Útok hrubou silou - 7 tipov pre Wordpress ako mu predchádzať

Útok hrubou silou – 7 tipov pre WordPress ako mu predchádzať

Netušíš či aj tebe hrozí útok hrubou silou? Ak máš webovú stránku postavenú na CMS WordPress tak odpoveď je jednoznačná – ÁNO, hrozí. Útoky hrubou silou sú reálnym nebezpečenstvo pre každého majiteľa WordPress stránky.

Útok hrubou silou (Brute force) je najčastejším typom útoku na WordPress web.

Dobrou správou však je, že vykonaním pár jednoduchých krokov vieš zabezpečiť a predchádzať útokom tohto typu – a znížiť pravdepodobnosť úspešnosti hacknutia na absolútne minimum.

V tomto článku sa dozvieš ako na to, ako ochrániť tvoj web a ako predchádzať útokom.

Čo je to útok hrubou silou – Brute Force attack

Útok hrubou silou – brute force attack – je hackovacia metóda tzv. pokusu a omylu. Metóda sa využíva na uhádnutie prihlasovacích údajov, šifrovacích kľúčov alebo objavenie skrytej stránky. Hackeri používajú botov, ktorí prehľadávajú web. Tieto boty pracujú s rôznymi kombináciami mena a hesla ktorými disponujú – v nádeji, že prelomia ochranu a získajú prístup do webovej stránky.

ako funguje útok hrubou silou - brute force attack
bot sa pokúša prihlásiť – skúša rôzne kombinácie mena a hesla

Aké typy brute force útokov existujú

  • jednoduchý útok hrubou silou
  • slovníkový útok – využíva zoznamy mien a hesiel
  • hybridný útok – kombinácia jednoduchého a slovníkového útoku
  • reverzný útok – testovanie rôznych používateľských mien s vždy rovnakým heslom
  • plnením poverení – testovanie mien a ukradnutých hesiel z iných webov

Ako prebieha útok hrubou silou

Hacker naprogramuje alebo využije už existujúci softvér, aby vyhľadával zraniteľné stránky na webe. Automaticky otvorí prihlasovaciu stránku a spustí útok hrubou silou – pokúša sa prihlásiť a skúša rôzne kombinácie mena a hesla a dúfa, že jedna z množstva kombinácií bude úspešná.

V závislosti od servera môže útočník za minútu otestovať viac ako 1000 rôznych variantov pre prihlásenie.

I keď sa botovi nepodarí prelomiť tvoje prihlasovacie údaje, stále nemáš vyhraté. Samotné testovanie prihlásenia, ktoré môže prebiehať niekoľko minút vyčerpáva prostriedky servera a dokonca ho môže úplne zahltiť a tým spôsobiť veľké spomalenie či pády webovej stránky.

Je mimoriadne dôležité používať čo najsilnejšie prihlasovacie údaje, ktoré nie je možné prelomiť. To však nestačí, v dnešnej dobe je potrebné pridať viac úrovní zabezpečenia.

Tri hlavné dôvody prečo je WordPress ideálnym cieľom útokov

WordPress neobmedzuje počet neplatných pokusov na prihlásenie

Predvolene nie je vo WordPresse zabudovaná ochrana proti tomuto typu útokov a teda útočník môže vykonávať pokusy o prihlásenie donekonečna – teda teoreticky až po kým nebude úspešný, alebo nezahltí server.

URL adresa pre prihlásenie do administrácie WordPress je prednastavená a rovnaká pre každú webovú stránku

Každý kto trochu ovláda WordPress vie, kde prihlásenie treba hľadať. Nachádza sa na URL /wp-login.php. Samotná zmena tejto URL adresy nie je riešením a nezaručuje ochranu webu, keďže útoky vo väčšine prípadov prebiehajú z terminálu, nie z webového prehliadača.

Brute Force útok je jednoduchý

Metóda pokusu a omylu, ktorá sa používa na zistenie kombinácie mena a hesla a nabúranie sa do webovej stránky, si nevyžaduje žiadne špeciálne zručnosti. Každý hacker začiatočník dokáže vytvoriť bota alebo použiť už existujúci softvér na útok.

Základné tipy ako sa chrániť pred útokmi hrubou silou

Prevencia zahŕňa týchto 7 pravidiel. Ak ich nemáš implementované na svojom webe, mal by si to čím skôr napraviť.

1. Používaj silné, komplexné a jedinečné používateľské mená a heslá

Dlhé, jedinečné a náhodné nielen heslá, ale aj prihlasovacie meno je najlepším spôsobom ako zabrániť úspešnosti brute force útoku a následného hacknutia webu. Vždy používaj náhodnú kombináciu špeciálnych znakov, veľkých, malých písem a čísel. Využi generátor na vytvorenie takéhoto hesla.

Osobne používam a odporúčam správcu hesiel Bitwarden, ktorý je open source a je zadarmo.

bitwarden - nástroj na generovanie mena a hesla
na správu hesiel využívam bezplatný nástroj Bitwarden

2. Nepoužívaj rovnaké heslo naprieč webovými stránkami

Každá webová stránka potrebuje nové a jedinečné heslo. Ak používate rovnaké heslo pre každý web a jedna zo stránok, ktorú navštevujete bude hacknutá, hackeri môžu získať prístup do tvojho webu. Využívajú totiž ako východiskový bod už kompromitované heslá. Ak je alebo bolo tvoje heslo už prelomené, okamžite ho zmeň.

3. Nastav limit počtu pre prehlásenie

Nedovoľ, aby tvoj web nemal počet obmedzení pre nesprávne prihlásenie. Ako som už spomínal, bot takto môže vykonávať útok v podstate donekonečna. Ideálne je nastaviť limit na 3-5 nesprávnych pokusov na prihlásenie. Po tomto počte by mal by byť účet buď uzamknutý alebo rovno zabanovaný a nemalo by byť umožnené ďalšie prihlásenie. Minimálne by tu mala byť nejaká časová blokácia – 5, 10 či viac minút.

Pre toto nastavenie využi ktorýkoľvek z bezpečnostných pluginov pre WordPress. Odporúčam Wordfence či iThemes Security.

bezpečnostný plugin wordfence - ochrana pred útokmi hrubou silou
na webe používaj bezpečnostný plugin napr. Wordfence

4. Používaj dvojfaktorovú verifikáciu (2FA)

Určite to poznáte – v prvom kroku zadávate meno a heslo a potom stránka vyžaduje ďalšie overenie či už SMS, e-mail alebo potvrdenie prihlásenia pomocou verifikačnej aplikácie ako napr. Google Authenticator. Táto metóda je síce trochu otravná, ale za to veľmi účinná. Na weboch, ktoré sú pre vás veľmi dôležité, ju určite odporúčam mať nastavenú.

5. Pridaj ReCAPTCHA do prihlasovacieho formuláru

Či už využiješ priamo Google Captcha alebo inú alternatívu, urobíš dobre. Táto technológia používa pokročilé techniky na analýzu rizík a rozlíšenie ľudí od robotov. Jednoducho pomáha zabrániť robotom, aby testovali prihlasovanie do tvojho webu. Zároveň chráni aj pred spamom, ktorý je pre WordPress tiež veľkým problémom.

ochrana pred spamom a útokmi hrubou silou Captcha WordPress
jednoduchá, ale účínná ochrana proti robotom – reCAPTCHA

6. Zmeň URL pre prihlasovaciu stránku do WordPress administrácie

Najčastejšie sa stretneš s radou typu: „Počuj Jožo, zmeň si URL adresu pre prihlásenie a máš vystarané.“ Problém však vzniká niekde inde. Nie je to samotným riešením, ale jedným z bodov pri prevencii pred brute útokmi.

Dôležité je, že pri zmene je potrebné si pamätať, na akú stránku prihlásenie meníš. Začiatočníci zväčša využívajú túto ochranu, no neskôr na ňu doplatia, pretože si nepamätajú na akú adresu ju zmenili a potom je potrebné využiť platené služby, a získať späť prístup k webu. Zaznač si túto zmenu URL, inak sa do webu neprihlásiš ani ty. Zmenu URL je možné vykonať napr. týmto pluginom.

7. Blokuj IP adresy botov

Tento bod za teba v podstate vyrieši akýkoľvek dobrý bezpečnostný plugin. Len je potrebné si danú funkcionalitu v plugine aktivovať.

8. Monitoruj aktivitu na stránke

Každý deň sa deje na tvojom webe množstvo aktivít, o ktorých možno ani netušíš. Mnohé z týchto činností môžu priamo súvisieť s bezpečnosťou webu a preto je nesmerne dôležité monitorovať aktivitu a včas identifikovať riziká.

monitorovanie webovej stránky wordpress a ochrana pred brute force útokmi
bezpečnostné pluginy umožňujú aj monitorovanie webu

Na záver

Existujú aj pokročilejšie metódy ochrany webu ako napr. WAF, fail2ban či zabezpečenie XMLRPC.php, avšak ich nastavenie môže byť pre začiatočníka náročnejšie.

Preto na začiatok úplne postačuje, ak splníš týchto 7 základných bodov a môžeš si byť na 99% istý, že tvoja webová stránka odolá prípadným útokom, minimálne tým brute force.

Ak sa vám páčil tento článok alebo vlastníte WordPress web, určite si prečítajte aj môj návod ako optimalizovať obrázky pre web až o 92% a zachovať kvalitu.

Páčil sa ti tento článok?

Z času na čas niečo nové na blog napíšem. Chceš o tom vedieť? Hoď nižšie tvoj e-mail a keď niečo napíšem – dám ti o tom vedieť. Žiadny spam.

Newsletter