Minulý týden v období přibližně 25.9 až 29.9 se nejen po českých WordPress stránkách přehnalo několik útoků. Mířily na wp-login.php, kde zkoušely jednoduchá hesla pro účty admin a test. Bylo celkem zajímavé, že některé instalace WordPress prošly zatěžkávací zkouškou 1000 – 2000 pokusů a jiné si musely vytrpět skoro 10000 pokusů o uhádnutí hesla. Opět se tak začala probírat ochrana WordPress.

Každý známý web může být cílem

Pokud používáte WP a váš web je na internetu známý (má třeba vyšší Page Rank anebo dostatek indexovaných stránek v Google). Tak se vám to zřejmě stalo také. Jenomže jste si toho nevšimli. Většina lidí totiž sleduje jen návštěvnost svého webu a to co se děje v pozadí už ne. Klasickým případem je Google Analytics. Tento měřák návštěvnosti postavený na Javascriptu vám robot prostě bude ignorovat, takže nic nezjistíte. Ve skutečnosti váš web navštěvují a zkoumají denně i desítky robotu, ale on je nezjistí. K tomu je potřeba skript na úrovni skriptu PHP anebo přímo serverové úrovni. Třeba access log v kombinaci s programem na jeho analýzu.

Ohrožení prolomení hesla většině z nás nehrozí

Co se týká ohrožení, tak samozřejmě pokud používáte předem vygenerované heslo, problém mít nemůžete. Často stačí i 8 znaků, kde budou použita velká a malá písmena, čísla a ještě speciální znak. Taková hesla jsou dostatečně silná a vydrží toho celkem hodně. To už se dříve ozve provozovatel hostingů, kde máte svůj WordPress. No a WordPress vytváří ještě silnější. Samozřejmě si můžete vytvořit své vlastní složené ze dvou či tří slov, mezi které dáte náhodné číslo. Pak máte heslo o délce třeba 20 znaků, které se dá i zapamatovat a to už je opravdu drsná záležitost 🙂

Zbytečné zatěžování hostingu

Možná nad tím stačí jen mávnout rukou a říct si já mám dost odolné heslo, mě se jen tak nic nemůže stát. Při brute force útoku (kdy se heslo hádá) máte asi pravdu. Ale jsou tu i další problémy, které je třeba řešit alespoň preventivně. Jak už bylo vzpomenuto výše, takovéto návštěvy zatěžují server. Pokaždé když to robot zkusí, tak se musí skript zeptat databázového serveru a vrátit výsledek. V dnešní době to asi není nic extra velkého, ale je třeba vzít v úvahu, že dotaz na přihlášení není nijak cachován. Takže zatímco úvodní stránku vygenerujete za 0,2 vteřiny (time to first byte), tak u přihlášení to klidně může být třeba 0,5 vteřiny. Takže takový hyperaktivní robot, co to bude zkoušet dvakrát za vteřinu může pro VPS s jedním vláknem znamenat smrt.

No to byl trochu extrémní případ, ale víte jak to myslím. Prostě je lepší se na to připravit.

Ochrana WordPress

Na ochranu WordPress existuje hned několik pluginů, která vám zároveň pomohou vyřešit i další bezpečnostní hrozby. Daleko aktuálnější než je prostý brute force útok.

All In One WP Security

Plugin All In One WP Security, je taková klasika ochrana WordPress. V podstatě je to takový velký balíček opatření, které nejen že ochrání váš WordPress ale zárveň vás bude učit dobrým bezpečnostním zvyklostem. Například že administrátor nemá mít jako login admin 🙂

Zároveň monitoruje všechnu aktivitu, která se týká bezpečnosti. Takže v logu během pár dnů už uvidíte první pokusy o prolomení uživatelských účtů. Zde stačí aktivovat takzvanou funkci fail2ban (v pluginu je pod User Login – Enable Login Lockdown Feature a v Max Login Attempts si nastavíte maximální počet pokusů). Jakmile nějaká IP adresa se zkusí neúspěšně nalogovat vícekrát, než máte nastaveno v pokusech tak jí to zablokuje.

Tento plugin má zároveň i speciální sérii ochran proti Brute force útokům. Například umožňuje přejmenovat přihlašovací stránku. Je to jednoduché a účinné. Další ochranou jsou cookies anebo Captcha.

Mým osobním favoritem je Login Whitelist. Pokud máte pevně přidělenou IP adresu anebo alespoň znáte rozsah, tak neváhejte a použijte toto nastavení. Tento druh ochrany je totiž na úrovni serveru (.htaccess) a rovnou pošle kohokoliv, kdo to zkusí na stránku 403 a prakticky nespotřebuje žádné systémové zdroje. Jen je třeba si opravdu dát pozor na změnu IP adresy, jinak si budete muset hacknout vlastní WordPress 🙂

Pokud se vám to stane nestačí jen vypnout plugin, je také v .htaccess nutné odstranit anebo změnit blokovanou IP adresu.

Wordfence Security

Wordfence Security je nejrozšířenější bezpečnostní plugin do WordPress na světě. Umí toho opravdu hodně a má i pár vylepšené, které se podepíší na rychlosti vašeho WP. Dokonce slibují, že může být až 50x rychlejší.

Wordfence Security umí projít vaši instalaci WordPress a najít potenciální nebezpečí, což je super, pokud jste dostali upozornění z webhostingu, že rozesíláte emaily anebo máte nezabezpečený formulář. Také umí odhalit některé backdoory (zadní vrátka do vaší instalace).

Jinak samozřejmě umí také ochranu proti brute force pomocí zablokování přístupu 🙂

Doporučuji shlédnout doprovodné video.

Share on FacebookTweet about this on TwitterShare on Google+Share on LinkedInBuffer this page