Интензивна bruteforce атака към WordPress сайтове

WordpressWordPress е една от най-широко разпространените системи, която се използва от доста уебмастъри по света. В резултат на това, тя често е обект на хакерски
атаки. През последните няколко дни, все повече собственици на WordPress уеб сайтове стават жертва на brute force атаки, която цели да проникне в слабо защитени
административни панели. WordPress първоначално е била предназначена да бъде проста платформа за създаване на блогове.

Въпреки това, тя е еволюирала до такава степен, че
в днешно време тя се използва за всякакви други цели - онлайн магазини, новинарски уеб сайтове и др. Това прави тези уеб сайтове потенциална мишена за подобни хакерски набези.

Какво е brute force атака?

Един от методите, които използват хакерите за за проникване в уеб сайт е чрез така наречената brute force атака. Тези атаки не са прикрити по някакъв начин и са насочени директно към административния панел на уеб сайта. Целта на тези атаки е проникването чрез административните панели, като се "налучква" паролата за вход. Масивните атаки от този тип, на които сме свидетели през последните дни използват само едно потребителско име - admin. Това е потребителското име, което е зададено по подразбиране за всеки WordPress уеб сайт. При налучкване на паролата се използват списъци с често използвани пароли, като така недоброжелателите могат да добият достъп до слабо защитени WordPress
уеб сайтове. В резултат на тези атаки, тъй като се извършват огромен брой заявки към административния панел, нарества и ресурсното потребление на сайтове, използващи този CMS.

Как можем да познаем една атака от този тип?

Както вече споменахме, тези атаки са насочени към административния панел на WordPress уеб сайтове. По подразбиране, достъпа до този панел се извършва чрез wp-login.php. Най-лесният начин да установим дали сме подложени на brute force опити, е да проверим своя access лог, което може да се направи от cPanel. В него тртябва да потърсим заявки към wp-login.php от непознати IP адреси. Примерна извадка от такъв лог е следната:
127.0.0.1 - - [13/Apr/2013:11:25:57 +0300] "GET /wp-login.php HTTP/1.0" 200 2941
127.0.0.2 - - [13/Apr/2013:11:25:57 +0300] "GET /wp-login.php HTTP/1.0" 200 2941

Как да се предпазим от такива атаки?

Тези атаки се извършват на глобално ниво и са доста мащабни. Блокирането на определен IP адрес често не води до особено ефективни резултати, тъй като атаките продължават от други адреси. Съветите, които бихме Ви дали за предпазване от този тип атаки са следните

  • На първо място е добра идея да се погрижите уеб сайта Ви да бъде защитен с достатъчно добра парола. Пароли от типа "123456", "123qwe" и т.н. са примери за често използвани пароли и не е препоръчано да се използват. Паролите, които трябва да използвате би трябвало да са такива, че единствено Вие да знаете тяхната комбинация. Използването на букви, цифри и специални символи (като !, ?, %, $, #, & и т.н.) също е препоръчително, тъй като това усложнява паролата както и възможността за евентуален случаен пробив.
  • Тъй като се генерира и процесорно време като вторичен ефект, можете да въведете метод за неутрализиране на бъдещи подобни атаки. По възможност можете да активирате CloudFlare - безплатен CDN (Content Delivery Network). CloudFlare са наши партньори и всеки наш клиент може да се възползва от техните услуги безплатно. Освен безплатен CDNсе предлага и вградена защита точно от такъв тип атаки. Вместо трафикът да преминава директно през сървъра, където се намират уеб сайтовете Ви, той преминава през мрежата на CloudFlare, като така спестявате и процесорно време.
  • Съществуват приставки (plugins) за WordPress, които също спомагат за облекчаване на ситуацията. Такива приставки са:

Limit Login Attempts
Better WP Security

  • Алтернативен вариант е ограничаването за достъп към файла wp-login.php. Това може да се извърши чрез модификацията на .htaccess файла, който се намира в директорията на уеб сайта Ви и добавянето на следните редове:

<files wp-login.php>
order allow,deny
allow from 255.255.255.0
</files>

В горния пример е използван IP адреса 255.255.255.0, от който единствено ще има достъп до wp-login.php. Разбира се, за да защитите Вашият блог е нужно да замените този IP адрес с Вашият публичен IP адрес (този, който Ви е предоставен от Интернет доставчика Ви).

Въпреки глобалният мащаб на brute force атаките, насочени към WordPress уеб сайтове, за момента нашите системни администратори са успели да предпазят успешно всеки хостинг сървър. В резултат на това, не сме имали случай от огромно претоварване вследствие на хакерски опити. Разбира се, за в бъдеще тази практика ще продължи, като целта е да се предостави максимална защита за нашите клиенти.

5.00 avg. rating (99% score) - 3 votes