Netušíš či aj tebe hrozí útok hrubou silou? Ak máš webovú stránku postavenú na CMS WordPress tak odpoveď je jednoznačná – ÁNO, hrozí. Útoky hrubou silou sú reálnym nebezpečenstvo pre každého majiteľa WordPress stránky.
Útok hrubou silou (Brute force) je najčastejším typom útoku na WordPress web.
Dobrou správou však je, že vykonaním pár jednoduchých krokov vieš zabezpečiť a predchádzať útokom tohto typu – a znížiť pravdepodobnosť úspešnosti hacknutia na absolútne minimum.
V tomto článku sa dozvieš ako na to, ako ochrániť tvoj web a ako predchádzať útokom.
Čo je to útok hrubou silou – Brute Force attack
Útok hrubou silou – brute force attack – je hackovacia metóda tzv. pokusu a omylu. Metóda sa využíva na uhádnutie prihlasovacích údajov, šifrovacích kľúčov alebo objavenie skrytej stránky. Hackeri používajú botov, ktorí prehľadávajú web. Tieto boty pracujú s rôznymi kombináciami mena a hesla ktorými disponujú – v nádeji, že prelomia ochranu a získajú prístup do webovej stránky.
Aké typy brute force útokov existujú
- jednoduchý útok hrubou silou
- slovníkový útok – využíva zoznamy mien a hesiel
- hybridný útok – kombinácia jednoduchého a slovníkového útoku
- reverzný útok – testovanie rôznych používateľských mien s vždy rovnakým heslom
- plnením poverení – testovanie mien a ukradnutých hesiel z iných webov
Ako prebieha útok hrubou silou
Hacker naprogramuje alebo využije už existujúci softvér, aby vyhľadával zraniteľné stránky na webe. Automaticky otvorí prihlasovaciu stránku a spustí útok hrubou silou – pokúša sa prihlásiť a skúša rôzne kombinácie mena a hesla a dúfa, že jedna z množstva kombinácií bude úspešná.
V závislosti od servera môže útočník za minútu otestovať viac ako 1000 rôznych variantov pre prihlásenie.
I keď sa botovi nepodarí prelomiť tvoje prihlasovacie údaje, stále nemáš vyhraté. Samotné testovanie prihlásenia, ktoré môže prebiehať niekoľko minút vyčerpáva prostriedky servera a dokonca ho môže úplne zahltiť a tým spôsobiť veľké spomalenie či pády webovej stránky.
Je mimoriadne dôležité používať čo najsilnejšie prihlasovacie údaje, ktoré nie je možné prelomiť. To však nestačí, v dnešnej dobe je potrebné pridať viac úrovní zabezpečenia.
Tri hlavné dôvody prečo je WordPress ideálnym cieľom útokov
WordPress neobmedzuje počet neplatných pokusov na prihlásenie
Predvolene nie je vo WordPresse zabudovaná ochrana proti tomuto typu útokov a teda útočník môže vykonávať pokusy o prihlásenie donekonečna – teda teoreticky až po kým nebude úspešný, alebo nezahltí server.
URL adresa pre prihlásenie do administrácie WordPress je prednastavená a rovnaká pre každú webovú stránku
Každý kto trochu ovláda WordPress vie, kde prihlásenie treba hľadať. Nachádza sa na URL /wp-login.php. Samotná zmena tejto URL adresy nie je riešením a nezaručuje ochranu webu, keďže útoky vo väčšine prípadov prebiehajú z terminálu, nie z webového prehliadača.
Brute Force útok je jednoduchý
Metóda pokusu a omylu, ktorá sa používa na zistenie kombinácie mena a hesla a nabúranie sa do webovej stránky, si nevyžaduje žiadne špeciálne zručnosti. Každý hacker začiatočník dokáže vytvoriť bota alebo použiť už existujúci softvér na útok.
Základné tipy ako sa chrániť pred útokmi hrubou silou
Prevencia zahŕňa týchto 7 pravidiel. Ak ich nemáš implementované na svojom webe, mal by si to čím skôr napraviť.
1. Používaj silné, komplexné a jedinečné používateľské mená a heslá
Dlhé, jedinečné a náhodné nielen heslá, ale aj prihlasovacie meno je najlepším spôsobom ako zabrániť úspešnosti brute force útoku a následného hacknutia webu. Vždy používaj náhodnú kombináciu špeciálnych znakov, veľkých, malých písem a čísel. Využi generátor na vytvorenie takéhoto hesla.
Osobne používam a odporúčam správcu hesiel Bitwarden, ktorý je open source a je zadarmo.
2. Nepoužívaj rovnaké heslo naprieč webovými stránkami
Každá webová stránka potrebuje nové a jedinečné heslo. Ak používate rovnaké heslo pre každý web a jedna zo stránok, ktorú navštevujete bude hacknutá, hackeri môžu získať prístup do tvojho webu. Využívajú totiž ako východiskový bod už kompromitované heslá. Ak je alebo bolo tvoje heslo už prelomené, okamžite ho zmeň.
3. Nastav limit počtu pre prehlásenie
Nedovoľ, aby tvoj web nemal počet obmedzení pre nesprávne prihlásenie. Ako som už spomínal, bot takto môže vykonávať útok v podstate donekonečna. Ideálne je nastaviť limit na 3-5 nesprávnych pokusov na prihlásenie. Po tomto počte by mal by byť účet buď uzamknutý alebo rovno zabanovaný a nemalo by byť umožnené ďalšie prihlásenie. Minimálne by tu mala byť nejaká časová blokácia – 5, 10 či viac minút.
Pre toto nastavenie využi ktorýkoľvek z bezpečnostných pluginov pre WordPress. Odporúčam Wordfence či iThemes Security.
4. Používaj dvojfaktorovú verifikáciu (2FA)
Určite to poznáte – v prvom kroku zadávate meno a heslo a potom stránka vyžaduje ďalšie overenie či už SMS, e-mail alebo potvrdenie prihlásenia pomocou verifikačnej aplikácie ako napr. Google Authenticator. Táto metóda je síce trochu otravná, ale za to veľmi účinná. Na weboch, ktoré sú pre vás veľmi dôležité, ju určite odporúčam mať nastavenú.
5. Pridaj ReCAPTCHA do prihlasovacieho formuláru
Či už využiješ priamo Google Captcha alebo inú alternatívu, urobíš dobre. Táto technológia používa pokročilé techniky na analýzu rizík a rozlíšenie ľudí od robotov. Jednoducho pomáha zabrániť robotom, aby testovali prihlasovanie do tvojho webu. Zároveň chráni aj pred spamom, ktorý je pre WordPress tiež veľkým problémom.
6. Zmeň URL pre prihlasovaciu stránku do WordPress administrácie
Najčastejšie sa stretneš s radou typu: „Počuj Jožo, zmeň si URL adresu pre prihlásenie a máš vystarané.“ Problém však vzniká niekde inde. Nie je to samotným riešením, ale jedným z bodov pri prevencii pred brute útokmi.
Dôležité je, že pri zmene je potrebné si pamätať, na akú stránku prihlásenie meníš. Začiatočníci zväčša využívajú túto ochranu, no neskôr na ňu doplatia, pretože si nepamätajú na akú adresu ju zmenili a potom je potrebné využiť platené služby, a získať späť prístup k webu. Zaznač si túto zmenu URL, inak sa do webu neprihlásiš ani ty. Zmenu URL je možné vykonať napr. týmto pluginom.
7. Blokuj IP adresy botov
Tento bod za teba v podstate vyrieši akýkoľvek dobrý bezpečnostný plugin. Len je potrebné si danú funkcionalitu v plugine aktivovať.
8. Monitoruj aktivitu na stránke
Každý deň sa deje na tvojom webe množstvo aktivít, o ktorých možno ani netušíš. Mnohé z týchto činností môžu priamo súvisieť s bezpečnosťou webu a preto je nesmerne dôležité monitorovať aktivitu a včas identifikovať riziká.
Na záver
Existujú aj pokročilejšie metódy ochrany webu ako napr. WAF, fail2ban či zabezpečenie XMLRPC.php, avšak ich nastavenie môže byť pre začiatočníka náročnejšie.
Preto na začiatok úplne postačuje, ak splníš týchto 7 základných bodov a môžeš si byť na 99% istý, že tvoja webová stránka odolá prípadným útokom, minimálne tým brute force.
Ak sa vám páčil tento článok alebo vlastníte WordPress web, určite si prečítajte aj môj návod ako optimalizovať obrázky pre web až o 92% a zachovať kvalitu.
