Статьи

Когда WordPress атакуют методом грубой силы

WordPress привлекает не только блоггеров, но и хакеров. Последние не устают взламывать или, как минимум, пытаться взламывать WP сайты. Это делается для рассылки спама, внедрения вредоносных кодов для фишинга и других неприятных атак.

Ускорить WordPress: 5 профессиональных приемов по оптимизации WordPress

Многообразие изощренных способов наезда на WordPress поражает. И все же правильно говорят, классика всегда актуальна - хакеры до сих пор не гнушаются простым перебором паролей – так называемым «методом грубой силы». Это когда ботнеты пытаются угадать пароль администратора сайта.

На первый неискушенный взгляд, эффективность подобных атак сомнительна. Однако они направлены на одно из слабейших звеньев в системе безопасности – нас с вами.

Никто не любит сочинять, тщательно вводить и потом мучительно вспоминать сложные пассворды. Как результат – общечеловеческий грех использования паролей с низким уровнем безопасности. И это несмотря на то, что интернет-мудрецы давно уже подарили нам продуманную политику управления паролями и специальные утилиты. Лично я пользуюсь LastPass. Но и у меня то и дело промелькнет какая-нибудь незамысловатая комбинация. Поэтому предпочитаю перестраховаться всесторонней защитой. Береженого Бог бережет.

Недавно решил добавить еще один защитный амулет в свою систему. С его помощью я могу защитить свой WordPress от атак грубой силы.

Более 500 моделей серверов по самым лучшим ценам. Под любые задачи. Мы профессионально занимаемся этим направлением.

Предотвращение атак с помощью HTTP AUTH

На сайте WordPress можно найти длинный список рекомендаций по повышению безопасности. Некоторые из них даже мне кажутся слишком уж сложными в применении, особенно те, что требуют изменений на уровне сервера или кода. Но мой опыт администратора подсказывает, что атаки типа XSS и перебора паролей обычно основаны на эксплойтах. Для усиления защиты мне достаточно просто блокировать доступ к административной информации. И в этом мне поможет HTTP аутентификация (HTTP AUTH).

Вероятно, вы уже знакомы с HTTP AUTH. Многие называют ее просто средством парольной защиты директории или сайта с помощью .htaccess. Технически это осуществляется внесением соответствующих настроек в файл .htacess. Так я запускаю механизм HTTP аутентификации, встроенный в сервер Apache.

Ограничив доступ к входу в WordPress через htaccess, я могу предотвратить большую часть атак методом грубой силы.

Настройка HTTP AUTH

Перво-наперво, я рекомендую ограничить доступ к wp-login.php. Это легко сделать, установив парольную защиту в htaccess. В сети полно учебных пособий о том, как настроить файл htaccess и генерировать файлы паролей. В Plesk, cPanel и других системах эта функция часто уже встроена в панель управления. Поэтому мне хочется надеяться, вы уже знаете, как настроить htaccess и получить файл htpasswd. (Если нет, то Google вам в помощь).

Во-вторых, я советую использовать разные пароли и логины для htaccess и блога.

Как только вы подготовили файл паролей, нужно прописать следующее в файле htaccess:

AuthName "Текст выводится в окне авторизации" 
AuthType Basic
AuthUserFile Полный путь/.htpasswd
require valid-user
После этих настроек у вас будет всплывать дополнительное HTTP окошко перед вводом логина на WordPress.

Вам нужно будет ввести имя пользователя и пароль, который вы прописали в файле htpasswd. Только так вы сможете миновать это окошко. После ввода этих данных появится стандартный экран для ввода логина WordPress.

Заметьте, что логин и пароль из файла htaccess не имеют ничего общего с WordPress. Если у вас несколько блоггеров, можно использовать единый логин+пароль для HTTP аутентификации. А для входа на WordPress каждый блоггер будет использовать собственные данные.

Как работает HTTP AUTH

Атаки методом грубой силы против WordPress часто строятся по одному сценарию. А именно путем простой подстановки паролей непосредственно в скрипт wp-login.php. Этот подкоп нетрудно вычислить, проверив логи:

114.37.91.33 - - [16/Jan/2014:02:08:13 -0700] "POST /wp-login.php HTTP/1.1" 302 4477 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 7.1; Trident/5.0)"
114.37.91.33 - - [16/Jan/2014:02:08:15 -0700] "POST /wp-login.php HTTP/1.1" 302 4479 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 7.1; Trident/5.0)"
114.37.91.33 - - [16/Jan/2014:02:08:15 -0700] "POST /wp-login.php HTTP/1.1" 302 4487 "-" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; Trident/6.0)"
114.37.91.33 - - [16/Jan/2014:02:08:15 -0700] "POST /wp-login.php HTTP/1.1" 302 4643 "-"

В данном примере некто с IP-адреса 114.37.91.33 снова и снова пытается залогиниться на WordPress.

Добавив HTTP аутентификацию, вы предотвращаете атаку. Тогда POST запрос из примера выше будет удовлетворен только в одном случае. Если злоумышленникам удастся подобрать логин и пароль HTTP AUTH.

Может возникнуть вопрос: “Разве они не могут также путем перебора взломать HTTP AUTH?” Да, могут. Однако большинство ботнетов не настроены на такой сценарий. К тому же, при таком типе атаки более продуктивно было бы переключиться на другой сервер. А не пытаться взломать два пароля.

Почему бы не использовать плагин безопасности?

Изобрели уже вагон и маленькую тележку разных плагинов безопасности для WordPress. Их задача – автоматически блокировать атаки путем полного перебора паролей. Возможно, эти плагины и защищают от грубой силы, однако я не рекомендовал бы их использовать. Во всяком случае, если это не несет в себе других важных преимуществ.

И вот почему:
  • Все эти плагины до сих пор построены на PHP коде. Защита будет настолько надежна, насколько надежен сам код. 
  • Атаки методом грубой силы по-прежнему осуществляются на уровне PHP. При высокой интенсивности атак это может вызвать проблемы с нагрузкой. 
  • Всесторонняя защита. Вероятность того, что эксплойт поразит одновременно средства аутентификации Apache и WordPress весьма невелика. 
То есть, внедрив HTTP Auth на страницу входа, я самым простым и надежным способом блокирую атаки грубой силы. Проблему безопасности это, конечно, полностью не решает. Но по крайней мере, я могу не беспокоиться так уж сильно о манипуляциях с перебором паролей.

О пользе ManageWP

Кстати, уважаемая и часто используемая мной утилита ManageWP позволяет отслеживать, обновлять и даже отправлять посты сразу во множество блогов. И всё из-под одной оболочки. Обязательно ознакомьтесь с ней. Особенно если у вас не один, а много сайтов. 



Комментировать