Блоґ про WordPress

Атака на сайти, що працюють на WORDPRESS

Сттатя містить важливу інформацію для власників сайтів на WordPress.
Спосіб захисту, описаний в статті, можна адаптувати під себе, якщо ви не є клієнтами нашого хостингу.
Для цього потрібно дізнатись в свого хостера абсолютний шлях до директорії з сайтами та вписати його замість /var/www/ВАШ_ЛОГІН_В_Хостинг_Панелі/data/www/

Про що йде мова:

Шановні, по всьому світі сайти на платформі WordPress були атаковані зловмисниками.
Подібна активність помічена багатьма хостинг-провайдерами.
Використовуючи тисячі IP-адрес та підбираючи паролі, невідомі намагаються отримати доступ до панелі керування сайтом.

Аби захистити ваш сайт від підбору паролів, пропонуємо вам наступний спосіб захисту (додаткові логін та пароль для захисту панелі керування)

Оригінал статті і продовження - МАСОВА АТАКА НА САЙТИ WORDPRESS

Зверніть увагу: ця публікація побачила світ більше року тому, з того часу багато чого могло змінитися ;)
Дмитро Кондрюк
Дмитро Кондрюк

В веб-індустрії з 2003 року. В 2009р. заснував проект Український WordPress (що у подальшому став офіційним сайтом команди локалізації WordPress в Україні).
З 2010 року засновник і технічний директор проекту Український хостинг для WordPress (WPHost.me) – повноцінного хостинг-сервісу, максимально оптимізованого на використання CMS WordPress.

Коментарів 16

  • А не простіше обмежити кількість невдалих спроб входу і/або поставити затримку після неправильного введення (наприклад 10 секунд).
    • при масованому брутфорсі можуть надмірно навантажити ресурси хостингу/серверу, тому в подібних одиничних випадках раджу тимчасово захиститись через .htaccess - так не використовуються зайві ресурси і більше шансів, що сайт буде працювати навіть під час масованого підбору
      • Це якщо діти бавляться .htaccess поможе.... Якщо рулить ботнет. То тіко підключати сторонні сервіси захисту від ДОСа. При масованому брутфорсі - сервер по-любому ляже, якщо не натягнути презерватив....
        • Ви, мабуть, трохи не в темі. Ваші слова вірні, при розмовах саме про ддос і лише про досить потужний. В цій статті розповідається саме про масовий брутфорс, дія якого спрямована на чітко визначені файли (оскільки у популярних CMS відомо, за якими посиланнями проходить авторизація), і захиститись від цього не складно, заборонивши до цих файлів доступ.
      • Як писали вище https://wordpress.co.ua/blog/ataka-na-sajty-scho-pratsyuyut-na-wordpress.html#comment-3028 - захист через плагіни більш ресурсоємний для серверу, ніж через .htaccess. Тому треба дивитись по ситуації - якщо окремі випадки підбору паролей, то плагін більш зручний, якщо більш масовано підбирають - через .htaccess
  • Скористайтеся оцим плагіном: http://wordpress.org/plugins/lockdown-wp-admin/ банально просто в користуванні, міняє адресу форми логіну на свою, бажану і ще можна додати додаткову авторизацію.
  • /login-user/enable-logining/are-you-bot/... цікаво, як довго вони шукати будуть сторінку логіну... Не Кіт - спасибі. в мене вже кілька разів ламали сайт - тепер все ок!
      • Я до того, що поламати сайт на WP набагато легше ніж наприклад сайт на Ruby on Rails чи Symfony2. За WP постійно треба доглядати, завжди оновлювати його та плаґіни, а також шаблони. Наприклад у мене був випадок, коли тема юзала одну лібу, і в тій лібі був баг, який дозволяв заливати на сервер файли, автор звісно оновлював тему, але для мого сайту оновлена версія не підходила, довелось оновлювати лібу вручну. Короче любий школяр який десь нагуглить вразливості WP зможе попортити життя)
      • Як можна забрутфорсити сайт на html? хай там контактова форма - який саме чином здійснюється "перебор" чи підбір, що підбирати то?
        • Згідно вікі: Ата́ка по́вного перебо́ру (анг. Brute force) — вид криптоаналізу, який полягає у переборі ключів, з множини можливих. Що можна перебирати в простій формі що відсилає інформацію? Не плутайте тепле з м'яким.
    • 2 Денис: В багатьох випадках без CMS не обійтися, наприклад, запусти інтернет-магазин без CMS. Добре, коли це дуже великий проект і фінансово можливо розробити власну систему управління, яку не зламаєш по тій причині, що там нічого стандартного. А так доводиться сидіти на якійсь адмінці і відбиватися. Або ж один раз зробити так, щоб ніхто не проліз. Навіть елементарно, встановивши нестадартне ім'я і складний пароль, брутфорсом нічого не підбереш, проблема лишається в тому, що брут вантажить сайт. Саме тому і переіменовують сторінки із формою лоґіну та блокують по ip настирних. Ще хороший спосіб - прибрати із конструкції сайту усякі форми, непотрібні скрипти та посилання і приховати wp. Спробуй - http://notacat.com - максимум, що видно, це стандартний шлях типу wp-content ну і ще можна спам прислати із форми контакту. Але ж знову таки - створюючи онлайн-журнал чи магазин, всі форми не прибереш. І чим більше у тебе зареєстрованих користувачів, тим більший ризик хакерства.

Поділіться з друзями.

Ми впевнені, що це може бути корисним для інших і для нашого сайту також )