Hosting Blueboard varoval na sociálních sítích před zvýšeným výskytem brute force útoků na open source redakční systémy WordPress a Joomla!. Na svém blogu dokonce vydali manuál jak se proti potenciálním útokům bránit. Zároveň jako prevenci se rozhodli zablokovat všechny pokusy o přihlášení se do WordPressu a Joomly ze zahraničiních IP adres. Toto řešení je na jednu stranu extrémní a také zřejmě nebylo technicky jednoduché, takže situace je vážná.
Brute force útok je postavený na hádání hesel. Skript či spíše robot zkouší postupně všechny kombinace znaků anebo vychází ze slovníku. Obecně by mělo stačit používat předgenerovaná hesla, který jsou dostatečně složitá. Využívají jak velkých a malých písmen, čísel i speciálních znaků. Takováto hesla o třeba dvanácti místech jsou prozatím dostatečnou ochranou. Sice v dobách dnešních botnetů už to zas taková sranda není, ale věřím, že nikdo nemáte stránky na které by se vyplatilo nasadit milionové armády zombie strojů. To už spíše někdo najde nějaký zoro day exploit 🙂
Blueboard doporučuje použití pluginů Limit Login Attempts, Lockdown WP Admin anebo Better WP Security. Osobně mám dobré zkušenosti s Limit Login Attempts, který odřízne IP adresu či cookies. Ovšem v tomto případě by zřejmě nepomohl, protože podle zpráv Blueboard jsou útoky vedené z velkého množství IP adres.
Pokud jste jediným administrátorem a máte statickou IP adresu můžete zkusit dát tohle do .htaccess adresáře /wp-admin/ (nezapomeňte změnit IP adresu na vaši).
<Limit GET POST>
order deny,allow
deny from all
allow from 192.168.2.1
</Limit>
Tahle úprava by měla zajistit maximální ochranu proti brute force útokům z cizích IP adres.
Závěr
Celkem by mě zajímalo, jak chráníte proti útokům vaše CMS?
Daleko jednodušší je nasazení .htpasswd, histerii kolem BF nechápu.
Spíše jde o vytěžování serverů, BF je vlastně takový DoS útok
Dost se varuje před tím používat defaultní login jako admin, měl bych to brát nějak vážně, když mám dle wordpressu “velmi silné heslo” ?
Martin: teoreticky je defaultní login půlka práce 🙂
Asi to teda radši změním 🙂
Ale ono je to asi fuk, když se někdo bude chtít dostat do WP, tak se tam prostě někudy dostane, hromada pluginů a spousta věcí…
Nedávno jsem na několika wordpress webech zaznamenal opakované přístupy na logovací stránku, takže tam jsem hned nasadil zmiňované htaccess řešení 🙂
Pomocí pluginu Wassup si většinou dost často všimnu, když se něco děje a je pravda, že teď je to nějak často. Ono je těch webů ale hodně a všude se na statistiky každý den nekouká, a tak možná by nebyl jako pasivní ochrana si udělat nějaký jednoduchý plugin, který nebude zbytečně přitěžovat skriptu, ale při neplatném přihlášení pošle jednorázově varovný email.
Používám BWS a limit login a na podobném principu i když někdo generuje moc 404 chyb. Napsal jsem o tom článek zde: http://wordpress.bigdrobek.com/bezpecnost/
Tvoje řešení je sice hezké, na druhou stranu nebraní nijak útoku.
šikovnější je podle me
Order Deny,Allow
Allow from 192.168.2.1
Deny from all
– pak se zablokuje pristup na prihlaseni
To máš pravdu, to se ale dá použít pokud nemáš registrované účastníky.
Pak je to nej metoda to jo 🙂