Med dessa 7 åtgärder kan du Brute Force Attacker löper in i tomrummet

Tobias Schüring Senast uppdaterad den 20 oktober 2020
8 Min.
Med minst 4 miljarder enskilda attacker i år- Brute Force attacker är utan tvekan det största hotet mot WordPress Sidor.
Senast uppdaterad den 20 oktober 2020

Med flera miljarder enskilda attacker per år, Brute Force attacker är utan tvekan det största hotet mot WordPress Sidor. Lyckligtvis är denna typ av attack också mycket klumpig och lätt att lura. Vi visar dig fyra enkla och snabba åtgärder mot hackerattackerna. Och dessutom ytterligare tre komplexa skyddsmekanismer.

Bara i april 2017 Wordfence mer än en miljard Brute Force Attacker på WordPress sidor över hela världen. Och det är bara en approximation – antalet orapporterade fall är återigen mycket högre. De attacker som automatiskt försöker gissa lösenord och användarnamn utgör således en stor risk för WordPress sidor över hela världen. Men inte bara det. Mer än 37,5 procent av de 10 miljoner största webbplatserna som för närvarande drivs under WordPress . Och det innebär att frågan om effektiva skyddsåtgärder för WordPress påverkar också Internet som helhet.

Om du vill veta exakt hur Brute Force attacker fungerar och hur farliga de är, kolla in våra Bakgrundsartikel om ämnet Brute Force attacker.

Trots det stora antalet finns det goda nyheter: det finns förnuftiga säkerhetsåtgärder mot Brute Force Attacker som du kan genomföra själv utan mycket ansträngning och framför allt utan programmeringskunskap. Och det finns åtgärder som kräver åtminstone grunderna för att hantera .htaccess-filen.

Dessa sju åtgärder står på spel i dag:

  1. Starka lösenord (mycket viktiga!)
  2. Använd inte "admin" som användarnamn
  3. Begränsa antalet ogiltiga inloggningar
  4. Tvåfaktorsautentisering
  5. Inloggning på flera nivåer
  6. Svartlistning
  7. Dölj inloggningsområde (är kontroversiellt)

1. Använd ett starkt lösenord

Ett starkt lösenord används som skydd mot Brute Force Attacker extremt viktiga. Bots och botnets använder enorma lösenordsdatabaser för sina "gissningsspel". Dessa prövas rakt på sak. Desto mer ovanligt och svårt är ditt lösenord, desto mer sannolikt är det att det visas.

Ju längre och svårare ditt lösenord är, desto längre bots måste också knäcka det om de dessutom försöker gissa lösenordet utan en lista.

Ditt lösenord bör därför vara olika teckenkombinationer från ...

  • 10 olika tal (0 till 9)
  • 52 olika bokstäver (A till Ö och a till z)
  • 32 olika specialtecken ...

... och vara minst 8 tecken lång.

Password Manager Password-Depot ger några tydliga beräkningsexempel. Här antas det att en stark enda dator kan generera två miljarder lösenord per sekund. Konkret innebär detta:

  • Ett lösenord på 5 tecken (3 gemener, 2 siffror) har 60 466 176 kombinationer och kan knäckas på 0,03 sekunder.
  • Ett lösenord med 8 tecken (4 gemener, 2 specialtecken, 2 siffror) har redan 457 163 239 653 376 möjliga kombinationer. Här tar datorn ungefär två och en halv dag.
  • Och ett lösenord på 12 tecken (3 versaler, 4 gemener, 3 specialtecken, 2 siffror) har hela 475 920 314 814 253 376 475 136 kombinationer. Det tar 7,5 miljoner år för en enda dator att knäcka detta lösenord.

I WordPress codex kommer att använda Plugin Framt tvinga fram starka lösenord. Detta tvingar användare att välja komplexa lösenord. Detta gör detta Plugin sidorna är inte direkt säkrare, men det utbildar användare att använda starka lösenord. Och särskilt om du arbetar för dina kunders räkning kan denna lilla stödåtgärd vara mycket praktisk.

Du behöver inte komma ihåg lösenorden!

Lösenordshanterare hjälper dig att skapa och hantera säkra lösenord. Du behöver bara komma ihåg ett huvudlösenord (naturligtvis så komplext som möjligt). Programmet gör resten åt dig. Apple-datorer har redan ett program som heter Keychain Management installerat. Molnbaserade lösenordshanteringsverktyg som 1Password, LastPass eller KeyPass fungerar på samma sätt.

Så du behöver inte komma ihåg alla dina lösenord. Särskilt om du har mer än en sida och använder en mängd olika tjänster är professionell lösenordshantering en välsignelse.

2. Använd inte användarnamnet "admin"

Som jag sa: Brute Force Attacker är i princip gissningsförsök. Så du bör göra det så svårt som möjligt för hackarna att gissa ditt användarnamn. Använd därför inte WordPress standard användarnamn "admin" - och därför inte använda den som systemet har förinställning för dig. Eftersom det här användarnamnet också gäller för alla andra WordPress användare som standard.

3. Blockera inloggningssidan efter för många misslyckade försök

Brute Force Attacker testar tusentals och åter tusentals kombinationer av användarnamn och lösenord. Omvänt innebär detta att du genererar tusentals och åter tusentals inloggningsförsök att begränsa.

Så din server kommer att märka att det finns något i busken. Med en lämplig Plugin du kan välja att blockera åtkomst efter ett visst antal misslyckade försök, så att hackare måste lägga sin attack på is. Du kan använda detta skydd, till exempel via en Plugin till exempel WP Limit Login Attempts eller Limit Login Attempts Reloaded.

På RAIDBOXES har alla WordPress installera funktionen för att begränsa inloggningsförsök, integrerade som standard. Om en person eller bot försöker logga in på din webbplats för ofta med fel autentiseringsuppgifter kommer vi inledningsvis att blockera IP i fråga i 20 minuter. Om inloggningsförsöken fortsätter med felaktiga data kommer IP till och med att blockeras i 24 timmar. Naturligtvis kan du också definiera antalet försök och lockoutperioden själv.

Begränsa inloggningsförsök och Co. har ett utgångsdatum

I det här fallet bör Plugins Det finns dock en viktig sak att förstå: att begränsa inloggningsförsöken för en IP-adress har en allvarlig sårbarhet. Den kan inte förutse bytet av en IP-adress. Detta innebär till exempel att .B med botnets bara kan avvisas smärtsamt eller inte alls. Den nya generationens IP-adresser (IPv6-adresser) gör det också möjligt för en enskild angripare att byta ip-adress i bråkdelar av en sekund. Detta ökar faran med botnetattacker.

Och: Ett stort antal Brute Force Attacker bör inte bara vara gissningsspel. Eftersom, som fakturan i avsnittet om säkra lösenord visar, kan inte ens ett botnet med en miljon enheter gissa på motsvarande sätt säkra lösenord. Det är därför många hackare arbetar med lösenordslistor. Detta minskar antalet inloggningsförsök till kombinationsalternativen för respektive lösenordsbibliotek.

Även om det fortfarande är meningsfullt att begränsa inloggningsförsök per IP, kommer vikten av denna säkerhetskopieringsmekanism att minska snabbt i framtiden. Den enda verkligt säkra skyddsmekanismen mot attacker med ändrade IPs är tvåfaktorsautentisering.

4. Tvåfaktorsautentisering

Bakom konceptet med tvåfaktorsautentisering ligger tanken på att begära en andra bekräftelse utöver lösenordet när du loggar in. Detta är vanligtvis en annan alfanumerisk kod. Det speciella med detta är att det överförs utanför det faktiska registreringsförfarandet - till exempel via en kodgenerator eller en mobiltelefon. Och bara ägaren till den här enheten kan logga in.

Med Google Authenticator-appen och en motsvarande Plugin detta gör avancerad autentisering relativt enkel för WordPress Genomföra. Används ofta, till exempel Plugins Google Authenticator av Hendrik Schack eller Google Authenticator av miniOrange.

Om du vill installera det extra säkerhetsskyddet läser du in Google-appen på din d'or-e-* Plugin I WordPress . En QR-kod genereras här, som du kan skanna med appen. Alternativt kan du skapa kontot manuellt. Nu är din WordPress användarkonto och appen på din telefon.

Appen genererar nu en ny säkerhetskod var 30:e sekund. Varje användare för vilken tvåfaktorsautentisering är aktiverad kommer nu att se raden "Google Authenticator Code" i inloggningsområdet bredvid "Användarnamn" och "Lösenord". Så för att logga in behöver han smarttelefonen där koderna genereras. Stora säkerhetsplugin som Wordfence erbjuda en liknande mekanism.

Även om processen med dubbel autentisering låter komplex är det ett mycket bra skydd mot Brute Force Attacker. Särskilt när det gäller ovannämnda switch från IPv4 till IPv6-adresser.

Starka lösenord, ändra användarnamnet, Plugins t.ex. Begränsa inloggningsförsök och tvåfaktorsautentisering är alla mått som du enkelt, snabbt och utan programmeringsfärdigheter kan implementera. Och framför allt skyddar den ytterligare autentiseringen och riktigt säkra lösenorden också effektivt mot Brute Force Attacker.

Om du vill kan du göra mer. Du kan skydda ditt WP-administratörsområde med ytterligare ett lösenord, skapa en svartlista eller vitlista eller dölja ditt WP-administratörsområde. Alla dessa åtgärder tenderar dock inte att erbjuda mer säkerhet, utan är mer benägna att ses som alternativ eller alternativ.

5. Ytterligare lösenordsskydd

Om du vill WordPress på en Apache-server har du möjlighet att arbeta utan att Plugin införa en inloggningsprocedur på flera nivåer. Eftersom varje WordPress installation på en Apache-server innehåller en så kallad HTACCESS-fil. I den här filen kan du lagra kod för ytterligare HTTP-autentisering för att installera ytterligare lösenordsskydd på inloggningssidan. Servern kräver ett lösenord så att besökare kan logga in på inloggningsmasken alls.

Skydda wp-login
AuthUserFile .htpasswd (på)/s.
 AuthName "Privat åtkomst"
 AuthType Grundläggande
 kräva användarens mysecretuser

Med det här kommandot skapas en lösenordsfråga redan innan wp-admin-området kan kallas alls. Här anger du ytterligare ett användarnamn och lösenord för att komma till inloggningsområdet alls. Data för den ytterligare användaren måste dock definieras i .htpasswd. För att göra detta måste användarnamnet och lösenordet infogas i filen i krypterad form. Den WordPress Codex förklarar hur den här processen fungerar i grunden.

6. Svartlistning & vitlistning

Där vi är på .htaccess: Med den här filen kan du implementera ännu ett kraftfullt skydd. Några kodrader gör att endast vissa IPs har tillgång till WordPress instrumentpanel eller enskilda kataloger.

För att göra detta kan du lagra ytterligare en .htaccess med följande kod i motsvarande katalog - helst wp-admin:

Blockera åtkomst till wp-admin.
 order neka,tillåta
 tillåt från x.x.x.x
 neka från alla

Naturligtvis måste du ersätta x.x.x.x.x med de IPs som du vill ha tillgång till sidan. Exemplet visar en vitlista, som är en lista över IPs som får komma åt sidan. Detta innebär att inloggningssidan är låst för alla andra IPs. Förresten är kommandonas ordning - "tillåt" följt av "förneka" - extremt viktig eftersom de utförs sekventiellt. Kom först "förneka från alla", du står också framför stängda dörrar.

En svart lista skulle genomföra den exakta motsatta mekanismen: det skulle avgöra vilka IPs som inte får komma åt sidan. För båda finns det naturligtvis också plugin-lösningar. Till exempel välkända säkerhetsplugin som All In One WP Security, Wordfence eller Sucuri, en svartlista eller vitlista funktion i taget. Det bör dock noteras att dessa tre Plugins Naturligtvis mycket mer än att bara skapa blaklister eller vitlistor. Därför bör du inte installera dem uteslutande för dessa funktioner. Ett populärt alternativ skulle vara Plugin Loginizer, som för närvarande har mer än 500 000 aktiva installationer.

7. Dölj inloggningsområdet

Brute Force Attacker attackerar din inloggningssida. Ett mycket enkelt sätt att förhindra attackerna är därför att inte låta angriparna på inloggningssidan i första hand. För detta ändamål döljer vissa webbansvariga inloggningsmasken. Inloggningsområdet är då endast tillgängligt via en hemlig URL.

Denna åtgärd följer den (kontroversiella) säkerhetsprincipen genom dunkel och är inte en förnuftig säkerhetsåtgärd i sig. Vi på RAIDBOXES är inte goda vänner till denna princip. För om du genomför ovanstående åtgärder har du redan säkrat ditt inloggningsområde mycket bra och behöver inte skjuta upp det ännu mer. Denna åtgärd kan dock bidra till den upplevda säkerheten, vilket kan vara särskilt viktigt för dina kunders uppfattning.

Om du vill dölja ditt wp-admin-område kan du använda ett av de stora säkerhetspluginerna (som, som sagt, erbjuder många fler funktioner). Eller så kan du prova en av dessa populära Plugins Från:

Som jag sa: Enligt vår mening är det inte en förnuftig åtgärd att dölja wp-admin – åtminstone inte för att skydda din webbplats från Brute Force skydda attacker. Om du har valt ett starkt lösenord och implementerat en användbar IP-uteslutningsprocedur eller tvåfaktorsautentisering löper du risken för en lyckad IP-uteslutningsprocedur eller tvåfaktorsautentisering. Brute Force attacken redan har minskat avsevärt.

Slutsats

Med en nuvarande marknadsandel på mer än 32 procent WordPress den överlägset största CMS i världen. Det kommer sannolikt inte att förändras i framtiden. Den Sannolikhetsmål för en Brute Force Så att bli en attack är rent matematiskt extremt högt. Du måste vara medveten om det. Lyckligtvis är det dock också mycket lätt att skydda dig mot dem. Eftersom några åtgärder, det vill säga säkra lösenord och tvåfaktorsautentisering, kan implementeras på några ögonblick och helt utan programmeringskunskap.

Och du kan också använda de förmodligen svårare åtgärderna, till exempel svart eller vitlistning, ett extra lösenordsskydd eller låsmekanism för inloggningsområdet. Plugins Genomföra. Så om du bara märker de första tre eller fyra poängen i det här inlägget, är du redan bra mot Brute Force Attacker. Naturligtvis kan du alltid göra mer, dvs skapa ytterligare lösenordsskydd eller ställa in svartvita listor. Men i sådana fall bör du överväga om ju fler säkerhetsmekanismer som verkligen är värda det, särskilt när det gäller administrativa insatser.

Som systemadministratör övervakar Tobias vår infrastruktur och hittar varje justeringsskruv för att optimera prestandan hos våra servrar. På grund av sina outtröttliga ansträngningar är han ofta också Slack som ska hittas.

Liknande artiklar

Kommentarer om den här artikeln

Skriva en kommentar

Din e-postadress kommer inte att publiceras. Obligatoriska fält är markerade med *.