Hosting Blueboard varuje před brute force útoky

Hosting Blueboard varoval na sociálních sítích před zvýšeným výskytem brute force útoků na open source redakční systémy WordPress a Joomla!. Na svém blogu dokonce vydali manuál jak se proti potenciálním útokům bránit. Zároveň jako prevenci se rozhodli zablokovat všechny pokusy o přihlášení se do WordPressu a Joomly ze zahraničiních IP adres. Toto řešení je na jednu stranu extrémní a také zřejmě nebylo technicky jednoduché, takže situace je vážná.

Brute force útok je postavený na hádání hesel. Skript či spíše robot zkouší postupně všechny kombinace znaků anebo vychází ze slovníku. Obecně by mělo stačit používat předgenerovaná hesla, který jsou dostatečně složitá. Využívají jak velkých a malých písmen, čísel i speciálních znaků. Takováto hesla o třeba dvanácti místech jsou prozatím dostatečnou ochranou. Sice v dobách dnešních botnetů už to zas taková sranda není, ale věřím, že nikdo nemáte stránky na které by se vyplatilo nasadit milionové armády zombie strojů. To už spíše někdo najde nějaký zoro day exploit 🙂

Blueboard doporučuje použití pluginů Limit Login Attempts, Lockdown WP Admin anebo Better WP Security. Osobně mám dobré zkušenosti s Limit Login Attempts, který odřízne IP adresu či cookies. Ovšem v tomto případě by zřejmě nepomohl, protože podle zpráv Blueboard jsou útoky vedené z velkého množství IP adres.

Pokud jste jediným administrátorem a máte statickou IP adresu můžete zkusit dát tohle do .htaccess adresáře /wp-admin/ (nezapomeňte změnit IP adresu na vaši).

<Limit GET POST>
order deny,allow
deny from all
allow from 192.168.2.1
</Limit>

Tahle úprava by měla zajistit maximální ochranu proti brute force útokům z cizích IP adres.

Závěr

Celkem by mě zajímalo, jak chráníte proti útokům vaše CMS?


Jak bude reklama vypadat?
-
Nechceš zde reklamu napořád jen za 60 Kč?
Zobrazit formulář pro nákup

9 komentářů

  1. Dost se varuje před tím používat defaultní login jako admin, měl bych to brát nějak vážně, když mám dle wordpressu “velmi silné heslo” ?

  2. Asi to teda radši změním 🙂
    Ale ono je to asi fuk, když se někdo bude chtít dostat do WP, tak se tam prostě někudy dostane, hromada pluginů a spousta věcí…

  3. Nedávno jsem na několika wordpress webech zaznamenal opakované přístupy na logovací stránku, takže tam jsem hned nasadil zmiňované htaccess řešení 🙂
    Pomocí pluginu Wassup si většinou dost často všimnu, když se něco děje a je pravda, že teď je to nějak často. Ono je těch webů ale hodně a všude se na statistiky každý den nekouká, a tak možná by nebyl jako pasivní ochrana si udělat nějaký jednoduchý plugin, který nebude zbytečně přitěžovat skriptu, ale při neplatném přihlášení pošle jednorázově varovný email.

  4. Tvoje řešení je sice hezké, na druhou stranu nebraní nijak útoku.

    šikovnější je podle me

    Order Deny,Allow
    Allow from 192.168.2.1
    Deny from all

    – pak se zablokuje pristup na prihlaseni

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna.