Przeszukaj Wiedzodajnię

Przejdź do wyszukiwarki globalnej

Poradniki na Twój Email

Praktyczne informacje i specjalne oferty prosto na Twoją skrzynkę email.

Wpisz Email: 
 

Ostatnie Artykuły

Jak dodać pasek z informacją o ciasteczkach
 
Apptiker - czyli narzędzia dla strony www
 
Mierzymy wydajność strony internetowej
 
Mniej znane funkcje Google
 
Wielkie zmiany w Google
 

Ostatni komentarz

Subskrybuj kanał RSS

Kanał RSS

Od teraz o wszystkim co godne uwagi dowiesz się błyskawicznie.

U nas jesteś bezpieczny

website security

Ty też możesz chronić stronę i swoich Klientów. Sprawdź szczegóły.

Apptiker

Wzmożone ataki na WordPress’a

Autor: , Data publikacji , Kategoria: Porady, Bezpieczeństwo;
Wzmożone ataki na WordPress’a

Od kilku dni wiele firm hostingowych odnotowuje zwiększoną ilość ataków na systemy WordPress. Te doniesienia potwierdzają m.in tacy dostawcy jak Hostgator oraz dostawca chmury CloudFlare. CloudFlare nie jest dostawcą usług hostongowych, ale skutecznie eliminuje znaczną część groźnego ruchu do stron, które z tej usługi korzystają. Po szczegóły odsyłam tutaj.

Wróćmy jednak do WordPress'a. Ostatnie ataki, to w dużej mierze ataki dotyczące zgadywania haseł przy pomocy bootnetu dysponującego nimi w ilości około 90 000.
Securi publikuje listę wykorzystywanych loginów i haseł w atakach, są to m.in:

loginy

admin
test
administrator
Admin
root

hasła

16,798 [pwd] => admin
10,880 [pwd] => 123456
9,727 [pwd] => 666666
9,106 [pwd] => 111111
7,882 [pwd] => 12345678
7,717 [pwd] => qwerty
7,295 [pwd] => 1234567
6,160 [pwd] => #@F#GBH$R^JNEBSRVWRVW
5,640 [pwd] => password
5,446 [pwd] => 12345
5,392 [pwd] => $#GBERBSTGBR%GSERHBSR
5,058 [pwd] => %G#GBAEGBW%HBFGBFXGB
5,024 [pwd] => RGA%BT%HBSERGAEEAHAEH
4,861 [pwd] => aethAEHBAEGBAEGEE%
4,317 [pwd] => 123
4,281 [pwd] => 123qwe
4,133 [pwd] => 123admin
4,092 [pwd] => 12345qwe
4,086 [pwd] => 12369874
3,880 [pwd] => 123123
3,831 [pwd] => 1234qwer
3,814 [pwd] => 1234abcd
3,787 [pwd] => 123654
3,751 [pwd] => 123qwe123qwe
3,744 [pwd] => 123abc
3,623 [pwd] => 123qweasd
3,606 [pwd] => 123abc123
3,422 [pwd] => 12345qwert

Jak się przed tym zabezpieczyć?

Przede wszystkim sugerujemy zmienić dotychczasowe dane dostępowe na takie, które będą trudne do odgadnięcia. Dotyczy to zarówno loginu jak również hasła, które powinno być możliwie złożone, najlepiej składające się z kombinacji dużych i małych liter oraz cyfr.

Można się również posiłkować dodatkowymi narzędziami, które zablokują dostęp do WP w sytuacji gdy intruz wykona określoną ilość nieudanych prób logowania się, np. Better WP Security. Pozwoli to zmniejszyć ryzyko, ale trzeba mieć świadomość tego , że w wielu sytuacjach te narzędzia po prostu się nie sprawdzają, ponieważ wiele ataków wykonywanych jest z różnych adresów IP, co znacznie utrudnia ich blokowanie, a wręcz to uniemożliwia. Dodatkowo każdy zainstalowany dodatek do WordPressa zwiększa również ryzyko pojawienia się nowych furtek umożliwiających włamanie na stronę. Im mniej dodatków zapakujemy do naszego WordPress'a tym lepiej.

Co więc można zrobić aby skutecznie uchronić się przed atakami?

Możesz zabezpieczyć stronę logowania dodatkową powłoką autoryzacyjną, co w przypadku tego typu ataków zminimalizuje również obciążenia jakie generują.

  1. Otwórz stronę: http://www.htaccesstools.com/htpasswd-generator/
  2. Przy pomocy formularza utwórz nazwę użytkownika i hasło
  3. Zaloguj się do cPanelu w osobnym oknie przeglądarki
  4. Przejdź do managera plików w cPanelu. Uruchamiając managera pamiętaj aby zaznaczyć opcję pokazywania plików ukrytych.
  5. Odszukaj plik o nazwie .wpadmin, jeśli nie istnieje utwórz go, najlepiej w głównym folderze konta hostingowego /home/nazwa-uzytkownika/.wpadmin (nazwa uzytkownika, to Twój login do cPanelu)
  6. Wklej do niego kod wygenerowany w kroku 1
  7. Zapisz zmiany
  8. Następnie odszukaj plik .htaccess znajdujący się w głównym folderze instalacji WordPress'a (jeśli go nie ma utwórz go) i umieść w nim poniższy fragment kodu
     
    ErrorDocument 401 "Unauthorized Access"
    ErrorDocument 403 "Forbidden"
    <FilesMatch "wp-login.php">
    AuthName "Authorized Only"
    AuthType Basic
    AuthUserFile /home/nazwa-uzytkownika/.wpadmin
    require valid-user
    </FilesMatch>

     
  9. W powyższym przykładzie zastąp nazwa-uzytkownika swoim loginem do cPanelu. Na koniec zapisz zmiany

Niezależnie od tego warto przestrzegać zaleceń bezpieczeństwa WordPress. Można rozważyć także dwupoziomową autoryzację np. za pośrednictwem wtyczki DuoSecurity lub Google Authenticator. Zachęcamy również do aktywacji na stronach usługi CloudFlare.

Zobaczcie jak mocno wzrosła w minionym miesiącu (kwietniu) ilość tego typu ataków na WordPress'a. Dane pochodzą z Securi.

Luty: 1,034,323 prób zgadywania haseł (36k dziennie)
Marzec: 950,389 prób zgadywania haseł (31k dziennie)
Kwiecień: 774,104 prób zgadywania haseł (77,410 dziennie) - a te dane dotyczą tylko pierwszych 10 dni miesiąca!

To potężny skok!

Źródło: niebezpiecznik.pl

 

Ten artykuł nie został jeszcze oceniony.

 

Udostępnij ten artykuł innym:

 

Podobne artykuły

 
comments powered by Disqus

Hosting

Rejestracja domen

Tworzymy strony WWW

Firma

Platforma hostingowa o12.pl . 2003-2018