Hlavní navigace

Zesílený zájem hackerů o weby na Wordpressu, pamatujte na ten váš, používáte-li Wordpress

Daniel Dočekal

Hackeři „namířili velký botnet“ na weby využívající WordPress s cílem získat heslo pro administrátora a poté je využít.

Podle zahraničních médií (viz například TechCrunch.com), CloudFlare (Patching the Internet in Realtime: Fixing the Current WordPress Brute Force Attack) a Gator Crossing (Global WordPress Brute Force Flood) probíhá zesílená vlna útoků na weby využívající WordPress. Prostou slovníkovou „brute force“ metodou se útočníci pokoušejí získat přístup k účtu „admin“.

Poznámka: Osobně to nemohu posoudit zcela jednoznačně, protože na mých pár bezvýznamných webů na WordPressu se slovníkové útoky na účet správce vyskytují ve velmi zvýšené míře už poslední dva měsíce. Pokud by je po několika pokusech nezarazil bezpečnostní plugin, tak by šlo o stovky pokusů denně.

Je možná vhodné upozornit, že použití botnetu znamená, že případná blokování IP adres útočníků je poměrně neefektivní. Podle informací v médiích má síť útočníků desítky tisíc počítačů.

Co dělat pro snížení rizika

Pokud používáte WordPress, tak byste měli určitě přistoupit k několik základním opatřením. Tím prvním například je to, že je vhodné změnit účet „admin“ na nějaký jiný název, nejlépe takový,  který určitě nebude možné zkoušet (viz například Change your WordPress admin Username)

Další možné opatření spočívá v nasazení .wpadmin a .htaccess pro ochranu přihlašovacího skriptu (wp-login.php), detaily viz například Wordpress Login – Brute Force Attack. Uživatelé Wordpress.com mohou navíc zapnout dvou-faktorovou autentizaci.

START17

Samozřejmostí by mělo být, že všechny účty ve vašem WordPressu používají silná hesla (nikoliv takové ty oblíbené jako „12345“ nebo „password“, „passw0rd“ či „heslo“).

Mezi pluginy najdete i dostatek možností pro zlepšení bezpečnosti, například Wordfence může být vhodný plugin k vyzkoušení. 

Našli jste v článku chybu?
13. 4. 2013 16:58

A tohle umí řešit i nějaký firewall? Co přesně to je za firewall? V iptables tohle asi nenastavím, nebo ano?

13. 4. 2013 17:09

Už jsem WP dlouho neinstaloval, ale defaultně se přece ten účet nejmenuje "admin", ale je nutné něco zadat ne? Ledaže by tam lidi to admin psali ručně, ale to podle mně většina BFU neudělá.