DDoS e Brute Force: Come Sucuri Protegge il Tuo Sito

Gli attacchi DDoS (Distributed Denial of Service) e brute force sono tra le minacce più frequenti e distruttive per i siti WordPress. Un attacco DDoS può rendere il tuo sito completamente inaccessibile in pochi secondi, mentre un attacco brute force persistente può eventualmente indovinare le credenziali di accesso e compromettere l’intero sito. Sucuri offre protezione avanzata contro entrambe queste minacce, sia attraverso il plugin gratuito sia, soprattutto, attraverso il Firewall WAF cloud. In questa guida analizziamo in profondità come funzionano questi attacchi e come Sucuri li contrasta.

Comprendere gli Attacchi DDoS

Un attacco Distributed Denial of Service consiste nell’inondare un server con un volume di traffico talmente elevato da saturare le risorse disponibili (banda, CPU, memoria, connessioni) rendendo il sito inaccessibile agli utenti legittimi. Il termine “distributed” indica che l’attacco proviene da migliaia o milioni di fonti diverse (tipicamente una botnet di dispositivi compromessi), rendendo impossibile bloccare il traffico semplicemente filtrando un singolo IP.

Tipologie di Attacchi DDoS

Attacchi volumetrici (Layer 3/4): mirano a saturare la banda di rete del server con grandi volumi di pacchetti. Includono UDP flood, ICMP flood, SYN flood e amplification attacks. Questi attacchi possono raggiungere volumi di centinaia di Gbps, ben oltre la capacità di qualsiasi singolo server o data center.

Attacchi applicativi (Layer 7): più sofisticati, mirano a consumare le risorse applicative inviando richieste HTTP apparentemente legittime. Ad esempio, un attaccante potrebbe richiedere ripetutamente la pagina di ricerca di WordPress con query complesse che consumano molta CPU e memoria, o richiedere il caricamento di pagine pesanti che generano molte query al database.

Attacchi a basso volume (Slow DDoS): inviano traffico lentamente per evitare il rilevamento, ma mantengono aperte molte connessioni contemporaneamente fino a esaurire il pool di connessioni del server. Esempi includono Slowloris e R.U.D.Y.

Come Sucuri Protegge dagli Attacchi DDoS

Il Sucuri Firewall WAF offre protezione DDoS multilivello. Essendo un proxy cloud, tutto il traffico verso il tuo sito passa attraverso la rete Sucuri prima di raggiungere il tuo server. Questo è il meccanismo fondamentale: la rete Sucuri ha la capacità di assorbire volumi di traffico enormi, distribuendoli su più data center globali.

Protezione Layer 3/4

La rete Sucuri filtra gli attacchi volumetrici a livello di infrastruttura, prima che raggiungano qualsiasi componente applicativo. I pacchetti anomali (SYN flood, UDP flood, amplification) vengono identificati e scartati automaticamente. Questo livello di protezione è incluso in tutti i piani del Firewall, anche il Basic.

Protezione Layer 7

Per gli attacchi applicativi, Sucuri utilizza diverse tecniche:

• Rate limiting: limita il numero di richieste che un singolo IP può effettuare in un determinato periodo. Se un IP supera la soglia, le richieste successive vengono bloccate o rallentate
• JavaScript challenge: prima di servire la pagina, il server Sucuri invia un piccolo challenge JavaScript. I browser reali lo eseguono automaticamente e ottengono l’accesso; i bot che non eseguono JavaScript vengono bloccati
• CAPTCHA: nei casi più aggressivi, può essere presentato un CAPTCHA per verificare che il visitatore sia umano
• Analisi comportamentale: il sistema analizza i pattern di traffico per distinguere le richieste automatizzate da quelle umane, anche quando singolarmente ogni richiesta appare legittima
• Geo-blocking: se l’attacco proviene prevalentemente da determinate regioni, può essere applicato un blocco geografico temporaneo

La CDN come Scudo DDoS

La CDN integrata nel firewall Sucuri gioca un ruolo fondamentale nella mitigazione DDoS. I contenuti statici del sito (immagini, CSS, JS, pagine HTML cachate) vengono serviti direttamente dalla cache CDN senza mai contattare il server di origine. Anche durante un attacco massiccio, i visitatori legittimi possono continuare ad accedere ai contenuti cachati con tempi di risposta normali.

Comprendere gli Attacchi Brute Force

Un attacco brute force è un tentativo sistematico di indovinare le credenziali di accesso provando tutte le combinazioni possibili. Per WordPress, il bersaglio principale è la pagina wp-login.php, ma anche XML-RPC e la REST API possono essere utilizzati.

Varianti dell’Attacco Brute Force

Brute force puro: tentativi sistematici con tutte le combinazioni possibili di caratteri. Con password corte o semplici, può avere successo in poche ore. Con password robuste di 16+ caratteri, richiederebbe milioni di anni.

Dictionary attack: utilizza dizionari di password comuni (le 10.000 password più usate, variazioni di parole comuni, combinazioni note). Più efficiente del brute force puro perché sfrutta la tendenza umana a scegliere password prevedibili.

Credential stuffing: utilizza coppie username/password rubate da altri servizi. Se un utente usa la stessa password per WordPress e per un servizio che ha subito un data breach, l’attaccante può accedere senza alcun “indovinamento”.

Brute force distribuito: l’attacco viene distribuito su migliaia di IP diversi, con ogni IP che effettua solo pochi tentativi. Questo bypassa i sistemi di blocco basati su IP ed è molto più difficile da contrastare.

Come Sucuri Contrasta il Brute Force

Con il Plugin Gratuito

Il plugin gratuito di Sucuri non blocca direttamente i tentativi di brute force, ma fornisce strumenti essenziali per il rilevamento:

• Audit log: registra ogni tentativo di login (riuscito e fallito) con IP, username e timestamp
• Notifiche email: può inviare alert quando i tentativi di login falliti superano una soglia configurabile
• Blocco XML-RPC: disabilita XML-RPC, eliminando uno dei vettori più usati per il brute force amplificato

Con il Firewall WAF

Il Sucuri Firewall offre protezione attiva contro il brute force:

• Rate limiting sulla pagina di login: limita il numero di tentativi di login da ogni IP
• CAPTCHA automatico: dopo un certo numero di tentativi falliti, presenta un CAPTCHA prima di permettere nuovi tentativi
• Blocco IP automatico: gli IP che superano le soglie vengono temporaneamente bloccati
• Geo-blocking per wp-login: limita l’accesso alla pagina di login solo da paesi specifici
• IP whitelist per admin: limita l’accesso a wp-admin solo da IP autorizzati

Protezione XML-RPC

XML-RPC merita una menzione speciale perché è uno dei vettori preferiti per gli attacchi brute force contro WordPress. Il metodo system.multicall permette di inviare centinaia di tentativi di autenticazione in una singola richiesta HTTP, bypassando completamente i limiti di rate basati sul numero di richieste.

Ad esempio, una singola richiesta XML-RPC può tentare 500 combinazioni di password diverse. Un attaccante può così testare migliaia di password al minuto con pochissime richieste HTTP, rendendo l’attacco quasi invisibile ai sistemi di monitoraggio basati sul volume di richieste.

Sucuri offre diverse opzioni per gestire XML-RPC:

• Disabilitazione completa: la scelta più sicura se non usi servizi che dipendono da XML-RPC
• Blocco di system.multicall: permette il funzionamento di XML-RPC ma blocca il metodo usato per il brute force amplificato
• Limitazione per IP: consente XML-RPC solo da IP specifici (utile se usi Jetpack o l’app mobile di WordPress)

Caso Studio: Attacco DDoS su un E-Commerce

Per illustrare l’efficacia della protezione Sucuri, consideriamo uno scenario reale tipico. Un negozio WooCommerce con traffico medio viene bersagliato da un attacco DDoS Layer 7 durante il periodo natalizio, il momento di massimo fatturato.

Senza Sucuri Firewall: l’attacco genera 50.000 richieste al secondo verso la pagina di ricerca prodotti, ciascuna con query complesse. Il server MySQL si satura in pochi minuti, il sito diventa inaccessibile e resta offline per ore fino a quando l’hosting non identifica e mitiga l’attacco. Perdita stimata: migliaia di euro in vendite mancate.

Con Sucuri Firewall: l’attacco viene assorbito dalla rete Sucuri. Il rate limiting blocca le richieste oltre la soglia, il JavaScript challenge filtra i bot, la CDN continua a servire le pagine prodotto dalla cache. Il server di origine riceve solo il traffico legittimo (circa 100 richieste/secondo) e opera normalmente. I clienti non notano alcun rallentamento. Il proprietario riceve un alert email dalla dashboard Sucuri che lo informa dell’attacco mitigato.

Best Practice Anti-DDoS e Anti-Brute Force

Oltre alla protezione offerta da Sucuri, implementa queste best practice:

Contro il DDoS

• Nascondi l’IP del server: se usi il Sucuri Firewall, assicurati che l’IP reale del server non sia esposto (ad esempio attraverso record DNS storici, sottodomini non protetti o email inviate dal server)
• Limita le risorse per richiesta: configura timeout PHP ragionevoli, limita la memoria per script e il tempo massimo di esecuzione
• Disabilita le funzionalità pesanti non necessarie: trackback, pingback, commenti (se non li usi) riducono la superficie di attacco
• Usa caching aggressivo: un plugin di caching riduce il carico del server per le richieste che passano il firewall

Contro il Brute Force

• Password robuste obbligatorie: almeno 16 caratteri, casuali, uniche per ogni servizio
• 2FA per tutti gli admin: anche se la password viene compromessa, il secondo fattore protegge l’account
• Cambia l’URL di login: un URL personalizzato riduce drasticamente i tentativi automatizzati
• Limita i tentativi: blocco temporaneo dopo N tentativi falliti
• Disabilita XML-RPC: elimina il vettore di brute force amplificato
• Non usare “admin” come username: è il primo tentativo di ogni attaccante

Monitorare gli Attacchi in Corso

Se noti i segnali di un attacco in corso (rallentamento improvviso, errori 503, picchi anomali nel traffico), ecco come reagire:

1. Controlla la dashboard Sucuri: verifica se il firewall sta filtrando un volume anomalo di traffico
2. Controlla i log del server: identifica i pattern (IP, URL bersagliati, user agent)
3. Se hai il Sucuri Firewall: il sistema mitigherà automaticamente l’attacco. Puoi eventualmente aumentare il livello di protezione temporaneamente
4. Se non hai il Sucuri Firewall: contatta il tuo hosting per assistenza. Molti hosting hanno mitigazione DDoS base, ma per attacchi significativi potrebbe essere necessario attivare un servizio come Sucuri o Cloudflare
5. Non tentare di bloccare IP manualmente durante un DDoS distribuito: sono troppi e cambiano continuamente. È un approccio inefficace e ti distrae dalle azioni più utili

Conclusioni

DDoS e brute force sono minacce concrete e quotidiane per qualsiasi sito WordPress esposto su internet. Il plugin gratuito di Sucuri fornisce monitoraggio e rilevamento, ma per una protezione attiva il Firewall WAF è la soluzione più efficace. La combinazione di filtering cloud, CDN, rate limiting e challenge automatici crea una barriera che blocca la stragrande maggioranza degli attacchi senza alcun impatto sui visitatori legittimi.

Se il tuo sito è sotto attacco o vuoi implementare una protezione preventiva, contatta G Tech Group per un intervento rapido e professionale.