Čoraz viac útokov proti WordPress – čo môžeme spraviť?

Bezplatné, open-source redakčné systémy ako WordPress, Joomla, Drupal, e107 a ešte niekoľko ďalších sú vždy vystavené útokom. Kedysi bol WordPress najbezpečnejší, ale teraz, keď sa stal lídrom na trhu, a používa ho čoraz viac veľkých, serióznych webových stránok s veľkým obratom, čoraz častejšie sa dostáva do pozornosti hackerov.

Ten, kto nespraví všetko pre to, aby svoju webstránku zabezpečil, a otvára bránu škodlivým činiteľom, ohrozuje nielen svoju webstránku, ale aj webstánky ostatných na rovnakom serveri, a to nielen stránky na základe WordPress, ale všetky stránky a chod celého servera. A táto činnosť – a to viacerí nevedia – je trestným činom, a preto je zodpovedné správanie veľmi dôležité.

Vždy hovorievam, že nové aktualizácie treba hneď stiahnuť, lebo tie zapchávajú objavené diery v bezpečnosti, ale aj okrem toho môžeme veľa urobiť pre ochranu našej webstránky. Zhrnula som najdôležitejšie kroky.

1) Vstúpte do adminu vašej webstránky a skontrolujte, či je niečo, čo treba aktualizovať. Ak áno, tak to zaktualizujte a spravte to minimálne raz týždenne.
(Robí vám starosti aktualizácia? Poverte nás tou prácou! »)

2) Skontrolujte webstránku z hľadiska vírusov: svoju doménu si môžete skontrolovať napríklad s týmto bezplatným nástrojom https://sitecheck.sucuri.net/scanner/.

3) Skontrolujte svoj počítač z hľadiska vírusov, resp. všetky počítače, z ktorých ste zvykli editovať svoju webstránku.

4) V žiadnom prípade nepoužívajte ako užívateľské meno admin, admin1234 alebo podobné jednoduché meno. Ak takéto máte, vytvorte si pre seba nového užívateľa Administrátora, odhláste sa, prihláste sa znova s novým užívateľským menom, a zmažte originál (všetky príspevky odovzdajte novému užívateľovi – pri zmazaní sa to WordPress opýta).

5) Používajte iba silné heslá a držte ich na bezpečnom mieste.

6) Prečítajte si príspevky WP-Školy „Bezpečnostné otázky“, a dodržiavajte ich, resp. realizujte tam uvedené rady.

7) Vypnite v položke menu Nastavenia -> Komentáre funkciu Trackback/Pingback, t. j. odstráňte označenie na vrchu strany spred „Pokúsiť sa upozorniť všetky blogy, na ktoré sa v tomto článku odkazuje „ a „Povoliť oznámenia o odkazoch z iných blogov (spätné upozornenia a spätné odkazy)“. Toto je už viac rokov známy problém, ale vývojári WordPress na opravu toho nič nespravia.

Prečo je to problém? Pretože cez túto funkciu môžu útočníci začať DDoS útok, a môžu pripojiť vašu webovú stránku do botnetu. Nezrúti sa vám kvôli tomu webová stránka, „len“ sa z nej stane zombie, a keď útočník chce, cez všetky takto pospájané WordPress webové stránky začne pingback volanie na cieľový server, a takto ho ochromí. Ďalšie, podrobnejšie informácie o tejto problematike si môžete prečítať tu (po anglicky, ale vysvetlené s veľmi dobrou fotkou).

Podstatné teda je: vypnite túto funkciu a (prihlásením sa na webhosting cez FTP alebo SFTP) zmažte súbor s názvom xmlrpc.php z koreňového adresára svojej WordPress inštalácie.

8) Pretože najviac útokov zasahuje prihlasovaciu stránku WordPress webovej stránky, oplatí sa ju dôkladne zabezpečiť. Prvá vec je, aby ste nemali ľahko uhádnuteľné užívateľské meno a heslo. Používajte nejaký Captcha modul, napríklad SI CAPTCHA. Chráňte mapu s názvom wp-admin podľa pravidiel uvedených v nasledujúcom príspevku „Istota je istota“.

Treba si zvážiť aj premenovanie súboru wp-login.php, aby sme si vybudovali ešte jednu silnú ochranu proti útočníkom. Samotný názov súboru (a všetkých 13 odkazov naň) by sa dalo premenovať (pozrite sa na fóre WordPress supportu), lenže to ešte problém nevyrieši. Veď keď vložíte do vyhľadávača domenovemeno.sk/wp-admin a nie ste prihlásení, tak vás presmeruje na stránku domenovemeno.sk/wp-login.php. Takže ak premenujete wp-login.php, dajme tomu na vstup.php-ra, tak domenovemeno.sk/wp-admin vás presmeruje na domenovemeno.sk/vstup.php a ste zase tam, ako keby ste nič nespravili.

Tento problém vyrieši to, ak sa premenuje aj samotná mapa wp-admin. Ani toto nie je nemožné, do súboru .htaccess treba pridať istý kód, o tom si môžete podrobne prečítať tu (po anglicky; z príspevku sa dá skopírovať aj potrebný kód).

9) Ak sa zľaknete predchádzajúcich krokov, pretože si obsluhujete svoju stránku ako užívateľ, tak vám (ale aj každému) veľmi odporúčam modul s názvom Limit Login Attempts, ktorý obmedzuje počet vstupov. Tento modul pracuje tak, že ak niekto skúša vstup viackrát, ako nastavená hodnota (alebo skôr niečo…) so zlým heslom, tak zakáže IP-adresu, a už sa odtiaľ nedá prihlásiť. Touto metódou WordPress odoláva útokom charakteru brute force* (keď sa červ sa pokúsi prihlásiť sa so všetkými možnými heslami, a tým by mohol ochromiť server).

10) Pravidelne si robte bezpečnostné zálohovanie vašej webovej stránky.

Útok hrubou silou (po anglicky brute force attack) je väčšinou pokus o rozlúštenie kódu bez poznania jeho dešifrovacieho kľúča. V praxi ide o systematické všetkých možných kombinácií alebo obmedzenej podmnožiny všetkých kombinácií. Útok hrubou silou sa často používa na uhádnutie dvojice užívateľ a heslo. Je možné používať náhodné (resp. generické) prihlasovacie mená a heslá pri pokusoch o autentifikáciu, prípadne obmedziť možné varianty. Napríklad získať zoznam užívateľských mien a skúšať prelomiť iba heslo. Ak sa heslo snažíme získať pomocou vopred pripraveného slovníka (zoznamu), ide už o Slovníkový útok. Pretože si užívatelia často volia málo silné heslo, je tento jednoduchý (a automatizovateľný) útok pomerne úspešný a široko rozšírený. [1] V prípade, že útočník získa jednosmerne zašifrované heslo (typicky pomocou kryptografického hashu), môže sa pomocou slovníka pokúšať rôzne heslá zašifrovávať a porovnávať ich so známym zašifrovaným tvarom. V okamihu nájdenia zhody je nájdená aj fráza pre prístup k danej službe. Preto je vhodné zašifrované heslá ukladať na miesta, kde nie sú ľahko dostupné.

zdroj: Wikipédia


Pridaj komentár

Vaša e-mailová adresa nebude zverejnená. Vyžadované polia sú označené *