggior parte delle persone preferisce intraprendere la via della minor resistenza. Rimuovendo l'opzione per utilizzare password deboli o compromesse, aiuti te stesso e tutti coloro che utilizzano il tuo sito a proteggere completamente i propri account dai danni di una violazione della password.
Ulteriori precauzioni per la password da adottare
Anche se non c'è dubbio che devi abilitare immediatamente HTTPS sul tuo sito WordPress, quindi installare una suite di sicurezza per proteggerlo dagli attacchi di violazione delle password, ci sono anche alcune misure aggiuntive che vorrai adottare relative alla sicurezza e all'indurimento di WordPress:
- Aggiungi 2FA (autenticazione a due fattori) per aumentare la sicurezza del meccanismo di autenticazione del tuo sito WordPress. Il plug-in iThemes Security Pro ti aiuterà in questo.
- Limita i tentativi di accesso falliti sul tuo sito per aiutare a contrastare i tentativi di hacking come attacchi di indovinare password e attacchi DDoS con la protezione della forza bruta di iThemes Security.
- Attiva la registrazione di sicurezza per aiutarti a monitorare qualsiasi accesso non autorizzato alla dashboard di amministrazione di WordPress.
- Assicurati di attivare il rilevamento delle modifiche ai file sul tuo sito WordPress per individuare eventuali modifiche non autorizzate o sospette ai file.
Conclusione: evitare una violazione della password sul tuo sito WordPress
Una violazione della password riuscita è una delle cose più devastanti che possono accadere al proprietario di un sito WordPress. E anche i più grandi siti web del mondo non sono immuni dai loro pericoli.
Dopo aver studiato questa guida, tuttavia, ora hai gli strumenti da impiegare sul tuo sito che ti aiuteranno a tenerti lontano da questo colpo devastante.
E con l'aiuto degli strumenti giusti, come discusso qui, sarai sulla buona strada per gestire un sito WordPress più sicuro.
Il miglior plugin di sicurezza per WordPress per proteggere e proteggere WordPress
WordPress attualmente alimenta oltre il 40% di tutti i siti Web, quindi è diventato un facile bersaglio per gli hacker con intenzioni dannose. Il plug-in iThemes Security Pro elimina le congetture dalla sicurezza di WordPress per rendere facile proteggere e proteggere il tuo sito Web WordPress. È come avere un esperto di sicurezza a tempo pieno nel personale che monitora e protegge costantemente il tuo sito WordPress per te.
Kristen scrive tutorial per aiutare gli utenti di WordPress dal 2011. In qualità di direttore marketing di iThemes, si dedica ad aiutarti a trovare i modi migliori per creare, gestire e mantenere siti Web WordPress efficaci. A Kristen piace anche scrivere nel diario (dai un'occhiata al suo progetto parallelo, The Transformation Year !), fare escursioni e campeggiare, fare aerobica, cucinare e avventure quotidiane con la sua famiglia, sperando di vivere una vita più presente.