Розпродаж хостинг-планів на неймовірних умовах!
Знижка від 300 до 500грн!
Атака на сайти, що працюють на WORDPRESS

автор Дмитро Кондрюк

06.08.2013

16

Зверніть увагу: ця публікація побачила світ більше року тому, з того часу багато чого могло змінитися ;)

Сттатя містить важливу інформацію для власників сайтів на WordPress.
Спосіб захисту, описаний в статті, можна адаптувати під себе, якщо ви не є клієнтами нашого хостингу.
Для цього потрібно дізнатись в свого хостера абсолютний шлях до директорії з сайтами та вписати його замість /var/www/ВАШ_ЛОГІН_В_Хостинг_Панелі/data/www/

Про що йде мова:

Шановні, по всьому світі сайти на платформі WordPress були атаковані зловмисниками.
Подібна активність помічена багатьма хостинг-провайдерами.
Використовуючи тисячі IP-адрес та підбираючи паролі, невідомі намагаються отримати доступ до панелі керування сайтом.

Аби захистити ваш сайт від підбору паролів, пропонуємо вам наступний спосіб захисту (додаткові логін та пароль для захисту панелі керування)

Оригінал статті і продовження – МАСОВА АТАКА НА САЙТИ WORDPRESS

Дмитро Кондрюк

Автор публікації Дмитро Кондрюк

В веб-індустрії з 2003 року. В 2009р. заснував проект Український WordPress (що у подальшому став офіційним сайтом команди локалізації WordPress в Україні). З 2010 року засновник і технічний директор проекту Український хостинг для WordPress (WPHost.me) - повноцінного хостинг-сервісу, максимально оптимізованого на використання CMS WordPress.

Є що відповісти?

Ваш email не буде публікуватися

Можна скористатися такими тегами в тексті:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

  • 13.08.2013 at 18:12

    А не простіше обмежити кількість невдалих спроб входу і/або поставити затримку після неправильного введення (наприклад 10 секунд).

    • при масованому брутфорсі можуть надмірно навантажити ресурси хостингу/серверу, тому в подібних одиничних випадках раджу тимчасово захиститись через .htaccess – так не використовуються зайві ресурси і більше шансів, що сайт буде працювати навіть під час масованого підбору

      • 28.08.2013 at 22:18

        Це якщо діти бавляться .htaccess поможе….

        Якщо рулить ботнет. То тіко підключати сторонні сервіси захисту від ДОСа. При масованому брутфорсі – сервер по-любому ляже, якщо не натягнути презерватив….

        • Ви, мабуть, трохи не в темі. Ваші слова вірні, при розмовах саме про ддос і лише про досить потужний.
          В цій статті розповідається саме про масовий брутфорс, дія якого спрямована на чітко визначені файли (оскільки у популярних CMS відомо, за якими посиланнями проходить авторизація), і захиститись від цього не складно, заборонивши до цих файлів доступ.

    • 23.11.2015 at 15:49

      Беремо і ставимо плагін WP Google Authenticator, вже після цього атакувати сайт буде важче.

  • 02.09.2013 at 19:01

    Скористайтеся оцим плагіном: http://wordpress.org/plugins/lockdown-wp-admin/ банально просто в користуванні, міняє адресу форми логіну на свою, бажану і ще можна додати додаткову авторизацію.

  • 04.09.2013 at 10:50

    /login-user/enable-logining/are-you-bot/… цікаво, як довго вони шукати будуть сторінку логіну… Не Кіт – спасибі. в мене вже кілька разів ламали сайт – тепер все ок!

  • 14.09.2013 at 16:44

    Ну от ще одна причина переїхати із WP і взагалі CMS.

    • Не бачу прямого зв\’язку. Навіть сайт на html можна \”забрутфорсити\”, якщо, наприклад, там є будь-яка форма, що надсилає інформацію

      • 17.09.2013 at 22:20

        Я до того, що поламати сайт на WP набагато легше ніж наприклад сайт на Ruby on Rails чи Symfony2. За WP постійно треба доглядати, завжди оновлювати його та плаґіни, а також шаблони. Наприклад у мене був випадок, коли тема юзала одну лібу, і в тій лібі був баг, який дозволяв заливати на сервер файли, автор звісно оновлював тему, але для мого сайту оновлена версія не підходила, довелось оновлювати лібу вручну. Короче любий школяр який десь нагуглить вразливості WP зможе попортити життя)

      • 05.07.2014 at 11:29

        Як можна забрутфорсити сайт на html? хай там контактова форма – який саме чином здійснюється \”перебор\” чи підбір, що підбирати то?

        • 05.07.2014 at 11:32

          Згідно вікі:

          Ата́ка по́вного перебо́ру (анг. Brute force) — вид криптоаналізу, який полягає у переборі ключів, з множини можливих.

          Що можна перебирати в простій формі що відсилає інформацію?

          Не плутайте тепле з м\’яким.

    • 04.10.2013 at 01:51

      2 Денис:

      В багатьох випадках без CMS не обійтися, наприклад, запусти інтернет-магазин без CMS. Добре, коли це дуже великий проект і фінансово можливо розробити власну систему управління, яку не зламаєш по тій причині, що там нічого стандартного. А так доводиться сидіти на якійсь адмінці і відбиватися. Або ж один раз зробити так, щоб ніхто не проліз. Навіть елементарно, встановивши нестадартне ім\’я і складний пароль, брутфорсом нічого не підбереш, проблема лишається в тому, що брут вантажить сайт. Саме тому і переіменовують сторінки із формою лоґіну та блокують по ip настирних.
      Ще хороший спосіб – прибрати із конструкції сайту усякі форми, непотрібні скрипти та посилання і приховати wp. Спробуй – http://notacat.com – максимум, що видно, це стандартний шлях типу wp-content ну і ще можна спам прислати із форми контакту. Але ж знову таки – створюючи онлайн-журнал чи магазин, всі форми не прибереш. І чим більше у тебе зареєстрованих користувачів, тим більший ризик хакерства.