При освещении в СМИ вируса NotPetya не сообщалось, что он мог наделать еще больше зла. Например, брутфорс на парламент Великобритании. Это является еще одним напоминанием того, что brute force остается глобальной угрозой:

Это также наводит нас на важные вопросы — в первую очередь, как такое могло произойти:

Подобные проблемы заставляют задуматься о том, что нужно глубже исследовать этот тип атаки.

Определение brute force

На данный момент существуют два основных метода взлома в Сети: использование человеческих ошибок или догадки. Допущенные ошибки лежат в основе множества атак: фишинг ( ошибка пользователя ), использование недостатков конфигурации ( ошибка администратора ) или уязвимости нулевого дня ( ошибка разработчика ). Но на предположениях основан другой тип атак — brute force .

Чаще всего брутфорс атаки используются для подбора учетных данных. Хотя их можно применять для взлома URL-адреса .

Классическая brute force атака — это попытка « угадать » пароль в ПК, когда злоумышленник завладел зашифрованным его значением.

Оно позволяет хакеру использовать мощные компьютеры для тестирования большого количества паролей без риска быть обнаруженным. С другой стороны, такая brute force атака не может быть первым этапом. Для этого злоумышленник должен уже иметь копию зашифрованных паролей.

Онлайн-атака — это, когда злоумышленник пытается взломать функцию входа в систему или приложение с помощью подбора учетных данных. Так как ему не нужно сначала получать зашифрованные пароли, хакер может использовать этот метод при попытке проникнуть в систему.

Имеют ли место brute force атаки онлайн?

Одновременно подобрать имя пользователя и пароль непросто. Большинство систем при неудачном входе в систему не сообщают, что было введено неверно: имя пользователя или пароль. Первый шаг, который предпринимает злоумышленник — это попытка атаковать известных пользователей.

Хакер может находить имена пользователей, используя открытые исследования. Во многих организациях, например, логины пользователей имеют предсказуемую структуру, основанную на имени сотрудника. Простой поиск в LinkedIn позволяет выявить большое количество имен пользователей.

Тем не менее, этот тип классической brute force атаки онлайн является скорее гипотетической. Причина проста: у большинства современных систем и приложений есть встроенная блокировка. Если пользователю не удается войти в систему за несколько попыток, учетная запись блокируется и для ее разблокировки требуется вмешательство администратора.

Сегодня такая защита от брутфорса создает больше головной боли для IT-отделов , чем для злоумышленников. Обработка таких блокировок становится более насущным вопросом, чем обнаружение brute force.

Исключение составляют пользовательские приложения. Хотя традиционный вход в Windows не может быть использован для brute force , новое веб-приложение, разработанное специально для предстоящей маркетинговой кампании, вполне для этого подходит.

Рост количества случаев credential stuffing

В то время как классические онлайн-атаки с использованием brute force , идут на убыль, credential stuffing только набирает обороты.

Credential stuffing — это атака, в которой злоумышленники используют пары имя пользователя / пароль, украденные с общедоступных сайтов, чтобы проникнуть в атакуемую систему.

Количество успешных атак на общедоступные сайты увеличивается, и злоумышленники публикуют базы учетных данных или продают их на подпольных биржах. Предположение, которое слишком часто оправдывается, заключается в следующем: люди используют одинаковое имя пользователя и пароль на разных сайтах.

Подбор пароля брутфорсом при Credential stuffing позволяет обойти блокировку, поскольку каждое имя пользователя вводится только один раз. Использование известной пары имя пользователя / пароль увеличивает вероятность успеха с меньшим количеством попыток.

Поскольку в качестве контрмеры блокировка не эффективна, организации часто применяют двухфакторные механизмы аутентификации. Двухфакторная аутентификация требует, чтобы у пользователя было что-то еще помимо пароля. Например, номер мобильного, на который пользователь может получить текстовое сообщение.

Поскольку двухфакторная аутентификация громоздка, успешная аутентификация обычно одобряется на основе любого « аналогичного » доступа. « Аналогичный » доступ может представлять собой использование одного и того же устройства или географического местоположения.

Многие из нас сталкивались с сайтами, требующими двухфакторной аутентификации при обращении с нового устройства, публичной сети или во время поездок.

Хотя двухфакторная аутентификация является надежным решением, она имеет существенные недостатки: при ней изменяется пользовательский интерфейс и она предполагает интерактивный вход в систему.

Нет ничего более раздражающего, чем натолкнуться на двухфакторную аутентификацию при входе со смартфона. В результате эта опция часто оставляется на усмотрение пользователя в качестве дополнительного варианта. Поэтому возникает необходимость в системе обнаружения, связанной с использованием аналитики, которая бы распознавала метод брутфорса.

Обнаружение brute force атак

Часто рекомендуемый метод обнаружения brute force атак связан с определением классических атак. Это обнаружение нескольких неудачных попыток входа в систему для одного пользователя за короткий промежуток времени.

Многие рекомендации для начинающих при создании правил корреляции SIEM ( Security Information and Event Management ) делают упор на обнаружение brute force атак именно по такому сценарию. Хотя это изящный и простой путь, но он предназначен для определения практически несуществующего вектора атак.

Фактор, который дает возможность идентифицировать brute force атаку при аутентификации — это большое количество неудачных попыток входа в систему. Но поскольку пользователь не может быть ключом к обнаружению, система должна сосредоточиться на другом ключе, чтобы связать поток событий, составляющих атаку.

Один из методов — отслеживание неудачных попыток аутентификации с одного IP-адреса . Но публичные IP-адрес а становятся более дорогими, поэтому все больше пользователей получают общий IP-адрес .

Чтобы справиться с этой проблемой, механизм обнаружения должен определять нормальную скорость соединений или сбоев от исходного IP-адреса , чтобы установить, какой будет ненормальная скорость. Тем самым принимая во внимание тот факт, что несколько пользователей могут подключаться к одному и тому же IP-адресу .

Детектор также может использовать отпечаток устройства ( комбинацию свойств в событии аутентификации, характерных для устройства ) для дифференциации конкретного источника из числа тех, которые используют один и тот же IP-адрес . Но это не может быть основным фактором, а лишь способствует проверке потенциального злоумышленника. Большинство таких отпечатков находятся под контролем злоумышленника и могут быть подделаны.

Распределенные брутфорс атаки, например, путем использования ботнета или перенаправления через сеть прокси-серверов TOR , еще больше усложняют задачу. Отслеживание источника становится неэффективным. Фильтрация устройств может работать до определенной степени. Особенно если атака выполняется одним источником, но через несколько маршрутов. В качестве дополнительной меры можно использовать информацию о потенциальных угрозах, которая помогает идентифицировать доступ с известных узлов бот-сетей или прокси-серверов.

Практика обнаружения атак

До сих пор мы предполагали, что события, анализируемые для установления атаки, являются ярко выраженными. Любое событие неудавшегося входа в систему определяется как успешная или безуспешная попытка, а имя пользователя всегда находится в одном поле и имеет один формат.

Но обработка потока событий для подготовки их к анализу и обнаружению брутфорс также является проблемой, которую нужно рассматривать отдельно.

В качестве примера возьмем Windows , самый распространенный источник. Событие входа в систему Windows ( идентификатор события 4624 ) и событие неудачного входа Windows ( идентификатор события 4625 ) регистрируются локально на каждом компьютере. Это делает более сложным сбор информации. Это также означает, что злоумышленник, который владеет компьютером, может заблокировать ее получение. Контроллер домена регистрирует событие аутентификации, которое может использоваться как прокси для события входа в систему.

Когда поймем, какие события отслеживать, нам все равно нужно знать, как правильно идентифицировать успешную или безуспешную попытки входа в систему. Успешная или безуспешная попытки локального входа — это отдельные события, которые для аутентификации контроллера домена помечаются внутри события.

Приведенные ниже результаты поиска в Splunk ( в поисковом хранилище GoSplunk ), которые я использовал для идентификации успешных и безуспешных попыток входа в Windows , демонстрируют уровень знаний, необходимых для извлечения такой информации из событий. Это даже без учета аутентификации контроллера домена.

Обнаружение атак через Cyber Kill-Chain

Обнаружение brute force атак является непростой задачей при защите от брутфорса WordPress . Ни один из методов обнаружения, описанных выше, не дает 100-процентной гарантии результата, а злоумышленники в свою очередь постоянно совершенствуют методы противодействия их обнаружению.

Поэтому крайне важно, чтобы любая система, используемая для обнаружения brute force атак, включала в себя нестандартные алгоритмы и, чтобы эти алгоритмы обнаружения постоянно обновлялись.

Атака брутфорс. Какова защита от атаки ?

Что ещё можно предпринять или защита от атаки брутфорс .

Об одной из возможностей предотвратить вторжение атаки брутфорс говорилось в начале предыдущей статьи. Речь идёт о блокировке IP-адреса, с которого зафиксированы неудачные попытки войти в систему. Но проблема для хакера решается использование целого листа прокси-серверов, которые отсылают лишь несколько запросов с одного и того же IP, меняя затем адрес на другой. Вот один из таких списков:

Немногие из сайтов блокируют менее двух-трёх попыток, следовательно, хакер может настроить атаку с помощью нескольких подборов на один прокси. Обладая списком в несколько тысяч дееспособных прокси-серверов, хакер может успешно попробовать до десятка тысяч вариантов и при том всём не быть пойманным. Шансы небольшие, но есть. И некоторые из ресурсов, которые нередко подвергаются таким атакам, стараются распознавать и запоминать IP-адреса прокси-серверов и сразу отсеивают их (отправляют в бан).

Один из неожиданно результативных вариантов типа ” защита от атаки брутфорс ” оказалась простая настройка сервера на неверную попытку подбора пароля на вариант, когда в случае неправильного варианта пароля или логина пользователь не возвращается на ту же страницу авторизации, а попадает на страничку ошибки (знаменитая Ошибка 404 или 401 ). Эту настройку можно перехитрить. Потому можно к настройкам сайта добавить генерацию различных надписей при неправильных логине или/и пароле.

Некоторые автоматизированные брутфорс-утилиты позволяют хакерам учитывать появление поля «неверное имя пользователя или пароль», и позволяют хакеру подбирать следующую комбинацию. Простейший способ обмануть такую утилиту – заставить после двух-трёх неудачных попыток авторизующегося пользователя ответить на дополнительные вопросы (например, секретный вопрос). Это задачу хакеру значительно усложнит, и попытка взлома останется безуспешной даже при верно подобранной комбинации логина и пароля.

Ещё немного уловок о том, как осуществляется защита от атаки брутфорс.

  • Продвинутый администратор может выставить условием входа в учётную запись только попытку входа с конкретного IP-адреса.
  • Используйте капчу
  • Комбинируйте все описанные варианты. Всё это не обеспечит стопроцентную защиту, но задачу хакеру значительно усложнит.

Подведём итоги анализа перечнем возможных показателей того, что ваш сайт подвергся атаке.

  • С одного IP-адреса зафиксировано множество неудачных попыток регистрации
  • На одну и ту же запись (администратора) пытаются «пробиться» сразу с множества IP-адресов
  • Почти всегда эти попытка/попытки сопровождаются одновременно неверными паролем и логином
  • Неверные попытки подбора в алфавитном порядке
  • Обратная ссылка с адреса пользователя похожа на http://user:пароль@www.что-то-там.com/логин.htm

Вывод таков: манипулируя различными настройками на сервере или ресурсе можно максимально усложнить задачу хакеру, который, будем надеяться, оставит попытки проникнуть в вашу учётную запись.

Админ, нас атакуют или Как защитить дедик от брута

Любому серверу для хорошей работы нужны три вещи: топовое железо, надёжное подключение и грамотный админ. Но всё это станет бессмысленным, если не обеспечить защиту от атак и взлома. Из нашей статьи вы узнаете, как защитить дедик от брута и не потерять свои данные, важные настройки и другие результаты кропотливой работы. А если слова «rdp», «дедики» и «брут» вам ни о чём не говорят, то мы восполним эти пробелы.

Дедик, dedik, dedicated — зачем нужен выделенный сервер

Если вы далеки от администрирования, то могли подумать, что Дедик и Брут — это два друга (или недруга?) с экзотическими именами. Но нет — слово «дедик» образовалось от английского dedicated, а точнее Dedicated server. Сленговое название «дедик» означает, как нетрудно догадаться, выделенный сервер. Опытные пользователи уже знают обо всех преимуществах физических серверов, но на всякий случай мы напомним.

Dedicated server — это, по сути, полноценный компьютер, расположенный в дата-центре провайдера в отдельной стойке и работающий 24 часа в сутки 7 дней в неделю. В отличие от виртуального хостинга, на нём не будут размещены сайты других клиентов, что, несомненно, даёт ощутимые преимущества:

— Все ресурсы принадлежат вам, что делает работу сервера более стабильной.

— Можно выбрать любую версию любой операционной системы и настроить её на своё усмотрение, а также установить необходимое ПО.

— Вы будете осуществлять полноценное администрирование своего сервера с root-правами.

— Всё оборудование полностью изолировано и находится в отдельной стойке, что повышает безопасность и сохранность данных.

И, конечно же, на выделенном сервере нет ограничений на количество сайтов, баз данных и почтовых ящиков. Обычно «дедики» используются для крупных ресурсов или проектов, которым необходимо обеспечить бесперебойную работу даже при большом наплыве посетителей.

Но довольно теории, перейдём к практике. Представим, что ваш сайт вырос, просмотры растут, вы перенесли его на отдельный сервер — теперь можно радоваться новым возможностям и высокой пропускной способности. Так ли всё радужно на самом деле?

Что такое брут и с чем его едят

Слово «брут» или «брутфорс» произошло от английского brute force, что в переводе означает «грубая сила». Но к дракам это не имеет никакого отношения. Метод brute force — один из способов взлома или хакерской атаки. Его суть состоит в простом переборе огромного числа различных сочетаний символов с расчётом на то, что однажды взломщик подберёт нужную комбинацию — ваш пароль.

Первые кандидаты на разоблачение — простые пароли вроде “12345678”, “admin”, “qwerty” и прочие. Следом за ними идут популярные слова, имена, названия, даты. Брутфорсеры используют специальные словари, в которых содержатся тысячи примеров наиболее частых паролей. И поверьте, “alexandr01” или “parol1324” точно не относятся к разряду надёжных.

К сожалению, перед взломом могут не устоять даже наборы случайных символов, составленные по всем правилам: с заглавными буквами и знаками препинания. Хотя их шансы, несомненно, гораздо выше. Но в нашем случае проблема с брутом не ограничивается только сложностью пароля.

Что же значит «брутить дедики», и чем опасен взлом? Ответ на первый вопрос мы уже получили — злоумышленник начнёт предпринимать многократные попытки авторизации на вашем сервере, перебирая различные пароли. Для этого он будет использовать один из известных протоколов удалённого доступа: обычно это SSH (Secure Shell) у Linux-серверов и RDP (Remote Desktop Protocol) у Windows Server. Брут отличается от DDoS-атаки тем, что хакеру важно сохранить работоспособность ресурса, поскольку чаще всего он собирается использовать его для своих нужд.

Взлом причиняет вред уже на стадии попыток — система будет хранить логи неудачных входов, размер которых может достигать нескольких гигабайт. Если своевременно не очищать их, нагрузка станет довольно существенной. Чересчур активные и продолжительные атаки приведут к падению производительности и снижению скорости работы. При этом конфигурация, тип и версия операционной системы не играют роли — брутфорсу подвержены абсолютно любые серверы.

В случае успешного взлома хакер получает полный доступ к вашей удалённой машине, и далее возможны два варианта развития событий. Первый — злоумышленник начнёт «портить» ваши файлы и данные вплоть до их удаления, устанавливать вирусы и вредоносные программы. И второй — взломщик постарается вести себя как можно незаметнее, чтобы использовать сервер в своих целях. Например, для тех же DDoS-атак или для создания ботнета.

Чтобы обхитрить хакера, вы должны думать, как хакер

Теперь настало время ответить на главный вопрос: как уберечь сервер от брута? Один из самых простых советов, которым, тем не менее, не следует пренебрегать — своевременно обновлять систему и ПО сервера. Также можно установить ряд дополнительных программ и настроек. Рассмотрим несколько наиболее действенных стратегий.

Чекер

Первый и самый простой способ — установить специальную программу-чекер, которая будет проверять существующих на сервере пользователей. Вы сможете отслеживать IP-адреса, прокси, страну и город, что сразу позволит вычислить подозрительные аккаунты. Среди примеров таких программ: Lazy SSH, SSH checker, SSH Fresh checker для Linux-серверов.

Но чекер не предотвращает сам брут, а только находит тех, кому он удался. Поэтому для защиты от попыток взлома придётся покопаться в настройках сервера. Об этом ниже.

Смена порта

Довольно тривиальный, но иногда действенный метод — поменять номер порта. Обычно все брутфорс-атаки направлены на стандартный порт 22. В файле конфигурации можно изменить его на 23 или любой другой — тогда вероятность попытки взлома снизится в несколько раз. Правда, этот способ не защитит вас от более умных хакеров, которые «брутят» все открытые порты, а также от целевых атак, направленных на конкретного пользователя или сервер.

SSH-ключи

Самый надёжный вариант — вообще отказаться от авторизации по паролю и использовать SSH-ключи. Это более безопасный способ, поскольку ключи практически не поддаются расшифровке. Их можно сравнить с ключами от вашего дома: они полностью уникальны, и открыть дверь смогут только те, кому вы их доверите. Подробнее о создании и использовании SSH-ключей можно прочитать в нашей справке.

Ограничения на авторизацию

Если вы по каким-то причинам всё равно предпочитаете использовать пароли, можно задать более строгие требования к аутентификации. Например, ограничить доступные попытки входа, указать максимальное число активных пользователей, завести чёрный список IP-адресов, задать тайм-аут, в течение которого нельзя повторно запросить авторизацию, и так далее. Но учтите, что некоторые из этих способов могут создать дополнительные проблемы для «хороших» юзеров — например, если кто-то из них случайно введёт неправильный пароль несколько раз.

Что делать, если ничего не помогает

Вы поставили надёжный пароль, проверили активных пользователей, ограничили число авторизаций, но ресурс всё равно тормозит и медленно откликается? Возможно, злоумышленники успели проникнуть на сервер заранее и «замести следы», оставив бэкдор, или же придумали новые хитроумные способы обхода ваших методов защиты. Важно понимать, что ни один из описанных выше советов не даст 100% гарантии. И хотя центры обработки данных защищены от широкополосных атак, оградиться от целевого брута крайне сложно.

Взлом сервера и доступ злоумышленников к важным данным может привести к критическим последствиям и потере огромных сумм денег: например, из-за отсутствия защиты от брутфорса в системе бронирования могла пострадать 141 авиакомпания. Также известны случаи многократных попыток взлома сайтов, работающих на WordPress, с целью нелегального майнинга или дальнейших атак. Защита сервера от подобных ситуаций — непростая задача, требующая вмешательства высококвалифицированных специалистов по безопасности. Многие провайдеры вместе с арендой сервера предлагают услуги администрирования — поэтому, чтобы обезопасить «дедик», лучше доверить его профессионалам.

Например, в REG.RU администрирование Dedicated включает целый комплект услуг: это и установка операционной системы, и регулярные обновления, и резервное копирование, и, разумеется, защита от брутфорса. Выделенный сервер с администрированием избавит вас от необходимости тратить время на постоянный мониторинг системы и оборудования. В этой ситуации лучше довериться опытным специалистам и не отвлекаться от более важных задач.

Итак, подводим итог: не забывайте о защите своего сервера, предпочитайте SSH-ключи стандартной авторизации и всегда создавайте только надёжные пароли. Не пренебрегайте профессиональными услугами администрирования, если для вас важна безопасность и сохранность данных. Помните: даже если вы используете выделенный сервер для личных нужд, это не значит, что он автоматически становится невидимым. Хакеры не дремлют!

Напишите в комментариях, сталкивались ли вы со взломом: может быть, кто-то получал доступ к вашему аккаунту в социальных сетях или почте? Удалось ли злоумышленнику реализовать свой коварный план? Надеемся, что советы в нашей статье помогут вам избежать взлома не только серверов, но и других ресурсов.

А если вы хотите узнать о способах защиты своего личного компьютера — рекомендуем к прочтению нашу статью Как защитить свой компьютер и смартфон от взлома.

Как защититься от атаки brute force?

Что такое взлом аккаунта с помощью атаки brute force (метод последовательного перебора) и как можно защитить сотрудников и приложения в своей компании от этих атак?

Brute force login атака является наиболее распространённой (и наименее изощренными) атакой, используемой против веб-приложений.

Цель данной атаки – получить доступ к аккаунтам пользователей путем многократных попыток угадать пароль пользователя или группы пользователей. Если веб-приложения не имеют никаких защитных мер против этого типа атак, то злоумышленнику довольно просто взломать систему, основанную на парольной аутентификации, осуществив сотню попыток ввода пароля с помощью автоматизированных программок, легкодоступных в Интернете. Brute force login атаки могут быть использованы в ряде случаев. Если известна длина пароля, то может быть испробована каждая комбинация цифр, букв и символов, пока не будут найдены совпадения.

Есть обратный метод, вместо попытки подобрать пароль к одному аккаунту, можно попробовать один пароль к множеству аккаунтов. Это известно как reverse brute force атака. Данная техника, стоит заметить, не срабатывает там, где есть политика блокировки учетной записи. Reverse brute force атака является менее распространенной еще и потому, что атакующему зачастую сложно составить достаточно большой объем имен для этой атаки.

Есть ряд методов для предотвращения brute force атак. Первый заключается в использовании политик блокировки учетной записи. Например, после трех неудачных попыток входа в систему, учетная запись блокируется до тех пор, пока ее не разблокирует администратор. Недостатком этого метода является блокировка сразу множества аккаунтов пользователей в результате атаки одного злоумышленника, на администратора падает сразу много работы, т.к. большое количество пользователей-жертв осталось без доступа к своим аккаунтам.

Другой метод заключается в использовании теста запроса-ответа на странице входа в систему для предотвращения автоматизированных представлений. Такие бесплатные утилиты как reCAPTCHA могут быть использованы для того, чтобы попросить пользователя ввести слово или решить простую математическую задачу, тем самым доказав, что это не робот. Этот метод является эффективным, но создает некоторые неудобства при пользовании сайтом.

Так же может быть полезно использовать утилиты, которые автоматически считывают журналы интернет-событий и оповещает администратора о неоднократных попытках исходящих от одного IP адреса. Однако, злоумышленник также просто может использовать различные инструменты, чтобы регулярно автоматически сменять свой IP адрес.

Чтобы пользователи могли доверять вашей компании свои личные данные, очень важно убедиться в том, что в веб-приложении используется хотя бы один из методов защиты против brute force атаки. Использование методов, описанных в этой статье, должно обеспечить надежную защиту от этих распространенных атак.

Защита WordPress от брутфорс атаки [11 способов]

Что такое брутфорс-атака? Это попытки получения несанкционированного доступа к сайту или серверу методом перебора всевозможных комбинаций из логина и пароля. Брутфорс в дословном переводе означает «грубая сила».

Возможно, вы считаете, что брутфорс атаки вас не касаются, потому что ваш небольшой и не очень популярный сайт не представляет интереса для хакеров. Вынуждены вам сообщить, что это давно уже не так. Любой ресурс в сети является объектом постоянных многочисленных атак. Целью таких атак является не сам сайт, а ресурсы сервера, на которых он размещается: взломанный сайт превращается в площадку для хостинга вирусов, рассылки спама, фишинга, майнинга криптовалют и т. д. Поэтому защищать админ-панель любого сайта — это необходимость. В противном случае рано или поздно доступ будет взломан.

В этот раз рассказываем, как защитить админ-панель WordPress от взлома через брутфорс — способов очень много, каждый найдет для себя самый простой и удобный, при этом эффективный.

1. Сложные пароли

Да-да, все так просто. Первый и главный способ защиты — использование надежных паролей и их регулярная замена. Вы должны всегда, ВСЕГДА использовать только сложные парольные комбинации. Это относится ко всем пользователям админ-панели сайта, а не только к главной учетной записи администратора. Также не забывайте использовать сложные пароли на панель управления хостингом, FTP, базу данных, и любые другие учетные записи, относящиеся к вашим сайтам.

На данный момент надежным можно считать пароль с длиной от 12 символов, содержащий буквы, цифры и специальные символы. Другой вариант, — если хотите использовать удобный к запоминанию пароль, — это использовать три или более слова, не взаимосвязанных по смыслу, между которыми будут какие-либо спец-символы в качестве разделителей. И третий вариант — используйте пароль, состоящий из понятных запоминаемых слов на русском языке, вводимых на английской раскладке клавиатуры.

Примеры надежных паролей по каждому из описанных способов их создания:

2. Изменение логина администратора

Для новых установок WordPress рекомендуем сразу указывать неочевидный логин. То есть не указывайте имя пользователя и прочие. Если у вас уже есть учетка с логином — очень рекомендуем ее изменить. Сделать это очень просто в админ-панели. Нужно нажать . Не забудьте дать новому пользователю права администратора.

После этого нужно авторизоваться с новым логином и удалить пользователя с логином .

3. Ограничение доступа по IP-адресам

Если ваш интернет провайдер предоставляет статический IP-адрес, или он редко изменяется, или же есть ограниченный список адресов, с которых может производиться доступ в админ-панель WordPress, то рекомендуется ограничить доступ этим самым списком адресов. Если управлением занимается несколько человек и адреса часто меняются, то данный способ защиты не будет удобным.

Настройка ограничения доступа по IP-адресам для Apache

Настроить ограничение по IP-адресу можно при помощи файла , который нужно поместить в папку :

Указанная настройка актуальна для веб-сервера Apache 2.4+.

Настройка ограничения доступа по IP-адресам для Nginx

Если на вашем сервере используется Nginx + php-fpm, то добавлять ограничения нужно в файл конфигурации Nginx для соответствующего сайта (в блоке ):

Обратите внимание на обязательные точки с запятой в конце каждой строки и на то, что все разрешения (allow) должны быть выше запретов (deny).

4. Двухэтапная авторизация

Защита файлов и директорий паролем в cPanel

Можно установить защиту паролем на любую директорию на сервере средствами встроенного модуля веб-сервера. Для хостинга на базе панели cPanel нужно нажать в панели .

На следующем экране выберите папку, которую вы хотите защитить (/home/username/public_html/wp-admin). При нажатии на иконку слева происходит открытие каталога, при нажатие на название каталога — выбор.

Далее укажите логин и пароль и включите защиту. Вы же помните, что пароли должны отвечать критериям из пункта 1? Ну и, конечно, не устанавливайте одинаковые пароли на различные формы ввода.

В результате этих действий в папке wp-admin будет создан файл .htaccess с такими настройками:

К сожалению, интерфейс панели управления не предусматривает защиту файла wp-login.php. Потому нужно скопировать фрагмент выше и вставить его в основной файл .htaccess в папке вашего сайта (обычно это /home/username/public_html) таким образом:

Защита файлов и директорий паролем в Apache

Если у вас панель управления не cPanel, или вообще нет панели управления на сервере, то можно просто добавить такие строки, как указано выше. После чего нужно сгенерировать сам файл доступа (прописан в строке ). Пароли в данный файл записываются в зашифрованном виде. Для шифрования пароля можно использовать сервис. Полученные строчки нужно вписать в файл паролей, который в примере записан как

Содержимое файла должно выглядеть примерно так:

Защита файлов и директорий паролем в Nginx

И в случае использования только веб-сервера Nginx — добавьте такие строчки в файл конфигурации для сайта (в блоке ):

Если хотите комбинировать эту настройку с ограничением доступа из пункта 3 данной статьи, то достаточно добавить только две строки, описывающие авторизацию внутрь блока, ограниченного фигурными скобками. Если вы продублируете блок ниже, то в результате будет получена ошибка при перезапуске веб-сервера Nginx.

Для проверки правильности конфигурационного файла Nginx и перезагрузки веб-сервера в командной строке нужно выполнить:

Путь к файлу, который выше указан как «» может быть любой. Главное, чтобы пользователь, от имени которого работает Nginx, имел права на его чтение. Содержимое данного файла формируется точно так же, как и при настройке для веб-сервера Apache.

5. Отключение xmlrpc.php

Атаки путем запросов к файлу xmlrpc.php очень популярны, поскольку таким образом за один запрос возможно перебрать десятки тысяч комбинаций различных логинов и паролей. Поэтому очень важная часть защиты админ-панели — это отключение или ограничение доступа к данному файлу. В WordPress протокол XML-RPC используется для взаимодействия движка с различными внешними приложениями, например, Jetpack. Как показывает практика, в 99% сайтов файл xmlrpc.php не используется вообще. Если вы сомневаетесь, используется он у вас или нет, то создайте резервную копию файлов, которые вы будете изменять перед выполнением дальнейших инструкций.

Отключение xmlrpc.php при помощи плагинов

Для отключения xmlrpc.php можно использовать различные плагины, которых на данный момент уже достаточно много. Просто напишите в поиске в маркетплейсе плагинов «xmlrpc»:

После установки не забудьте активировать плагин и включить саму защиту в настройках выбранного плагина.

Запрет доступа к xmlrpc.php при помощи .htaccess

Этот способ будет полезен, если у вас в одной папке несколько установок WordPress в разных подпапках. Достаточно разместить код настройки в главном .htaccess-файле, который располагается уровнем выше папок с WordPress, и все сайты будут защищены. Также защита регистронезависимая, то есть будет работать в случае атаки запросами с заглавными буквами.

Этот способ удобен тем, что можно закрыть доступ для всех или оставить доступ с некоторых доверенных адресов, если требуется.

Запрет доступа к xmlrpc.php при помощи Nginx

Если на вашем сервере не используется Apache, то запрет доступа через Nginx будет выглядеть так:

Отключение xmlrpc.php при помощи пользовательской функции

Еще один вариант защиты связан с добавлением пользовательской функции в файл вашей темы сайта. В конце functions.php вашей темы добавьте код:

Данный метод позволяет не затрагивать настройки Apache или Nginx и будет полезен, если у вас ограниченный доступ к серверу, где расположен сайт. Но недостаток в том, что защита привязана к конкретной теме и при ее изменении или обновлении настройку нужно добавлять повторно.

6. Ограничение числа попыток входа в админ-панель

Для автоматической блокировки взломщиков можно использовать плагин, который ограничивает число неудачных попыток входа в админ-панель WordPress. Например, можно использовать Limit Login Attempts Reloaded. После установки и активации в настройках можно установить лимит попыток входа и время блокировки, а также добавить некоторые адреса или диапазоны адресов в белый или черный список на постоянной основе.

7. Использование двухфакторной аутентификации

При подключении двухфакторной авторизации для входа в админ-панель необходимо предоставить два типа данных — обычный пароль и некоторый одноразовый пароль, генерируемый вашим смартфоном в приложении Google Authenticator (Android | iOS). Подключение производится при помощи плагина, который также позволяет использовать приложения Authy Authenticator  и LastPass Authenticator, помимо Google Authenticator. Для начала настройки нужно будет зарегистироваться на сайте разработчика плагина (можно сделать прямо в админ-панели) и далее выбрать приложение для двухфактороной авторизации.

После подключения приложения не забудьте активировать защиту страницы авторизации.

8. Изменение секретных ключей для куки

Данные ключи находятся в файле конфигурации и выглядят так:

При установке WordPress используется некторый набор ключей по умолчанию, который будет одинаковым для всех. Потому, если злоумышленник сможет заполучить хеш пароля администратора, то он сможет и расшифровать его с этими стандатртными ключами. Сгенерировать уникальные ключи можно на специальной странице.

Каждый раз при переходе или обновлении страницы ключи обновляются.

9. Установка капчи на форму авторизации в админ-панель

Еще один метод защиты от ботов — это включение капчи на странице авторизации (а также регистрации и комментариев). Как вариант, можно использовать плагин Captcha by BestWebSoft.

В настройках вы можете выбрать формы, на которые будет установлена капча, а также способы проверки, наборы «задачек», которые будут показываться. Можно выбрать как обычный вариант с вводом символов с картинки, так и более сложные — выполнить арифметические действия.

В результате страница авторизации будет выглядеть так:

10. Изменение адреса админ-панели

Возможно, это не самый простой и удобный способ защиты, но точно один из максимально эффективных. Изменить адрес (URL) для входа в админ панель можно вручную, если вы опытный администратор, или же при помощи специальных плагинов.

Вручную процесс состоит из нескольких этапов:

1. Переименуйте файл . Используйте случайную последовательность строчных латинских букв, цифры и тире. Например:
2. В получившемся файле найдите все упоминания и замените их на новое название.
3. Для корректной работы сайта замену необходимо проделать также в файлах:

После этого адрес админ панели будет располагаться по вашей новой ссылке . Доступ к новому файлу было бы полезно тоже ограничить и защитить паролем так, как указано выше.

Более простой способ — использование плагина, например, WPS Hide Login. После установки плагина в меню “Настройки” появится новый пункт WPS Hide Login.

11. Отключение вывода ошибок авторизации

Во время брут-форс атаки хакеру будет полезно видеть информацию о том, что введенные данные неверны. Сообщения об этом отображаются каждый раз при неудачной попытке входа, причем также сообщается, что именно — логин или пароль — неправильное. Поэтому возможно немного усложнить жизнь взломщикам: убрать эти уведомления.

Для этого достаточно добавить в темы вашего сайта всего одну строчку:

Редактировать файл можно любым удобным вам способом, как из админ-панели, так и по FTP или через файловый менеджер. Строчку нужно добавить в начале файла после открывающего тега (

Защита WordPress от ботнет-атак методом брутфорса

Как многие заметили, в апреле этого года в течение нескольких дней в Сети наблюдалась интенсивная Brute Force атака, направленная на подбор паролей для аккаунтов сайтов на базе свободного движка WordPress. Атака носила массовый характер и организована с использованием крупного ботнета. Такая же ситуация повторилась недавно в начале августа.

Как работает ботнет

Попавшие под действие атаки сайты подвергаются проверке входа под логином «admin» через страницы /wp-login.php и /wp-admin с использованием примерно тысячи наиболее популярных паролей. В случае, если подбор пароля оказался успешен, в движок WordPress внедряется бэкдор, который подсоединяет взломанный сайт в состав ботнета и позволяет сохранить контроль даже после смены пароля. Поражённый хост начинает участвовать в Brute Force атаке для выявления других жертв, но также может принимать команды и выполнять другие действия, типичные для ботнетов, такие как совершение DDoS-атак. Размер ботнета из WordPress-серверов в апреле оценивался в более чем 90 тысяч хостов.

Отмечается, что ботнет из серверов значительно более опасен в плане совершения DDoS-атак, чем ботнет из пользовательских машин, так как серверные системы имеют доступ к более широким каналам связи (стомегабитный порт для сервера в крупном датацентре уже в порядке вещей) и более болезненны при блокировке (на одном IP могут находиться сотни сайтов). При этом даже не связанный с DDoS-атакой трафик, генерируемый в процессе наблюдаемого подбора паролей, негативно повлиял на деятельность некоторых хостинг-компаний, так как он существенно искажает типичную для хостинг-операторов ориентацию на преобладание исходящего трафика.

Тем не менее, некоторые эксперты отвергают сведения об участии взломанных серверов в Brute Force атаке, считая, что целью их взлома является распространение вредоносного ПО для поражения клиентских систем путем подстановки на страницы поражённых сайтов кода для эксплуатации уязвимостей в браузерах и популярных плагинах к ним.

Защита

Всем администраторам блогов на базе движка WordPress рекомендуется убедиться в использовании надёжного несловарного пароля для своих аккаунтов. Кроме того, для блокирования атаки советуют не использовать для администратора логин admin (доступно в только в WP3), защитить доступ к скрипту wp-login.php через дополнительную Basic-аутентификацию на уровне http-сервера или разрешить вход только с определённых IP. Для ещё более серьёзной защиты можно использовать дополнения с реализацией двухуровневой аутентификации с одноразовыми паролями. Владельцам уже взломанных сайтов рекомендуется переустановить с нуля WordPress, обновить секретные ключи и поменять все пароли.

Первый шаг защиты от DDOS атаки брутфорсом — защитить файл wp-login.php.

  1. Создайте пустой файл .wpadmin в корневой директории вашего хостинга или .htpasswd в корневой директории сайта. Для cPanel это путь или . В зависимости от того, где вы его разместите, файл будет применяться или к одному сайту или ко всем WP сайтам на хостинге. Все домены на хостинг аккаунте делят общий файл .wpadmin.
  2. Сгенерируйте содержимое парольного файла при помощи сайта http://www.htaccesstools.com/htpasswd-generator/ или http://seriyps.ru/crypt/htpasswd/, указав желаемый логин и пароль. Вы получите комбинацию вида username:encryptedpassword
  3. Сохраните полученное содержимое в ваш парольный файл. Если у вас есть SSH доступ к серверу, то вы можете создать и записать содержимое в файл одной командной: Консоль попросит у вас ввести желаемый пароль для указанного имени пользователя. Ключ -c указывает на создание файла.

Обновите файл .htaccess следующими строками:

ErrorDocument 401 default AuthName «Access Denied» AuthType Basic AuthUserFile /home/имя_пользователя/public_html/адрес_сайта/.htpasswd require valid-user

Источник: softaltair.ru

Добавить комментарий