Zesílený zájem hackerů o weby na Wordpressu, pamatujte na ten váš, používáte-li Wordpress

Hackeři „namířili velký botnet“ na weby využívající WordPress s cílem získat heslo pro administrátora a poté je využít.

Podle zahraničních médií (viz například TechCrunch.com), CloudFlare (Patching the Internet in Realtime: Fixing the Current WordPress Brute Force Attack) a Gator Crossing (Global WordPress Brute Force Flood) probíhá zesílená vlna útoků na weby využívající WordPress. Prostou slovníkovou „brute force“ metodou se útočníci pokoušejí získat přístup k účtu „admin“.

Poznámka: Osobně to nemohu posoudit zcela jednoznačně, protože na mých pár bezvýznamných webů na WordPressu se slovníkové útoky na účet správce vyskytují ve velmi zvýšené míře už poslední dva měsíce. Pokud by je po několika pokusech nezarazil bezpečnostní plugin, tak by šlo o stovky pokusů denně.

Je možná vhodné upozornit, že použití botnetu znamená, že případná blokování IP adres útočníků je poměrně neefektivní. Podle informací v médiích má síť útočníků desítky tisíc počítačů.

Co dělat pro snížení rizika

Pokud používáte WordPress, tak byste měli určitě přistoupit k několik základním opatřením. Tím prvním například je to, že je vhodné změnit účet „admin“ na nějaký jiný název, nejlépe takový,  který určitě nebude možné zkoušet (viz například Change your WordPress admin Username)

Další možné opatření spočívá v nasazení .wpadmin a .htaccess pro ochranu přihlašovacího skriptu (wp-login.php), detaily viz například Wordpress Login – Brute Force Attack. Uživatelé Wordpress.com mohou navíc zapnout dvou-faktorovou autentizaci.

Content

Samozřejmostí by mělo být, že všechny účty ve vašem WordPressu používají silná hesla (nikoliv takové ty oblíbené jako „12345“ nebo „password“, „passw0rd“ či „heslo“).

Mezi pluginy najdete i dostatek možností pro zlepšení bezpečnosti, například Wordfence může být vhodný plugin k vyzkoušení. 

15 názorů Vstoupit do diskuse
poslední názor přidán 15. 4. 2013 17:31
Zasílat nově přidané názory e-mailem

Školení e-mail marketingu

  •  
    Jak získat e-mailové kontakty
  • Jak udělat e-mailing více relevantní
  • Jak zavést automatizované kampaně

Detailní informace o školení e-mailingu »