Používáte WordPress nebo Joomlu? Pak zbystřete. Je to teprve měsíc, co probíhal velký globální útok na webové stránky postavené na WordPressu a právě v těchto dnech přišla jeho druhá vlna. Ta s sebou nese i rozšíření útoku na Joomlu a tím pádem větší bezpečnostní rizika.
Co se děje
Podstata útoku spočívá v tom, že se neznámí útočníci pokouší z obrovského množství IP adres přihlásit do vašeho redakčního systému. Útok nemíří na slabiny WordPressu nebo našich serverů, ale slabiny ve vašich přihlašovacích údajích.
Nemalá část uživatelů WordPressu ponechá jako Uživatelské jméno základní “admin”, což útočníkům ulehčí práci.
Už jim totiž zbývá jenom uhodnout heslo. To se pokouší prolomit metodou zvanou Brute Force Attack. Tedy hrubou silou a stylem pokus – omyl, dokud se netrefí. Logicky se začíná u těch nejpoužívanějších hesel, která se dají jednoduše uhodnout.
Takovéto neustálé pokusy o přihlášení z mnoha IP adres způsobují velkou zátěž serveru a hrozilo i přerušení provozu.
Co jsme udělali my
Abychom zabránili kompletnímu přetížení a následnému výpadku serverů, zablokovali jsme všechny pokusy o přihlášení se do WordPressu a Joomly ze zahraničiních IP adres. Pokud se připojujete z České Republiky, neměl by se vás útok nijak dotknout.
Pro uživatele připojující se ze zahraničí jsme udělali jednoduché opatření – ještě před samotným loginem do redakčního systému vám vyskočí jedndouché přihlašovací okénko, kam stačí zadat login “bb” a heslo “bb”. Tyto údaje v okénku píšeme a po tomto ověření se už dostanete na standardní přihlášení do redakčního systému.
Útoky pořád probíhají a celou situaci neustále monitorujeme, ale největší nebezepečí jsme již zažehnali.
Obecná prevence proti podobným útokům
Vedle možného přejmenování vstupního souboru (wp-login.php, nebo index.php) je dobrým základem pro prevenci zvolit jiné Uživatelské jméno. To můžete změnit jak ručně, tak pohodlněji s pomocí pluginu Admin renamer extended.
Nic nepokazíte ani silným heslem, které není kombinací přihlašovacích údajů, či jiných dostupných a známých jmen a názvů. Vyvarujte se především heslům jako je “password”, “123456” a podobným.
S bezpečností WordPressu by měly pomoct také pluginy Limit Login Attempts, Lockdown WP Admin, nebo robustnější Better WP Security, který dokáže útočníky po určitém počtu pokusů od přihlašovací stránky úplně odstavit.
Hostuji na BB 3 blogy na WP a mohu potvrdit, nejdřív jeden web a v druhé vlně dva další. Existuje několik zabezpečovacích pluginů, pro tyto primitivní útoky obvykle stačí omezit počet pokusů pro jednu IP na 3 a pak zakázat přihlášení na hodně dlouho. Použil jsem plugin better-wp-security (údajně není zrovna nejlepší, jak jsem později zjistil) a okamžitě po základním zabezpečení přihlášení poklesl nápor. Jeden z problémů spatřuji mimo jiné v totálním rozhození awstats, kdy pak nelze poznat reálnou návštěvnost. Někde mi vyskočila ze 100 denně i na 800. Uhodnutí hesla se nebojím, ale je to každopádně nepříjemné. Použitý plugin má i denní zasílání zálohy databáze na mejl, takže v nejhorším případě web smažete a obnovíte ze zálohy.
Děkujeme za doplňující informace.
Zdravím, pokud WordPress hostujete na Linuxu, doporučuji jednoduše do .htaccesu přidat pravidlo, které povolí přihlášení pouze z uvedených IP adres:
order deny,allow
deny from all
allow from IP_ADRESA
Neuvědomil jsem, že to tu nemusí akceptovat všechny znaky, snad se to s HTML entitami již zobrazí správně:
<Files wp-config.php>
order allow,deny
deny from all
allow from IP_ADRESA
</Files>
Tak do třetice, pochopitelně tam má být wp-login.php 😀
Prosím o úpravu tohoto hlášení kompletně do angličtiny, součástí je totiž text: „Ochrana proti robotum. Zadejte:“
Cizinci co se přihlašují do zabezpečené části našeho webu zjm. ze zahraničí jsou touto hláškou zmateni.
Jinak samozřejmě díky za ochranu našich webů, zdravím
Marek
Ještě jednou moc prosím o níže uvedené:
Prosím o úpravu tohoto hlášení kompletně do angličtiny, součástí je totiž text: „Ochrana proti robotum. Zadejte:“
Cizinci co se přihlašují do zabezpečené části našeho webu zjm. ze zahraničí jsou touto hláškou zmateni.
Jinak samozřejmě díky za ochranu našich webů, zdravím
Marek
Jak zablokuji přihlašování IP adres z ciziny? Je na to plugin? Nebo je to součástí nějakého pluginu? Používám WP 4.3.1
Děkuji