Utilizza un messaggio di errore login generico che non lasci trapelare informazioni personali

Perché è importante usare messaggi di errore login generici

Questa vulnerabilità mette in evidenza come un utilizzo di un CMS evoluto come ad Wordpress, se non opportunamente monitorato in modo ricorrente, possa rappresentare una enorme falla di sicurezza per professionisti e aziende di ogni dimensione. 

Infatti, in caso di tentativo di accesso ad un pannello di amministrazione con utente o password errata, il sistema deve rispondere con un messaggio di errore che di fatto non riveli troppe informazioni su cosa avviene nel database retrostante.  


Se accedendo alla pagina, si prova ad inserire il nome utente “test” e una password casuale si ottiene un  messaggio di errore simile: “Errore: il test del nome utente non è registrato su questo sito. Se non sei sicuro del tuo nome utente, prova invece il tuo indirizzo e-mail..”. In questo modo si ha la certezza che quel nome utente non è presente.  

Una volta individuato il giusto nome utente, il sito diventa propenso ad attacchi di tipo brute-force , di semplice esecuzione. 


COME EVITARE 

Modificare il messaggio di errore e trasformarlo in un più standard e sicuro messaggio generico: "Non siamo riusciti a trovare un account che corrisponda al nome utente e alla password inseriti. "