Vad är brute force-attacker, vad använder angripare dem för och hur kan du förhindra dessa attacker på din WordPress? Du ställer dig säkert sådana frågor när du hanterar ämnet. Vi har samlat svar på dessa frågor.
Vad är brute force-attacker?
Brute force-attacker är försök att få tillgång till ditt system (i ditt fall förmodligen din WordPress). Detta görs genom att försöka gissa ett användarnamn och lösenord. När allt kommer omkring har det här kontot redan tillgång till systemet.
Det är en mycket enkel och primitiv metod (som namnet antyder - brute force) som fortfarande är mycket effektiv. Samtidigt är det dock också mycket lätt att förhindra.
Vilka typer av brute force-attacker finns det?
Det finns små men subtila skillnader mellan brute force-attacker och deras attackscenarier. De vanligaste arterna kan delas in i 5 kategorier:
- Enkel brute force attack
- Ordbok Attack
- Hybrid Brute Force Attack
- Omvänd brute force attack / lösenordssprutning
- Fyllning av autentiseringsuppgifter
I det följande kommer vi att presentera dig för var och en av dessa kategorier i detalj.
"*" visar obligatoriska fält
1. Enkel Brute Force Attack
Detta är den renaste formen av brute force attack. Hon provar alla kombinationer av karaktärer lite efter lite - utan forskning eller en separat procedur, förutom att helt enkelt räkna tecken upp eller ner.
Denna metod är enkel, men kostar tid eller mycket datorkraft. Men med ständigt ökande processorer eller förmågan att släppa loss många olika system samtidigt på ett mål (till exempel med hjälp av botnät eller molnservrar) är det fortfarande en giltig metod.
Det finns både labbförsök och verkliga applikationer som kan knäcka ett lösenord på 8 tecken på mindre än 12 minuter. I takt med att tekniken utvecklas kommer det att bli ännu snabbare och lättare att ta sig dit. Därför är denna metod fortfarande populär bland angripare som specifikt riktar sig mot ett specifikt mål.
Fördel: Alla lösenord kan gissas.
Nackdel: Det kan ta mycket lång tid och kräver mycket datorarbete.
Bra försvarsmetoder: Använd långa lösenord med ett brett spektrum av tecken.
2. Ordbok Attack
Till skillnad från Metoden Simple Brute Force använder Dictionary Attack en befintlig datauppsättning för testning.
Detta kan vara data från olika källor:
- Faktiska ordböcker (ordböcker), till exempel alla ord från Duden.
- Lösenordslistor som de 10 000 vanligaste lösenorden.
- Lösenord från tidigare överträdelser (användarnamn och lösenord från tidigare hack av webbplatser och applikationer).
Den första varianten blir mindre och mindre viktig, men de två sista har blivit starkare och starkare med åren, för med ökande cyberattacker ökar naturligtvis också mängden data i dessa listor.
Fördel: Eftersom användare gillar att använda lösenord som också märks, gör de det ofta enkelt för sig själva och använder enskilda ord från ordlistan eller namnet om och om igen på alla tjänster, webbplatser och appar. Därför är sannolikheten för framgång ganska hög för att få tillgång till den och metoden är mycket snabbare än en enkel brute force.
Nackdel: Sannolikheten för framgång är inte längre 100%.
Bra försvarsmetoder: Använd inte enskilda ord från ordlistan eller namn, objekt eller liknande. Använd också samma lösenord endast för ett konto och inte för flera.
3. Hybrid Brute Force Attack
Hybrid Brute Force Attack är en kombination av Simple Brute Force Attack och Dictionary Attack.
Här tas ett ord från Simple Brute Force och kombineras med potentiella nummer, som ofta används, till exempel ett födelseår eller bröllopsdag. Detta begränsar drastiskt antalet potentiella försök och förenklar därmed attackprocessen.
Fördel: Denna metod har samma fördel som Dictionary Brute Force, bara här ökas antalet försök och utökas med ett stort antal försök med enkelt tillägg av tecken som smileys i textform eller år (Maga2020 är ett känt exempel).
Nackdel: Som med ordbok brute force är sannolikheten för framgång inte längre 100%.
Bra försvarsmetoder: Avstå från att använda viktiga data eller siffror i lösenord.
4. Omvänd Brute Force Attack eller lösenordssprutning
Här försöker angripare kombinera ett lösenord med olika användarnamn. Så användarnamnet varierar, lösenordet förblir detsamma.
Fördel: Som beskrivits ovan är människor benägna att återanvända sina lösenord och ta dem så märkbart som möjligt. Detta gäller även denna typ av attack. Dessutom är detta en lockout (inloggningslås för kontot) om du försöker för många försök att kringgå samma användarkonto.
Nackdel: Den här metoden kan leda till många åtkomster, men kanske inte till de konton du vill ha.
Bra försvarsmetoder: Eftersom standardlistor för användarkonton vanligtvis också används här (om de inte kan läsas ) är det lämpligt att välja ett användarnamn med många alfanumeriska tecken och specialtecken som är svåra att gissa, som med lösenordet.
5. Fyllning av autentiseringsuppgifter
Även här spelar data från tidigare intrång (se Dictionary Attack, punkt 2) en roll. Fyllning av autentiseringsuppgifter gör inget annat än att återanvända inloggningsdata för befintliga överträdelser.
Har du till exempel någonstans på en webbplats eller en app?
yourmail@yourwebsite.com användarnamn och lösenord Cola123
och dessa data har läckt ut genom ett intrång, angripare kommer att använda dem för att logga in på andra tjänster och applikationer.
Denna attack har en mycket stor chans att lyckas och blir mer och mer populär. Därför är det också en av de farligaste för närvarande.
Om ett av dina konton redan har brutit mot reglerna kan du kontrollera webbplatsen haveibeenpwned.com .
Raidboxes och överträdelser
Kontrollerat när du skapar ett nytt användarkonto Raidboxesom lösenordet någonsin har varit i ett intrång (anonymt och inte spårbart).
Fördel: Även här spelar det in att människor är vanedjur. De flesta använder samma e-postadress och lösenord för många tjänster. En lockout för konton som omvänd brute force förhindras också här.
Nackdel: I denna attack måste det klargöras i förväg om personen på vars konto du vill använda också använder tjänsten / webbplatsen / appen. Men om du bara vill ha åtkomst alls är det en mycket framgångsrik metod.
Bra försvarsmetoder: Använd aldrig samma inloggningsuppgifter flera gånger. Håll dem unika var du än registrerar dig.
Hur skyddar jag min WordPress-webbplats från brute force-attacker?
Jag läser ofta och hör rådet: "Använd bara starka lösenord."
Detta kan vara sant i princip, men med tillräckligt med tid och resurser kan alla inloggningskombinationer knäckas via brute force om du inte använder några andra skyddsåtgärder.
Dessa attacker innebär också en undvikbar belastning på din server - och detta skadar inte bara laddningstiden för din webbplats utan också din plånbok när din värd fakturerar för trafik.
Den bästa metoden är fortfarande inte att aktivera dessa attacker i första hand och att blockera åtkomst helt.
På servernivå
Åtgärd 1: Blockera obehöriga förfrågningar till ditt inloggningsformulär
Du kan använda en säker inloggningskombination, det skulle knäckas med mycket tid, datorkraft och utan ytterligare skydd.
Det mest effektiva sättet är faktiskt att skapa ett skydd som helt blockerar alla obehöriga förfrågningar till ditt WordPress-inloggningsformulär. Detta innebär att de automatiserade och manuella attackerna inte ens kommer igenom. Detta skyddar i slutändan också din server.
Det finns flera sätt att göra detta. Inte alla alternativ passar, det beror på hur tekniskt kunnig du är och hur många inställningsalternativ du har när det gäller dina DNS- och serverinställningar.
Tips: Skapa lista över tillåtna IP-adresser
Skydd: 🔒🔒🔒🔒🔒
Teknisk insats: 🛠️🛠️🛠️
Om du alltid har tillgång till Internet med samma IP-adress, till exempel för att du har din egen VPN eller har en fast IP i din byrå, är den säkraste metoden att skapa en lista över tillåtna för den IP-adressen på / wp-admin och / wp-login.
Apache
Om din webbserver körs på Apache lägger du till den här delen i din .htaccess:
RewriteEngine på
RewriteCond %{REQUEST_URI} ^(.*)?wp-login\.php(.*)$ [ELLER]
RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$
RewriteCond %{REMOTE_ADDR} !^123\.123\.123\.123$
Skriv omRule ^(.*)$ - [R = 403,L]
Viktigt: Observera att i raderna som innehåller REMOTE_ADDR behöver du bara ersätta SIFFRORNA med respektive nummer på din IP.
Om din IP till exempel var 95.217.228.176 bör raden lyda:
RewriteCond %{REMOTE_ADDR} !^95\.217\.228\.176$
Lägg till en separat rad för varje tillåten IP-adress. Starta sedan om Apache-tjänsten för att ändringarna ska träda i kraft.
Nginx
Klistra in det här kodavsnittet i serverblocket i den virtuella värdfilen. Återigen måste du lägga till en tillåt rad för varje tillåten IP-adress.
plats = / wp-inloggning.php {
tillåta 192.168.1.1, #IP 1 rad för varje tillåten IP-adress
tillåt 172.16.1.1, #IP adress 2
förneka alla;
inkludera utdrag / fastcgi-php.conf;
fastcgi_pass unix: / run / php / php7.4-fpm.sock;
}
Starta om nginx-tjänsten för att ändringarna ska träda i kraft.
Tips: Använd CDN-brandväggen
Skydd: 🔒🔒🔒🔒🔒
Teknisk insats: 🛠️
CDN kan ge mycket bra skydd genom att konfigurera brandväggen för att köra en captcha-fråga före inloggningsformuläret.
Här är en handledning för Cloudflare. I den kostnadsfria Cloudflare-planen kan du skapa upp till 5 regler.
1. Logga in på din CloudflareDashboard , gå till Brandvägg och skapa en ny brandväggsregel.
2. Uppgifterna i regeln är:
Det handlar om det.
Tips: Skapa blockeringslista via Fail2Ban
Skydd: 🔒🔒🔒🔒
Teknisk insats: 🛠️🛠️🛠️🛠️
Om du inte har en fast IP-adress och inte använder en CDN kan du skapa en blockeringslista via Fail2Ban. Bra handledning hittar du här:
Observera dock att du måste anpassa detta specifikt till / wp-login URL.
Dricks: Raidboxes Dashboard fördel
Skydd: 🔒🔒🔒🔒🔒
Teknisk insats: 🛠️
I kombination med säkert användarnamn och lösenord och Raidboxes Enkel inloggning.
Raidboxes Kunder har redan en konfigurerbar Anti Brute Force-modul på var och en av sina instanser.
Tillsammans med enkel inloggning är detta en av de högsta säkerhetsinställningarna du kan ha utan tekniskt krångel.
I WordPress själv
När du har gjort dessa steg är du för väl skyddad från attacker.
Men om du inte kan använda den här lösningen eftersom du kanske inte har tillgång till dina serverinställningar eller DNS-poster för att konfigurera ett CDN , har jag några andra steg för dig här.
Åtgärd 2: Förhindra uppräkning av användarnamn
Innan vi vänder oss till säkra lösenord, låt oss börja i början: med användarnamnet.
Användarnamn står för 50 procent av åtkomsten - och WordPress gör det tyvärr väldigt enkelt att läsa användarens (inloggning) namn för alla skapade konton med administratörsrättigheter. Och automatiserad. Du kan förhindra detta genom att antingen göra det själv och säkra din WordPress - eller genom att installera följande plugins.
Tips: Lösning via plugins
Skydd: 🔒🔒🔒
Teknisk insats: 🛠️
Insticksprogram 1: Felmeddelanden för enhetlig inloggning
Detta plugin undertrycker utdata från olika felmeddelanden vid felaktiga inloggningsförsök. Eftersom WordPress för närvarande utfärdar ett annat felmeddelande om ett användarnamn finns eller inte. Detta gör det enkelt att se om den angivna användaren finns.
Plugin 2: Stoppa användaruppräkning
Stop User Enumeration gör exakt vad det står: Det blockerar obehöriga förfrågningar till din WordPress, till exempel för att läsa användarnamn via författararkivet.
Tips: Lösning via funktioner.php
Skydd: 🔒🔒🔒
Teknisk insats: 🛠️🛠️
Om du föredrar att ta kontroll själv kan du justera funktionerna.php för ditt aktiva tema ( gör en säkerhetskopia i förväg).
Lägg till följande kod:
PHP-kod
// If the user is not authenticated as an admin
if (!is_admin()) {
// RegEx to check if the request went to an “/author=INT” endpoint
if (preg_match('/author=([0-9]*)/i', $_SERVER['QUERY_STRING'])) die(); add_filter('redirect_canonical', 'stop_user_enum', 10, 2);
}
function stop_user_enum($redirect, $request) {
// // RegEx to check if the the request went to an “/author=INT” endpoint but with the permalink furl format
if (preg_match('/\?author=([0-9]*)(\/*)/i', $request)) die(); else return $redirect;
}
Dricks: Raidboxes Dashboard fördel
Skydd: 🔒🔒🔒
Teknisk insats: 🛠️
Raidboxes Kunderna drar nytta av redan färdiga lösningar i Raidboxes Dashboard. Det finns inget mer att göra här än att anställa dem.
Åtgärd 3: "Använd bara starka lösenord"
Anmärkning: För Raidboxes När vi registrerar ett nytt konto ber vi om saker när vi tilldelar lösenord som gör brute force-frågor mycket svårare. Detta inkluderar:
- Angiven minsta längd
- Komplexitet
- om lösenordet finns i ordlistan (engelska eller tyska)
- om den innehåller ett datum
- om det någonsin har varit i ett känt lösenordsintrång (anonymt och inte spårbart)
Lösenord är bristfälliga: eftersom de är gissningsbara (brute force), läsbara (nyckelloggare, etc.), läsbara (på grund av ingen eller dålig kryptering / lagring i datalager), känner bara igen auktoriseringen av en enhet, men inte identiteten på personen bakom den och är vanligtvis svåra att komma ihåg (om de är "säkra").
För det senare problemet finns det lösenordshanterare som 1Password, BitWarden, KeePass och mer.
Om vi befinner oss i WordPress-miljön måste vi komma överens med det faktum att vi måste använda lösenord.
Så vad är ett "säkert" lösenord?
Ett säkert lösenord är ett långt lösenord som har en viss grad av komplexitet.
Ja, lösenordslängd är viktigare än komplexitet. Ett lösenord på 8 tecken kan gissas för $ 25 USD inom 12 minuter , även om det består av massor av specialtecken, stora bokstäver och siffror.
Följande GIF illustrerar mycket bra varför längd har mer vikt än komplexitet:
Hackare känner inte heller för att investera mycket pengar eller tid i intensiva beräkningar av långa lösenord. Därför är tumregeln: ju längre ditt lösenord är, desto bättre!
Men långa och komplexa lösenord är svåra att komma ihåg!
Det är sant, men i tider med lösenordshanterare behöver vi bara komma ihåg ett långt och komplext lösenord och få resten skapat och lagrat av dessa chefer.
Om vi har det här lösenordet och i bästa fall ändrar det ibland är vi på den säkra sidan.
Här är en öppen hemlighet om hur du skapar långa, komplexa lösenord och kommer ihåg dem direkt:
Det betyder att vi kan ta denna XKCD-serietidning till hjärtat och skapa ett långt lösenord enligt ett av följande mönster:
Tågsäte+grusväg-7Eark
Eller så använder vi hela meningar med lite extra komplexitet:
Ich_Mag_Spinat_nur-3 _Mal_am_Tag
Vi har skapat en relativt meningslös mening med specialtecken och ett nummer, vilket är mycket mycket svårt att gissa och samtidigt märkbart (plus poäng för rimmet). Detta kallas också en lösenfras.
Många lösenordshanterare som BitWarden skapar sådana märkbara men komplexa lösenfraser åt dig.
Tillägg: Använd ett säkert användarnamn
Som nämnts ovan: 50 procent av din åtkomst är användarnamnet.
Om en attackerande person känner till den här delen av åtkomsten, är hälften klar. Allt som återstår är lösenordet. Så använd inte användarnamn som admin, administratör eller ditt namn, använd inte namnet på webbplatsen eller domänen eller något som har att göra med själva sidan.
Exempel
Om din webbplats heter www.ireallylovecats.com, ta inte ett namn som innehåller något om katter .
Ännu bättre, ta samma lösenordstrick ovanifrån och använd en lång mening och lägg till komplexitet som asfalt / burk / också / med / 7 / kryddor.
Skapa lösenord på Raidboxes
Skapa ett lösenord och användarnamn med maximal längd (i WordPress för närvarande 60 tecken för användarnamnet och 64 tecken för lösenordet, se databasegenskaper) och många bokstäver, siffror och specialtecken - använd sedan helt enkelt enkel inloggning i Dashboard. Säker inloggning med ett klick.
Åtgärd 4: Säkerhetsplugins
Tips: Allround-plugins
Skydd: 🔒🔒🔒🔒
Teknisk ansträngning: 🛠️🛠️ upp till 🛠️🛠️🛠️
Det finns många WordPress-säkerhetsplugins på marknaden, till exempel:
Alla dessa säkerhetsplugins erbjuder inbyggt brute force-skydd och mycket mer. För de flesta WordPress-webbplatser räcker det att installera och underhålla dessa plugins som skydd. På samma sätt är konfiguration och underhåll minimalt.
Ändå har plugins en (i de flesta fall liten) nackdel: belastningen på servern genom brute force kan inte minskas med sådana plugins. Dessa plugins behöver en PHP-process för att kontrollera om det är en giltig åtkomst, om IP-adressen inte finns på blocklistan
Allt detta belastar servern per begäran. Naturligtvis, fortfarande mindre än ett inloggningsförsök i sig - och tills servern verkligen påverkas måste attacken ta på sig nästan D / DOS-dimensioner - men det ska inte ignoreras.
Men tillbaka till de många fördelarna med plugins: Om de alltid hålls uppdaterade upptäcks och mildras även nya attacker snabbt utan att du behöver ge en hand.
Tips: Dölj WP-inloggning
Skydd: 🔒
Teknisk insats: 🛠️
"Säkerhet genom dunkelhet" är en fras för denna metod som ofta nämns i säkerhet.
Det innebär i slutändan att försöka stoppa attacker genom att bara fördunkla ett problem. Detta fungerar bra i några fall, eftersom brute force-attacker inte går igenom inloggningsformuläret utan använder frågeparametrar för att starta inloggningsförsöken.
Bara för att standardadressen som /wp-admin eller /wp-login.* inte kan anropas kommer dessa attacker inte att sluta.
Slutsats
Jag hoppas att jag kunde förklara de olika typerna av brute force-attacker och ge dig tips om hur du skyddar din WordPress från dem i framtiden. Om du har ytterligare frågor ser vi fram emot din kommentar!
