Hlavní navigace

Zesílený zájem hackerů o weby na Wordpressu, pamatujte na ten váš, používáte-li Wordpress

Daniel Dočekal

Hackeři „namířili velký botnet“ na weby využívající WordPress s cílem získat heslo pro administrátora a poté je využít.

Podle zahraničních médií (viz například TechCrunch.com), CloudFlare (Patching the Internet in Realtime: Fixing the Current WordPress Brute Force Attack) a Gator Crossing (Global WordPress Brute Force Flood) probíhá zesílená vlna útoků na weby využívající WordPress. Prostou slovníkovou „brute force“ metodou se útočníci pokoušejí získat přístup k účtu „admin“.

Poznámka: Osobně to nemohu posoudit zcela jednoznačně, protože na mých pár bezvýznamných webů na WordPressu se slovníkové útoky na účet správce vyskytují ve velmi zvýšené míře už poslední dva měsíce. Pokud by je po několika pokusech nezarazil bezpečnostní plugin, tak by šlo o stovky pokusů denně.

Je možná vhodné upozornit, že použití botnetu znamená, že případná blokování IP adres útočníků je poměrně neefektivní. Podle informací v médiích má síť útočníků desítky tisíc počítačů.

Co dělat pro snížení rizika

Pokud používáte WordPress, tak byste měli určitě přistoupit k několik základním opatřením. Tím prvním například je to, že je vhodné změnit účet „admin“ na nějaký jiný název, nejlépe takový,  který určitě nebude možné zkoušet (viz například Change your WordPress admin Username)

Další možné opatření spočívá v nasazení .wpadmin a .htaccess pro ochranu přihlašovacího skriptu (wp-login.php), detaily viz například Wordpress Login – Brute Force Attack. Uživatelé Wordpress.com mohou navíc zapnout dvou-faktorovou autentizaci.

Samozřejmostí by mělo být, že všechny účty ve vašem WordPressu používají silná hesla (nikoliv takové ty oblíbené jako „12345“ nebo „password“, „passw0rd“ či „heslo“).

Mezi pluginy najdete i dostatek možností pro zlepšení bezpečnosti, například Wordfence může být vhodný plugin k vyzkoušení. 

Našli jste v článku chybu?

13. 4. 2013 16:58

A tohle umí řešit i nějaký firewall? Co přesně to je za firewall? V iptables tohle asi nenastavím, nebo ano?

13. 4. 2013 17:09

Už jsem WP dlouho neinstaloval, ale defaultně se přece ten účet nejmenuje "admin", ale je nutné něco zadat ne? Ledaže by tam lidi to admin psali ručně, ale to podle mně většina BFU neudělá.

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Vitalia.cz: Znáte „černý detox“? Ani to nezkoušejte

Znáte „černý detox“? Ani to nezkoušejte

Podnikatel.cz: Babiše přesvědčila 89letá podnikatelka?!

Babiše přesvědčila 89letá podnikatelka?!

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Vitalia.cz: 7 druhů hotových těst na vánoční cukroví

7 druhů hotových těst na vánoční cukroví

Vitalia.cz: Mondelez stahuje rizikovou čokoládu Milka

Mondelez stahuje rizikovou čokoládu Milka

DigiZone.cz: ČT má dalšího zástupce v EBU

ČT má dalšího zástupce v EBU

Vitalia.cz: Nahradí sluch, ale zvuk je zcela jiný

Nahradí sluch, ale zvuk je zcela jiný

Vitalia.cz: Spor o mortadelu: podle Lidlu falšovaná nebyla

Spor o mortadelu: podle Lidlu falšovaná nebyla

Vitalia.cz: Jsou čajové sáčky toxické?

Jsou čajové sáčky toxické?

120na80.cz: Popraskané rty? Některé balzámy stav zhoršují

Popraskané rty? Některé balzámy stav zhoršují

Root.cz: 250 Mbit/s po telefonní lince, když máte štěstí

250 Mbit/s po telefonní lince, když máte štěstí

Měšec.cz: Vklad na cizí účet je draze zpoplatněn (přehled)

Vklad na cizí účet je draze zpoplatněn (přehled)

Podnikatel.cz: Chaos u EET pokračuje. Jsou tu další návrhy

Chaos u EET pokračuje. Jsou tu další návrhy

Root.cz: Telegram spustil anonymní blog Telegraph

Telegram spustil anonymní blog Telegraph

Vitalia.cz: Jmenuje se Janina a žije bez cukru

Jmenuje se Janina a žije bez cukru

Vitalia.cz: Dáte si jahody s plísní?

Dáte si jahody s plísní?

120na80.cz: Stoná vaše dítě často? Upravte mu jídelníček

Stoná vaše dítě často? Upravte mu jídelníček

Podnikatel.cz: 3, 2, 1..EET startuje. Na co nezapomenout?

3, 2, 1..EET startuje. Na co nezapomenout?

DigiZone.cz: NG natáčí v Praze seriál o Einsteinovi

NG natáčí v Praze seriál o Einsteinovi