Med disse 7 foranstaltninger kan du Brute Force Angreb løber ind i tomrummet

Tobias Schüring Senest opdateret den 20.
8 Min.
Med mindst 4 milliarder individuelle angreb i år, Brute Force angreb er uden tvivl den største trussel mod WordPress Sider.
Senest opdateret den 20.

Med flere milliarder individuelle angreb om året, Brute Force angreb er uden tvivl den største trussel mod WordPress Sider. Heldigvis er denne type angreb også meget klodset og let at narre. Vi viser dig fire enkle og hurtige handlinger mod hackerangrebene. Og også tre mere komplekse beskyttelsesmekanismer.

Alene i april 2017 Wordfence mere end en milliard Brute Force Angreb på WordPress sider over hele verden. Og det er bare en tilnærmelse - antallet af urapporterede tilfælde er igen meget højere. Angrebene, der automatisk forsøger at gætte adgangskoder og brugernavne, udgør således en stor risiko for WordPress sider over hele verden. Men ikke kun det. Mere end 37,5 procent af de 10 millioner største websteder, der i øjeblikket kører under WordPress . Og det betyder, at spørgsmålet om effektive WordPress påvirker også internettet som helhed.

Hvis du vil vide præcis, hvordan Brute Force angreb arbejde, og hvor farlige de er, så tjek vores Baggrundsartikel om emnet Brute Force angreb.

På trods af deres store antal er der gode nyheder: Der er fornuftige sikkerhedsforanstaltninger mod Brute Force Angreb, som du selv kan implementere uden stor indsats og frem for alt uden programmeringsviden. Og der er foranstaltninger, der kræver mindst grundlæggende i forbindelse med .htaccess-filen.

Disse syv foranstaltninger står på spil i dag:

  1. Stærke adgangskoder (meget vigtigt!)
  2. Brug ikke "admin" som brugernavn
  3. Begræns antallet af ugyldige logon
  4. Totrinsgodkendelse
  5. Login på flere niveauer
  6. Sortlistning
  7. Skjul login-område (er kontroversielt)

1. Brug en stærk adgangskode

En stærk adgangskode bruges som beskyttelse mod Brute Force Angreb ekstremt vigtigt. Bots og botnets bruger enorme adgangskodedatabaser til deres "gættespil". Disse er prøvet rent ud. Jo mere usædvanligt og vanskeligt din adgangskode er, jo mere sandsynligt er det, at den vises.

Jo længere og vanskeligere din adgangskode er, jo længere skal bots også knække den, hvis de desuden forsøger at gætte adgangskoden uden en liste.

Din adgangskode bør derfor være forskellige tegnkombinationer fra ...

  • 10 forskellige tal (0 til 9)
  • 52 forskellige bogstaver (A til Z og a til z)
  • 32 forskellige specialtegn ...

... og være på mindst 8 tegn.

Password Manager Password-Depot indeholder nogle klare beregningseksempler. Her antages det, at en stærk enkelt computer kan generere to milliarder adgangskoder i sekundet. Helt konkret betyder det:

  • En adgangskode på 5 tegn (3 små bogstaver, 2 tal) har 60 466 176 kombinationer og kan knækkes på 0,03 sekunder.
  • En adgangskode med 8 tegn (4 små bogstaver, 2 specialtegn, 2 tal) har allerede 457 163 239 653 376 mulige kombinationer. Her tager computeren omkring to og en halv dag.
  • Og en adgangskode på 12 tegn (3 store bogstaver, 4 små bogstaver, 3 specialtegn, 2 tal) har hele 475 920 314 814 253 376 475 136 kombinationer. Det tager 7,5 millioner år for en enkelt computer at knække denne adgangskode.

I WordPress codex bruger Plugin Gennemtving stærke adgangskoder. Dette tvinger brugerne til at vælge komplekse adgangskoder. Dette gør dette Plugin siderne er ikke direkte mere sikre, men det uddanner brugerne til at bruge stærke adgangskoder. Og især hvis du arbejder på vegne af dine kunder, kan denne lille hjælpeforanstaltning være meget praktisk.

Du behøver ikke at huske adgangskoderne!

Adgangskodeadministratorer hjælper dig med at oprette og administrere sikre adgangskoder. Du behøver kun at huske en hovedadgangskode (selvfølgelig så kompleks som muligt). Programmet gør resten for dig. Der er allerede installeret et program med navnet Keychain Management på Apple-computere. Cloud-baserede værktøjer til administration af adgangskoder som 1Password, LastPass eller KeyPass fungerer på samme måde.

Så du behøver ikke at huske alle dine adgangskoder. Især hvis du har mere end én side og bruger en række tjenester, er professionel adgangskodestyring en velsignelse.

2. Brug ikke brugernavnet "admin"

Som jeg sagde: Brute Force Angreb er dybest set gætte forsøg. Så du bør gøre det så svært som muligt for hackere at gætte dit brugernavn. Brug derfor ikke WordPress standard brugernavn "admin" - og derfor ikke bruge den, systemet har forudindstillet for dig. Da dette brugernavn også gælder for alle andre WordPress brugere som standard.

3. Bloker logonsiden efter for mange mislykkede forsøg

Brute Force Angreb tester tusinder og atter tusinder af kombinationer af brugernavne og adgangskoder. Omvendt betyder det, at du genererer tusinder og atter tusinder af loginforsøg for at begrænse.

Så din server vil bemærke, at der er noget i bushen. Med en passende Plugin du kan vælge at blokere adgangen efter et vist antal mislykkede forsøg, så hackere skal sætte deres angreb på hold. Du kan bruge denne beskyttelse, f.eks. Plugin f.eks. forsøg på at begrænse logon i WP eller begrænse logonforsøg, der er genindlæst.

På RAIDBOXES har alle WordPress installere funktionen til at begrænse logonforsøg, integreret som standard. Hvis en person eller bot forsøger at logge ind på dit websted for ofte med de forkerte legitimationsoplysninger, blokerer vi i første omgang den pågældende IP i 20 minutter. Hvis loginforsøgene fortsætter med forkerte data, blokeres IP'en endda i 24 timer. Selvfølgelig kan du også definere antallet af forsøg og låseperioden selv.

Begræns loginforsøg, og Co. har en udløbsdato

I dette tilfælde Plugins Der er dog en vigtig ting at forstå: at begrænse logonforsøgene på en IP-adresse har en alvorlig sårbarhed. Den kan ikke forudse skift af en IP-adresse. Det betyder, at for eksempel .B angreb med botnets kun kan afvises smertefuldt eller slet ikke. Den nye generation af IP-adresser (IPv6-adresser) gør det også muligt for en enkelt hacker at skifte IP-adresse i brøkdele af et sekund. Dette øger faren ved botnetangreb.

Og: Et stort antal Brute Force Angreb bør ikke blot være gætte spil. Fordi, som fakturaen i afsnittet om sikre adgangskoder viser, kan selv et botnet med en million enheder ikke gætte tilsvarende sikre adgangskoder. Derfor arbejder mange hackere med adgangskodelister. Dette reducerer antallet af logonforsøg til kombinationsindstillingerne for det respektive adgangskodebibliotek.

Selvom det stadig giver mening at begrænse loginforsøg pr. IP, vil vigtigheden af denne backupmekanisme falde hurtigt i fremtiden. Den eneste virkelig sikre beskyttelsesmekanisme mod angreb med skiftende IP'er er tofaktorautentisering.

4. Tofaktorautentisering

Bag begrebet tofaktorautentisering ligger ideen om at anmode om en anden bekræftelse ud over adgangskoden, når du logger ind. Dette er normalt en anden alfanumerisk kode. Det særlige ved dette er, at det overføres uden for den faktiske registreringsprocedure - for eksempel via en kodegenerator eller en mobiltelefon. Og kun ejeren af denne enhed er i stand til at logge ind.

Med Google Authenticator-appen og en tilsvarende Plugin dette gør avanceret godkendelse relativt let for WordPress Gennemføre. Ofte anvendt, f.eks. Plugins Google Authenticator af Hendrik Schack eller Google Authenticator af miniOrange.

Hvis du vil installere den ekstra sikkerhedsbeskyttelse, skal du indlæse Google-appen på din d'or-e-* Plugin I WordPress . Der genereres en QR-kode her, som du kan scanne med appen. Du kan også oprette kontoen manuelt. Nu er din WordPress brugerkonto og appen på din telefon.

Appen genererer nu en ny sikkerhedskode hvert 30. sekund. Hver bruger, for hvem tofaktorgodkendelse er aktiveret, vil nu se linjen "Google Authenticator Code" i loginområdet ved siden af "Brugernavn" og "Adgangskode". Så for at logge ind har han brug for den smartphone, hvor koderne genereres. Store sikkerheds-plugins som f.eks. Wordfence tilbyde en lignende mekanisme.

Selv om processen med dobbelt autentificering lyder kompleks, er det en meget god Brute Force Angreb. Især med hensyn til ovennævnte skift fra IPv4 til IPv6-adresser.

Stærke adgangskoder, ændring af brugernavnet, Plugins såsom Begræns loginforsøg og tofaktorgodkendelse er alle foranstaltninger, du kan implementere nemt, hurtigt og uden programmeringsevner. Og frem for alt beskytter den ekstra godkendelse og virkelig sikre adgangskoder også effektivt mod Brute Force Angreb.

Hvis du vil, kan du gøre mere. Du kan sikre dit WP-administrationsområde med en ekstra adgangskode, oprette en sortliste eller hvidliste eller skjule dit WP-administrationsområde. Men alle disse foranstaltninger har en tendens til ikke at tilbyde mere sikkerhed, men er mere tilbøjelige til at blive betragtet som muligheder eller alternativer.

5. Yderligere adgangskodebeskyttelse

Hvis du vil WordPress på en Apache-server, har du mulighed for at operere uden Plugin indføre en loginprocedure på flere niveauer. Fordi hver eneste WordPress -installation på en Apache-server indeholder en såkaldt .htaccess-fil. I denne fil kan du gemme kode til yderligere HTTP-godkendelse for at installere yderligere adgangskodebeskyttelse på logonsiden. Serveren kræver en adgangskode for at give besøgende mulighed for at logge på login-masken overhovedet.

Beskyt wp-login
AuthUserFile .htpasswd
 AuthName "Privat adgang"
 AuthType Grundlæggende
 kræver bruger mysecretuser

Med denne kommando oprettes en adgangskodeforespørgsel, selv før wp-admin-området overhovedet kan kaldes. Her indtaster du et ekstra brugernavn og en ekstra adgangskode for overhovedet at komme til loginområdet. Dataene for den ekstra bruger skal dog defineres i .htpasswd. For at gøre dette skal brugernavnet og adgangskoden indsættes i filen i krypteret form. Den WordPress Codex forklarer, hvordan denne proces fungerer grundlæggende.

6. Sortlistning &hvidlistning

Hvor vi er på .htaccess: Med denne fil kan du implementere endnu en kraftfuld beskyttelse. Nogle få kodelinjer får kun visse IP'er til at have adgang til WordPress instrumentbrættet eller individuelle mapper.

Det kan du gøre ved at gemme en ekstra .htaccess med følgende kode i den tilsvarende mappe – helst wp-admin:

Bloker adgang til wp-admin.
 afkræfte,tillade
 tillade fra x.x.x.x
 benægte fra alle

Selvfølgelig skal du erstatte x.x.x.x.x med de IPs, du vil have adgang til siden. Eksemplet viser en hvidliste, som er en liste over IP'er, der har adgang til siden. Det betyder, at login-siden er låst for alle andre VIP'er. Forresten er rækkefølgen af kommandoerne - "tillad" efterfulgt af "benægte" - ekstremt vigtig, fordi de udføres sekventielt. Kom først "benægte fra alle", du også stå foran lukkede døre.

En sortliste ville gennemføre den stik modsatte mekanisme: den ville afgøre, hvilke IP'er der ikke må få adgang til siden. For begge er der selvfølgelig også plugin-løsninger. For eksempel velkendte sikkerheds-plugins som All In One WP Security, Wordfence eller Sucuri, en sortliste- eller hvidlistefunktion ad gangen. Det skal dog bemærkes, at disse tre Plugins selvfølgelig meget mere end blot at skabe blaklists eller whitelists. Derfor bør du ikke installere dem udelukkende til disse funktioner. Et populært alternativ ville være Plugin Loginizer, som i øjeblikket har mere end 500.000 aktive installationer.

7. Skjul login-området

Brute Force Angreb angriber din login-side. En meget enkel måde at forhindre angrebene på er derfor ikke at lade angriberne på login-siden i første omgang. Til dette formål skjuler nogle webmastere loginmasken. Login-området er derefter kun tilgængeligt via en hemmelig URL.

Denne foranstaltning følger det (kontroversielle) sikkerhedsmæssige princip gennem ubemærkethed og er ikke en fornuftig sikkerhedsforanstaltning i sig selv. Vi ved RAIDBOXES er ikke gode venner af dette princip. For hvis du implementerer ovenstående foranstaltninger, har du allerede sikret dit login-område meget godt og behøver ikke at udsætte det yderligere. Denne foranstaltning kan dog bidrage til den opfattede sikkerhed, hvilket kan være særligt vigtigt for opfattelsen af dine kunder.

Hvis du vil skjule dit wp-admin-område, kan du bruge et af de store sikkerheds-plugins (som som sagt tilbyder mange flere funktioner). Eller du kan prøve en af disse populære Plugins Fra:

Som jeg sagde: Efter vores mening er skjule wp-admin ikke en fornuftig foranstaltning - i hvert fald ikke for at beskytte dit websted fra Brute Force beskytte angreb. Hvis du har valgt en stærk adgangskode og implementeret en nyttig IP-udelukkelsesprocedure eller tofaktorgodkendelse, risikerer du en vellykket IP-udelukkelsesprocedure eller tofaktorgodkendelse. Brute Force allerede er blevet reduceret betydeligt.

Konklusion

Med en aktuel markedsandel på mere end 32 pct. WordPress langt den største CMS i verden. Det vil sandsynligvis ikke ændre sig i fremtiden. Den Sandsynlighedsmål for en Brute Force Så at blive et angreb er rent matematisk ekstremt højt. Det skal du være opmærksom på. Heldigvis er det dog også meget nemt at beskytte dig mod dem. Fordi et par foranstaltninger, dvs sikre adgangskoder og to-faktor-autentificering, kan gennemføres i et øjeblik og helt uden programmering viden.

Og du kan også bruge de angiveligt vanskeligere foranstaltninger, såsom sort eller whitelisting, en ekstra adgangskodebeskyttelse eller låsemekanisme til loginområdet. Plugins Gennemføre. Så hvis du kun bemærker de første tre eller fire punkter i dette indlæg, er du allerede god mod Brute Force Angreb. Selvfølgelig kan du altid gøre mere, dvs. oprette yderligere adgangskodebeskyttelse eller oprette sorte eller hvidelister. Men i sådanne tilfælde bør du overveje, om jo flere sikkerhedsmekanismer der faktisk er det værd, især med hensyn til administrativ indsats.

Som systemadministrator overvåger Tobias vores infrastruktur og finder alle justeringsskruer for at optimere vores serveres ydeevne. På grund af hans utrættelige indsats, er han ofte også Slack findes.

Lignende artikler

Kommentarer til denne artikel

Skriv svar på en

Din e-mailadresse vil ikke blive offentliggjort. Obligatoriske felter er markeret med *.