Dnešní tweet Tomáše Krause o soustavných útocích hackerů (respektive jejich robotů), kteří se snaží slovníkovými útoky dostat do administrace našich WordPress webů, mě upřímně řečeno trochu vyděsil.
Rozhodl jsem se tedy podívat se na možnosti, jak se těmto útokům bránit, aniž bych řešením problému musel strávit dlouhé hodiny.
Jak hackeři obvykle pracují
Zjistit uživatelské jméno, které používáte pro přihlášení do administrace, je poměrně jednoduché. WordPress totiž při nesprávně použitém loginu vypíše chybovou hlášku „Incorrect username“. Drtivá většina webmasterů navíc bez rozmyslu používá jako uživatelské jméno defaultní „admin“ (přiznávám se bez mučení – jsem mezi nimi)
Hlavním problémem pro hackera tedy je zjistit heslo. Už od úsvitu internetových dějin existují pro tyto účely různě efektivní metody a nástroje, které je možné stáhnout a, bez větších nároků na inteligenci či znalosti, jednoduše použít.
Nejpoužívanější (i když časově nejnáročnější) jsou různé slovníkové útoky nazývané též „brute-force attacks“ (neboli útok hrubou silou)
Jejich princip spočívá v opakovaném (a automatizovaném) zkoušení všech různých možností, až dokud se vám nepodaří najít tu správnou. Úspěšný útok je tedy jen otázkou času a statistiky, používáte-li jednoduchá a snadno zapamatovatelná hesla, jen to případným útočníkům usnadňujete.
WordPress v základní výbavě vůbec neeviduje chybné pokusy o přihlášení ani je nijak neomezuje, útočník tak s pomocí svého robota může na útoku pracovat několik hodin nebo dnů, aniž by byl čímkoli rušen.
Řešení
Jedním z možných řešení celého problému je uzamknout administraci po X neúspěšných pokusech o přihlášení. K tomu samozřejmě není potřeba nic programovat – existují pluginy, které to udělají za vás. Jedním z nich je právě Login Lockdown, který vám chci dnes představit.
Pokud hacker zadá mnohokrát chybné heslo (výchozí omezení je na 3 pokusy, ale je možné to pochopitelně změnit), plugin zaznamená jeho IP adresu a na hodinu mu zamezí další pokusy.
Plugin také umí upravit chybovou hlášku zobrazovanou při chybně zadaném uživatelském jméně. Útočník pak ani nepozná, jestli zadává správné jméno nebo ne (to však bude fungovat asi jen v případě, kdy nepoužíváte výchozího admina)
Instalace pluginu je velmi jednoduchá – můžete ji provést buď přímo v administraci (zadejte „Login Lockdown“ v pluginech) nebo jej můžete stáhnout na této adrese.
