V poslední době koluje po internetu informace o tom, že se hackeři pomocí automatizovaných slovníkových útoků snaží získat přístup do administrátorských účtů webů, které používají WordPress. Proč tomu tak je, a co se s tím něco dělat?
Proč to vlastně dělají?
Jednoduše, pro peníze. Když někdo získá administrátorský přístup do cizího webu, může si tam dělat co chce. Dá si na web své reklamní články, odkazy, viry apod. To vše se dá monetizovat. Proč se útočí na WordPress? Jednoduše, protože při instalaci se automaticky vytváří účet s loginem Admin a heslem, který si nastavíte. No, a protože účet s loginem Admin maže jen pár lidí, tak stačí dále uhodnout jen heslo, které si často i administrátoři volí velmi snadné, viz. aféra nedávno s administrátorským heslem Banka123 v bance. Mimo to, hodně uživatelů ani nemá ponětí o tom, že by bylo lepší login admin, root apod. vůbec nepoužívat. Proto, jsem zcela na svém VPS, zakázal takovéto účty.
Co se s tím dá dělat?
První a asi nejjednodušší možností je smazat účet Admin a vytvořit si jiný administrátorské účet. Osobně jsem si vytvořil nový administrátorský účet a u původního Admin účtu provedl změnu práv na návštěvníka, protože jsem nechtěl riskovat převedení příspěvků pod můj nový účet. Takto zabezpečený login by měl být dostatečný, aby zdolal nápor slovníkového útoku. Zde je dobré si uvědomit, že slovníkové útoky jsou značně primitivní. Inteligentní hacker však váš login dokáže s poměrně velkou úspěšností uhodnout.
Další z možností zabezpečení je nainstalovat nějaký captcha plugin, který vás bude nutit opisovat nečitelný text. Opět se jedná o jednoduchý způsob zabezpečení stránek, který vás ochrání také před spamem. Zkusit můžete třeba plugin, který je jednoduše pojmenovaný Captcha.
Jedním z dalších a poměrně dobrých způsobů, jak si zabezpečit přihlašování je pomocí dvoufázové autentizace, kterou nabízí Google. Vše je strašně jednoduché. Nainstalujete si plugin Google Authenticator, který si v nastavení účtů povolíte pro jednotlivé účty. Ve svém účtu si pak opíšete secret kód do aplikace, kterou si stáhnete do mobilu. Na Google Play je to oficiální program Google Authenticator, který existuje i pro iPhone a BlackBerry. Při přihlašování pak budete ze svého mobilu opisovat pravidelně se měnící plovoucí kód. Jak jsem již napsal, povolit dvoufázovou autentizaci lze jen pro konkrétní účty, takže nemusíte tím zatěžovat ne administrátorské účty.
Dvoufázovou autentizaci si můžete povolit u svého Google účtu. Pozor na to, že starší telefony tuto autentizaci nepodporují. Naštěstí se to dá obejít vygenerováním extra hesla pro mobily, který stačí zadat při přihlašování jen jednou. Tento krok vám bude nabídnut po povolení dvoufázové autentizace svého účtu.
httpvh://www.youtube.com/watch?v=17rykTIX_HY
Existuje ještě jeden způsob, jak si zabezpečit svůj login, ale o jeho efektivnosti pochybuji. Skript wp-login.php lze zaheslovat pomocí .htaccess souboru. Tuto metodu zde nebudu popisovat, protože si nemyslím, že má nějaký větší efekt a mimo to je dost protivná. Koho to zajímá, nechť se podívá na tento návod.
Na závěr pamatujte, že je potřeba používat nesnadno uhodnutelná hesla a nepoužívat loginy jako admin, administrator, root, admin123 apod.