S těmito 7 opatřeními můžete Brute Force Útoky naběhnou do prázdnoty

Tobias Schüring Naposledy aktualizováno 20. října 2020
8 min.
S nejméně 4 miliardami individuálních útoků v tomto roce, Brute Force útoky jsou pravděpodobně největší hrozbou pro WordPress Stránky.
Naposledy aktualizováno 20. října 2020

S několika miliardami individuálních útoků ročně, Brute Force útoky jsou pravděpodobně největší hrozbou pro WordPress Stránky. Naštěstí je tento typ útoku také velmi neohrabaný a snadno ošidný. Ukážeme vám čtyři jednoduché a rychlé akce proti útokům hackerů. A také tři složitější ochranné mechanismy.

Jen v dubnu 2017 poskytovatel zabezpečení Wordfence více než miliarda Brute Force Útoky na WordPress stránky po celém světě. A to je jen aproximace – počet neohlášených případů je opět mnohem vyšší. Útoky, které se automaticky pokoušejí uhodnout hesla a uživatelská jména, tak představují velké riziko pro WordPress stránky po celém světě. Ale nejen to. Více než 37,5 procenta z 10 milionů největších webových stránek, které jsou v současné době provozovány WordPress . A to znamená, že otázka účinných záruk pro WordPress ovlivňuje také internet jako celek.

Pokud chcete přesně vědět, jak Brute Force útoky fungují a jak jsou nebezpečné, podívejte se na naše Článek na pozadí na toto téma Brute Force útoky.

Navzdory jejich velkému počtu jsou dobré zprávy: existují rozumná bezpečnostní opatření proti Brute Force Útoky, které můžete implementovat bez většího úsilí a především bez znalostí programování. A existují opatření, která vyžadují alespoň základy při práci se souborem .htaccess.

V sázce je dnes těchto sedm opatření:

  1. Silná hesla (velmi důležitá!)
  2. Nepoužívejte "admin" jako uživatelské jméno
  3. Omezit počet neplatných přihlášení
  4. dvoufázové ověření
  5. Víceúrovňové přihlášení
  6. Černé listiny
  7. Skrýt přihlašovací oblast (je kontroverzní)

1. Použijte silné heslo

Silné heslo se používá jako ochrana před Brute Force Útoky jsou nesmírně důležité. Boti a botnety používají obrovské databáze hesel pro své "hádající hry". Ty jsou vyzkoušeny bez obalu. Čím neobvyklejší a obtížnější je vaše heslo, tím je pravděpodobnější, že se objeví.

Čím delší a obtížnější je vaše heslo, tím delší roboti ho budou muset také prolomit, pokud se navíc pokusí uhodnout heslo bez seznamu.

Vaše heslo by proto mělo být odlišné kombinace znaků od ...

  • 10 různých čísel (0 až 9)
  • 52 různých písmen (A až Z a a až z)
  • 32 různých speciálních znaků ...

... a musí mít alespoň 8 znaků.

Password Manager Password-Depot poskytuje několik jasných příkladů výpočtu. Zde se předpokládá, že silný jeden počítač může generovat dvě miliardy hesel za sekundu. Konkrétně to znamená:

  • Heslo o 5 znacích (3 malá písmena, 2 čísla) má 60 466 176 kombinací a lze je prolomit za 0,03 sekundy.
  • Heslo s 8 znaky (4 malá písmena, 2 speciální znaky, 2 čísla) již má 457 163 239 653 376 možných kombinací. Tady počítač trvá asi dva a půl dne.
  • A heslo o 12 znacích (3 velká písmena, 4 malá písmena, 3 speciální znaky, 2 čísla) má neuvěřitelných 475 920 314 814 253 376 475 136 kombinací. Trvá 7,5 milionu let, než jeden počítač prolomí toto heslo.

In WordPress bude používat Plugin Vynutit silná hesla. To nutí uživatele zvolit složitá hesla. To způsobuje, že Plugin stránky nejsou přímo bezpečnější, ale vzdělává uživatele k používání silných hesel. A zejména pokud pracujete jménem svých zákazníků, může být toto malé opatření pomoci velmi praktické.

Nemusíte si pamatovat hesla!

Správci hesel vám pomohou vytvářet a spravovat zabezpečená hesla. Musíte si pamatovat pouze hlavní heslo (samozřejmě co nejsložitější). Program udělá zbytek za vás. Počítače Apple již mají nainstalovanou aplikaci s názvem Keychain Management. Cloudové nástroje pro správu hesel, jako je 1Password, LastPass nebo KeyPass, fungují stejným způsobem.

Takže si nemusíte pamatovat všechna hesla. Zejména pokud máte více než jednu stránku a používáte různé služby, profesionální správa hesel je požehnáním.

2. Nepoužívejte uživatelské jméno "admin"

Jak jsem řekl: Brute Force Útoky jsou v podstatě pokusy o hádání. Takže byste měli hackerům co nejvíce ztížit uhodnout vaše uživatelské jméno. Nepoužívejte proto WordPress výchozí uživatelské jméno "admin" - a proto nepoužívejte to, které má systém přednastavený pro vás. Vzhledem k tomu, že toto uživatelské jméno platí také pro všechny ostatní WordPress uživatelé ve výchozím nastavení.

3. Zablokujte přihlašovací stránku po příliš mnoha neúspěšných pokusech

Brute Force Útoky testují tisíce a tisíce kombinací uživatelských jmen a hesel. Naopak to znamená, že vygenerujete tisíce a tisíce přihlašovacích pokusů o omezení.

Takže váš server si všimne, že je něco v buši. S vhodným Plugin Můžete se rozhodnout blokovat přístup po určitém počtu neúspěšných pokusů, takže hackeři musí svůj útok blokovat. Tuto ochranu můžete použít například prostřednictvím Plugin například pokusy o omezení přihlášení WP nebo pokusy o omezení opětovného načtení přihlášení.

Na RAIDBOXES má každý WordPress instalaci funkce pro omezení pokusů o přihlášení, která je ve výchozím nastavení integrována. Pokud se osoba nebo robot pokusí přihlásit k vašemu webu příliš často pomocí nesprávných přihlašovacích údajů, zpočátku zablokujeme 20 minut 15 dní. Pokud pokusy o přihlášení pokračují s nesprávnými údaji, IP adresa bude dokonce zablokována po dobu 24 hodin. Samozřejmě můžete také definovat počet pokusů a dobu uzamčení sami.

Omezit pokusy o přihlášení a spol. mají datum vypršení platnosti

V tomto případě Plugins Je však důležité pochopit jednu důležitou věc: omezení pokusů o přihlášení adresy IP má vážnou chybu zabezpečení. Nelze předvídat přepnutí adresy IP. To znamená, že například .B s botnety mohou být odraženy pouze bolestivě nebo vůbec. Nová generace ip adres (IPv6 adres) také umožňuje jedinému útočníkovi přepínat svou IP adresu ve zlomcích sekundy. To zvyšuje nebezpečí, které představují útoky botnetu.

A: Velké množství Brute Force Útoky by neměly být pouhými hádajícími hrami. Protože, jak ukazuje faktura v části o zabezpečených heslech, ani botnet s milionem zařízení nedokáže uhodnout odpovídajícím způsobem zabezpečená hesla. To je důvod, proč mnoho hackerů pracuje se seznamy hesel. Tím se sníží počet pokusů o přihlášení k možnostem kombinace příslušné knihovny hesel.

I když omezení pokusů o přihlášení na IP stále dává smysl, význam tohoto mechanismu zálohování se v budoucnu rychle sníží. Jediným skutečně bezpečným ochranným mechanismem proti útokům s měnícími se IP je dvoufaktorové ověřování.

4. Dvoufaktorové ověřování

Za konceptem dvoufaktorového ověřování se skrývá myšlenka požádat o druhé potvrzení kromě hesla při přihlášení. Obvykle se jedná o další alfanumerický kód. Zvláštní na tom je, že je přenášen mimo skutečný registrační postup – například prostřednictvím generátoru kódu nebo mobilního telefonu. A pouze majitel tohoto zařízení se může přihlásit.

S aplikací Google Authenticator a odpovídajícím Plugin Díky tomu je pokročilé ověřování relativně snadné pro WordPress Implementovat. Často se používá, například Plugins Google Authenticator od Hendrika Schacka nebo Google Authenticator od miniOrange.

Chcete-li nainstalovat dodatečnou ochranu zabezpečení, načtete aplikaci Google na své d'or-e-* Plugin In WordPress . Zde je generován QR kód, který můžete skenovat pomocí aplikace. Případně můžete účet vytvořit ručně. Teď je tvoje WordPress uživatelského účtu a aplikace v telefonu.

Aplikace nyní generuje nový bezpečnostní kód každých 30 sekund. Každému uživateli, pro kterého je povoleno dvoufaktorové ověřování, se nyní zobrazí řádek "Kód ověřovatele Google" v přihlašovací oblasti vedle "Uživatelské jméno" a "Heslo". Takže pro přihlášení potřebuje smartphone, na kterém jsou kódy generovány. Velké bezpečnostní pluginy, jako jsou Wordfence nabídnout podobný mechanismus.

Ačkoli proces duálního ověřování zní složitě, je to velmi dobrá ochrana proti Brute Force Útoky. Zejména s ohledem na výše uvedený přechod z IPv4 na IPv6 adresy.

Silná hesla, změna uživatelského jména, Plugins jako jsou pokusy o omezení přihlášení a dvoufaktorové ověřování, to vše jsou opatření, která můžete implementovat snadno, rychle a bez programovacích dovedností. A především dodatečné ověřování a skutečně bezpečná hesla také účinně chrání před Brute Force Útoky.

Jestli chceš, můžeš udělat víc. Oblast správce služby WP můžete zabezpečit dalším heslem, vytvořit černou listinu nebo seznam whitelist nebo skrýt oblast správy služby WP. Všechna tato opatření však obvykle nenabízejí větší bezpečnost, ale je pravděpodobnější, že budou považována za možnosti nebo alternativy.

5. Dodatečná ochrana heslem

Pokud chcete WordPress na serveru Apache, máte možnost pracovat bez Plugin zavést víceúrovňový postup přihlášení. Protože každý WordPress instalace na apache serveru obsahuje tzv. .htaccess soubor. V tomto souboru můžete uložit kód pro další ověřování HTTP a nainstalovat další ochranu heslem na přihlašovací stránku. Server vyžaduje heslo, které návštěvníkům umožní vůbec se přihlásit k přihlašovací masce.

Ochrana přihlášení pomocí wp
AuthUserFile .htpasswd
 AuthName "Soukromý přístup"
 Základní typ AuthType
 vyžadovat uživatele mysecretuser

Pomocí tohoto příkazu je dotaz na heslo vytvořen ještě před tím, než lze zavolatt oblast wp-admin. Zde zadáte další uživatelské jméno a heslo, abyste se vůbec dostali do přihlašovací oblasti. Data pro dalšího uživatele však musí být definována v .htpasswd. Chcete-li to udělat, uživatelské jméno a heslo musí být vloženy do souboru v šifrované podobě. Tá WordPress Kodex vysvětluje, jak tento proces funguje v zásadě.

6. Blacklisting & Whitelisting

Kde jsme na .htaccess: S tímto souborem můžete implementovat další výkonnou ochranu. Několik řádků kódu způsobuje, že pouze určité IP mají přístup k WordPress řídicího panelu nebo jednotlivých adresářů.

Chcete-li to udělat, můžete uložit další .htaccess s následujícím kódem v odpovídajícím adresáři – nejlépe wp-admin:

Zablokujte přístup ke správci wp.
 odmítnutí objednávky,povolit
 povolit z x.x.x.x
 odepřít od všech

Samozřejmě musíte nahradit x.x.x.x.x pomocí IPs, ke které chcete mít přístup na stránku. Příklad ukazuje seznam povolených položek, což je seznam IP, které mají povolen přístup ke stránce. To znamená, že přihlašovací stránka je uzamčena pro všechny ostatní IP. Mimochodem, pořadí příkazů - "povolit" následované "popírat" - je nesmírně důležité, protože jsou prováděny postupně. Na prvním místě "popírat od všech", i ty stojíš před zavřenými dveřmi.

Černá listina by zavedla přesný opačný mechanismus: určila by, které IP nebudou mít přístup ke stránce. Pro oba samozřejmě existují také pluginová řešení. Například známé bezpečnostní pluginy, jako je All In One WP Security, Wordfence nebo Sucuri, funkce blacklistu nebo whitelistu najednou. Je však třeba poznamenat, že tyto tři Plugins samozřejmě mnohem víc než jen vytváření blaklistů nebo whitelistů. Proto byste je neměli instalovat výhradně pro tyto funkce. Oblíbenou alternativou by bylo Plugin Loginizer, který má v současné době více než 500 000 aktivních instalací.

7. Skryjete přihlašovací oblast

Brute Force Útoky napadne vaši přihlašovací stránku. Velmi jednoduchým způsobem, jak zabránit útokům, je proto nepustit útočníky na přihlašovací stránku. Za tímto účelem někteří webmasteři skrývají přihlašovací masku. Přihlašovací oblast je pak přístupná pouze prostřednictvím tajné adresy URL.

Toto opatření se řídí (kontroverzní) zásadou bezpečnosti prostřednictvím tmy a samo o sobě není rozumným bezpečnostním opatřením. My v RAIDBOXES nejsou velkými přáteli tohoto principu. Protože pokud provedete výše uvedená opatření, již jste velmi dobře zabezpečili svou přihlašovací oblast a nemusíte ji dále odkládat. Toto opatření však může přispět k vnímané bezpečnosti, což může být obzvláště důležité pro vnímání vašich zákazníků.

Pokud chcete skrýt oblast wp-admin, můžete použít jeden z velkých bezpečnostních pluginů (které, jak jsem řekl, nabízejí mnohem více funkcí). Nebo můžete vyzkoušet jeden z těchto oblíbených Plugins Z:

Jak jsem řekl: Podle našeho názoru není skrytí wp-admin rozumným opatřením – alespoň ne k ochraně vašeho webu před Brute Force chránit útoky. Pokud jste vybrali silné heslo a implementovali užitečný postup vyloučení IP nebo dvoufaktorové ověřování, riskujete úspěšné vyloučení IP nebo dvoufaktorové ověřování. Brute Force útok již byl výrazně snížen.

Závěr

Při současném podílu na trhu více než 32 procent, WordPress zdaleka největší CMS na světě. To se v budoucnu pravděpodobně nezmění. Tá Cíl pravděpodobnosti Brute Force Takže stát se útokem je, čistě matematicky, extrémně vysoké. Musíš si toho být vědom. Naštěstí je však také velmi snadné se před nimi chránit. Protože několik opatření, tj. bezpečná hesla a dvoufaktorové ověřování, lze implementovat během několika okamžiků a zcela bez znalosti programování.

A můžete také použít údajně obtížnější opatření, jako je černá nebo whitelisting, další ochrana heslem nebo mechanismus uzamčení přihlašovací oblasti. Plugins Implementovat. Takže pokud si všimnete pouze prvních tří nebo čtyř bodů tohoto příspěvku, jste již dobří proti Brute Force Útoky. Samozřejmě můžete vždy udělat více, tj. vytvořit další ochranu heslem nebo nastavit černé nebo bílé seznamy. V takových případech byste však měli zvážit, zda více bezpečnostních mechanismů skutečně stojí za to, zejména pokud jde o administrativní úsilí.

Jako správce systému společnosti monitoruje Tobias naši infrastrukturu a najde veškeré body pro optimalizaci výkonu našich serverů. Vzhledem k jeho neúnavnému úsilí ho lze často nalézt na Slacku i v noci.

Podobné články

Komentáře k tomuto článku

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Povinná pole jsou označena *.