Ciao,
per la verità non sono sicuro sia il posto giusto, in caso prego i moderatori di spostare dove ritengono più opportuno.
Il mio sitarello WP con cui supporto la gestione di un'associazione culturale, è tenuto aggiornato e con plugin di sicurezza per prevenire usi non leciti. Fra le varie misure è attiva quella che sospende l'utente che sbaglia login per 5 volte di seguito, per un quarto d'ora.
Tuttavia i miei log sono strapieni di ripetuti tentativi falliti e lock per accesso come "admin" (rimuovere il quale è stato una delle prime azioni), la cosa interessante è che vengono quasi tutti da IP italiani.
Mi sono messo a fare un po' di verifiche ed ho trovato che molti sono riconducibili a connessioni ADSL il cui router è aperto all'accesso da internet e nel caso di un provider in particolare, che la maggior parte dei suoi router non solo sono aperti al mondo esterno via HTTP, Telnet, SSH e HTTPS, ma che non esiste alcuna protezione per l'utente amministratore, consentendo quindi l'accesso come root.
Nel fare queste prove, ho poi trovato sui vari router i log di accesso del "vero attentatore" scoprendo per la maggior parte accessi come root da IP cinesi.
Ho cercato informazioni su questo provider via Whois e ho inviato una mail con vari log delle mie investigazioni, per sollecitarli a prendersi la responsabillità di "chiudere" un po' meglio gli apparati che consegnano ai (probabilmente ignari) loro clienti, senza aver ricevuto alcuna risposta...
Che ne pensate?