Pôvodne som chcel tento článok vydať neskôr, ale situácia je natoľko vážna, že preskočím niekoľko článkov a rovno vás upozorním na stále viac hroziace nebezpečenstvo. Týka sa to predovšetkým blogov postavených na obľúbenom redakčnom systéme WordPress, ktorý je v poslednej dobe terčom útokov. Pritom je jednoduché sa im ubrániť.
Cieľom útočníkov je preniknúť so administrácie redakčného systému WordPress a zneužiť ho najmä na zverejňovanie komentárov s odkazmi na “ich” stránky. Najčastejšie sa to deje pokusom o “uhádnutie” hesla pre užívateľa “admin”. Administrátor webu s týmto menom je pritom predvolenou voľbou hneď po inštalácii WordPressu na hosting a tak mnohí užívatelia meno ponechajú a vložia svoje heslo. Ak je toto heslo slabé (malý počet znakov, názov webu či iné ľahko uhádnuteľné slovo), je riziko jeho prelomenia vysoké.
Útočníci používajú takzvaný “brute force” útok, teda útok hrubou silou, kedy sa do administrácie hlásia pomocou robotov, špecializovaných programov a skúšajú rôzne možnosti hesla. Svoju aktivitu maskujú tak, že takmer každý pokus je vedený z inej IP adresy, aby nebolo možné odhaliť priveľa dopytov na server hostingu z jednej IP, čo by umožňovalo prevádzkovateľovi hostingu tieto útoky ľahko identifikovať a zastaviť ich, napríklad blokovaním IP adresy útočníka. A tak máte v jednej sekunde prístup na web z nejakého mesta v Indii, o chvíľu z Číny, potom Singapur, Švajčiarsko, Francúzsko…
Ak by sa útočníkom podarilo “uhádnuť” vaše heslo a potom ho zmeniť, stratíte prístup do administrácie vášho webu a jedinou šancou, ako to napraviť, by bolo priamo v MySQL databáze zmeniť heslo pre užívateľa “admin”.
Ako sa brániť útokom na web?
V prvom rade nepoužívajte pre správcu predvolené administrátorské meno “admin” a ľahko uhádnuteľné heslo, napríklad meno vášho kocúra. Pri zakladaní nového webu si zvoľte iné meno a heslo použite také, ktoré v sebe kombinuje písmená a číslice. Pozor ale na písmená “Z” a “Y”, ak pracujete na rôznych počítačoch a môžu mať rôzne rozloženie klávesnice, aby vás to nemýlilo. Ako (relatívne) bezpečná veľkosť hesla sa považuje 8 znakov.
Ak ste už meno správcu ponechali predvolené “admin”, nič nie je stratené. Po prihlásení sa do administrácie vášho webu môžete v sekcii “Užívatelia” založiť nového užívateľa a prideliť mu rolu správcu. A starého “admina” odstrániť. WordPress vám ponúkne dve možnosti. Články a komentáre odstraňovaného užívateľa úplne vymazať alebo ich preniesť na konto iného užívateľa. Takže ak ste pod kontom “admin” napísali nejaké články, nestratíte ich. Jednoducho zvoľte túto možnosť a všetky príspevky zostanú zachované. Po vymazaní konta “admin” bude po vás vyžadované prihlásenie sa novým menom a heslom.
Dvaja užívatelia nemôžu mať rovnaký email v nastavení konta. Na to myslite pri zakladaní nového admina. Najprv upravte konto “admin” a zmeňte jeho email na iný, ktorý tiež používate. Potom založte nového administrátora s bezpečným meno a heslom na pôvodný email, aby vám všetky hlásenia a informácie z vášho webu na WordPresse chodili na rovnakú adresu. Pri zakladaní nového užívateľa môžete okrem prihlasovacieho mena napísať aj zobrazované meno, ktoré bude zverejnené pod článkami a komentármi. Takže kľudne môže byť nové prihlasovacie meno napríklad “kocur_v_cizmach” a zobrazované meno “admin”. Po zmazaní účtu “admin” a presune príspevkov na konto “kocur_v_cizmach” sa bude pod každým vaším príspevkom zobrazovať “autor “admin” a nikto si zmenu ani nevšimne. Samozrejme môžete zobrazované meno zvoliť akékoľvek, ktoré sa vám páči.
Týmto výrazne sťažíte útočníkom napadnutie vášho webu. Ale môžete im v tom aj úplne zabrániť.
Ako chrániť WordPress pre útočníkmi?
Existuje plugin do WordPressu, ktorý vás informuje o útokoch na váš web a umožní vám buď ručne zablokovať identifikovaného útočníka lebo nastaviť pravidlá, podľa ktorých sám WordPress útočníkov dočasne alebo trvale odstaví. A ešte vám môže poslať mail, či už pri pokuse o útok alebo o zablokovaní útoku.
Plugin sa volá Wordfence a môžete si ho stiahnuť a cez ftp nakopírovať na váš blog alebo ho inštalovať v administrácii pluginov. Žiaľ nie je k nemu slovenčina. Vzhľadom na rozsiahlosť možností nastavení mu venujem nasledujúci článok. Zatiaľ môžete odstrániť užívateľa “admin” a zlepšiť odolnosť vášho webu. Aby váš blog aj naďalej ostal blogom vaším.
.
1 komentár
Wordfence som si nedávno nainštalovala a iba sa divím, že koľko neviem či robotov alebo reálnych ľudí sa snaží prihlásiť do môjho blogu :O . Je to veľmi dobrý plugin, tiež ho každému iba odporúam.
Mozilla/5.0 (Windows NT 6.1; WOW64; rv:39.0) Gecko/20100101 Firefox/39.0