So che non è la prima volta che scrivo un post del genere e anzi questa guida si potrebbe considerare un prolungamento del post Come Proteggere WordPress da Attacchi Hacker, ma non ho mai trovato una guida dettagliata in rete che spiegasse in modo chiaro e semplice agli utenti poco esperti, come bloccare gli odiosi commenti spam e le visite indesiderate di clickbot senza mettere mano ai file .httaccess o installare 500 plugin con captcha o verifiche varie che si dimostravano ottimo materiale per annoiare gli utenti umani.
Prima di cominciare premetto che per questa guida utilizzerò Cloudflare ( si ancora 😀 e per la cronaca non prendo un centesimo da loro ma offrono un ottimo servizio gratis quindi perché non consigliarli? ) e il plugin Wordfence Security di cui vi avevo già parlato in precedenza in altri post.
Capire Il Meccanismo
Come sempre la prima cosa da fare è capire chi ci sta attaccando e perché lo sta facendo.Gli attacchi sono fatti nella stragrande maggioranza delle volte in modo automatizzato da bot il cui unico scopo è spammare link di siti web contenenti malaware ,fare link building,scoprire vulnerabilità del vostro sito oppure cercare di accedere al pannello admin.
Una volta che sapete meglio come funzionano questo tipo di attacchi per quanto possano sembrare sofisticati, è molto semplice proteggersi e non dover cancellare un’ infinità di commenti oppure continuare a cambiare le proprie credenziali di accesso.
Fase1: Confondi i BOT
Questi programmi così difficili da debellare e all’ apparenza molto furbi, sono molto facili da confondere e per esperienza vi posso dire che per ridurre in modo drastico gli attacchi al pannello admin, basta inserire tutti i file del sito all’ interno di una cartella (come potete notare nel mio caso andrea-m.me/sito/) questo basta per confondere molti bot che arrivano sul vostro sito e poi aggiungono la stringa default di WordPress per accedere alla zona admin, ovviamente se avete già un sito, non disperatevi questo è solo un piccolo barbatrucco e se seguirete tutti passi successivi di questa guida si potrà considerare inutile.
Fase2: Raccolta Dati
Se avete già un sito recente non lanciatevi kamikaze a modificare file .httaccess o installare 9000 plugin per la sicurezza.Prima di eseguire qualsiasi cosa analizzate bene il problema e a questo scopo (e non solo) serve il plug-in che vi ho consigliato all’inizio. Wordfence permette di analizzare il traffico in modo molto dettagliato: vi può mostrare sia il traffico in tempo reale con relativi IP e provenienza, sia gli utenti che cercano file sospetti che risultano in pagine 404.Una volta installato questo plug-in nella sezione admin, vi apparirà una nuova voce nel menu chiamata Wordfence e cliccando su Live Traffic
vi sarà possibile vedere il traffico sul vostro sito in tempo reale. Vi consiglio vivamente prima di fare qualsiasi cosa di lasciare attivo il plug-in almeno per una settimana e controllare via via il comportamento dei vostri visitatori.Inoltre in questa pagina è presente un tab-menu dove potete vedere anche gli errori 404 più frequenti e questi solitamente stanno ad indicare tentativi da parte di persone o bot di accedere a file protetti.Ad Esempio
questo bot stava chiaramente cercando una cartella che solitamente è vulnerabile e non essendo presente ha restituito una pagina 404 che è stata subito loggata da WF.Nonostante sia molto semplice individuare i bot, non tutti questi programmi sono nocivi, infatti i motori di ricerca usano anche loro programmi automatizzati chiamati crawlers che vengono utilizzati per scovare ed indicizzare le pagine, e non è raro che anche questi restituiscano pagine 404 quindi non lasciatevi ingannare.
Fase 3: Analisi
Una volta raccolte un po di informazioni è ora di vedere il da farsi.Prima di tutto c’è da tenere in considerazione alcune cose:
- Lingua in cui è scritto il vostro sito
- Provenienza dei visitatori
- Comportamento dei visitatori
Questi 3 fattori sono molto importanti perché fanno capire bene la differenza tra utente reale e software automatizzato.Ovviamente la prima cosa da fare è farsi 2 domande sui possibili visitatori del vostro sito; se il sito è scritto in italiano come il mio difficilmente un utente ucraino sarà interessato a visitarlo e non è raro che le visite da paesi dove la lingua italiana è praticamente assente siano visite da parte di programmi automatizzati.Ovviamente non dovete scervellarvi ogni volta per capire se le visite sono vere o false, esistono diversi siti molto utili dove i webmaster inseriscono i vari indirizzi IP degli spammer e hacker che attaccano i loro siti come ad esempio Stop Forum Spam e Projecthoneypot, che permettono di ricercare gli indirizzi IP di visitatori che vi sembrano “strani” nel loro database.
Fase 4: Super Mega Iper BAN!
Ok una volta individuati i problemi come possiamo fare per risolverli definitivamente?Qui finalmente entriamo nel vivo della guida :D.Esistono diversi modi per risolvere il problema in modo da non creare problemi agli utenti reali, il migliore in assoluto per efficacia è il ban degli IP.In questo modo lo spammer o l’hacker con lo stesso indirizzo IP non potrà più accedere al vostro sito (o quasi). Ci sono 3 modi per bannare gli spammer e compagnia bella:
- Ban Singolo IP
- Ban Network
- Ban Totali Stato
Questi sono i 3 metodi principali elencati in ordine di “potenza”.
Fase 4.1: Ban Singolo IP
Per bannare un indirizzo IP sospetto, un volta installato Wordfance, è molto semplice e ci sono 2 modi: il primo è quello che io chiamo ban diretto ovvero se si notano strane attività mentre si è loggati nel pannello di controllo di WordPress basta accedere alla sezione Live traffic di WF, individuare il visitatore spammoso e cliccare sul tasto block IP
e il gioco è fatto!In 2 semplici mosse avete risolto un problema.
Il secondo metodo invece è da utilizzare quando entrate nella zona admin e vi ritrovate 200 commenti (che vi consiglio sempre di tenere in moderazione) fatti dallo stesso IP che ovviamente viene loggato da WordPress.Copiate questo indirizzo IP dopodiché cliccate su Wordfance > Blocked IPs ed inseritelo all’interno del form in alto a destra e schiacciate il tasto Manually Block IP.
Una volta bannato questo IP, Wordfance di default mantiene attiva l’esclusione dal sito fino a quando non lo sbloccherete voi manualmente.Tenete presente che questo è un metodo molto blando perchè è molto raro che gli spammer automatizzati o gli hacker mantengano lo stesso indirizzo IP.Questo metodo è ottimo invece per gli utenti “poco educati” che cercano di spammare i link del loro sito web nei commenti.