דף הבית » חדשות ועדכונים

אתרי וורדפרס מסביב לעולם תחת מתקפה חסרת תקדים

14 באפריל 2013 | מאת רמי | 13 תגובות | תגיות: , , ,

בימים האחרונים עולה שכיחות הדיווחים על התקפות מאורגנות כנגד אתרי וורדפרס מסביב לעולם. בוטנט עם 90,000-100,000 כתובות IP מנסה לפרוץ לאתרי וורדפרס ולנחש סיסמאות ADMIN דרך מחשבים פרוצים.

האם אתר שלכם מוגן?

האם אתר שלכם מוגן?

לא ההתקפה הראשונה

ההתקפה הקודמת על אתרי וורדפרס התרחשה בספטמבר 2012 כאשר התגלתה פרצת אבטחה בסקריפט הפופולרי TimThumb לכיווץ תמונות. הסקריפט נמצא בשימוש נרחב בתבניות וורדפרס (בעיקר בתבניות הישנות). למרות אזהרות חוזרות ונשנות, רבים לא שדרגו לגרסה העדכנית של הסקריפט והדבר אפשר לבוטנט לפרוץ לאתרים אלה ולהשתמש בהם למתקפת נרחבת כנגד תעשיית הבנקאות האמריקאית.

לפני כן, במרץ 2011 שירות הבלוגים המסחרי וורדפרס.קום (WordPress.com) היה נתון תחת מתקפת מניעת שירות DDoS חסרת תקדים, כנראה ממניעים פוליטיים. במסגרת ההתקפה הופעלו אלפי שרתים מסביב לעולם והציפו את שרתי וורדפרס.קום בבקשות מידע רבות שהעמיסו על קווי התקשורת והפילו שלושה מרכזי שרתים של החברה בשיקגו, דאלאס וסאן-אנטוניו.

בחודש יוני 2011 מאגר התוספים של וורדפרס נפרץ ולמספר תוספים פופולריים התווספה דלת אחורית מאוד מתוחכמת. הוחלט לאפס סיסמאות של כל החשבונות באתר הראשי ובאתרי האחות כמו bbPress.org ו-BuddyPress.org.

הפעם משתלטים על משתמש ADMIN

ההתקפה הנוכחית מתרכזת באתרי וורדפרס באכסון עצמי בניסיון למצוא את הסיסמה של משתמש ADMIN, לקבל גישה ללוח הבקרה ומשם גישה לשרת כולו. הבוטנט מפעיל מחשבי PC פשוטים מרחבי העולם המנסים להתחבר למערכת בעזרת משתמש ADMIN ועם סיסמה אקראיות בשיטת מתקפת-מילון (Dictionary Attack), ניחוש סיסמאות פופולריות ממאגרים שנפרצו בעבר (Brute Force Attack) ושיטות אחרות. בכל פעם שנכשל ניסיון התחברות או כתובת IP נחסמת, מחשב אחר נכנס לפעולה וממשיך בניסיון הפריצה מכתובת IP שונה. בדרך זו ניתן לבצע עשרות ניסיונות התחברות בשנייה ולהמשיך לעשות זאת במשך יום שלם עד שהאתר נפרץ.

רבים כבר נפגעו

אנליסטים מחברת האכסון HostGator מדווחים שמדובר בהתקפה מאוד מאורגנת הכוללת מעל 90 אלף מחשבים. מחברת CloudFlare מדווחים שמדובר בבוטנט עם 100 אלף מחשבים, ולדבריהם כמעט כל אתר ברשת שלהם היה יעד למתקפה. חברות אלה יחד עם חברות אכסון אחרות, ממשיכות לעקוב אחרי הבוטנט ולמזער נזקים ללקוחותיהם.

מומחים משערים כי המתקפה הנוכחית היא הכנה למשהו גדול יותר. כרגע נעשה שימוש במחשבי PC פשוטים כדי לפרוץ לאתרים ולהכין אותם להתקפת מניעת שירות עתידית גדולה יותר בהיקפה, או לנסות להשתלט על מחשבים חדשים כדי להגדיל את הבוטנט. ניסיון העבר מלמד כי במוקדם או במאוחר הבוטנט יופעל למימוש מטרות כלכליות, פוליטיות או צבאיות.

דרכי התגוננות

המתקפה הנוכחית כל כך מאסיבית עד שמאט מולנוונג נאלץ לפרסם פוסט בבולג האישי שלו ולהתריע בפני משתמשי וורדפרס לאבטח את האתר כנגד ניסיונות הפריצה הללו. העצות שלו הן:

  1. בתהליך ההתקנה ניתן לבחור את שם המשתמש הראשון שיווצר, לעולם אל תשתמשו במשתמש ADMIN.
  2. אם כבר יש לכם משתמש ADMIN, החליפו אותו במשתמש אחר.
  3. תחליפו סיסמאות ותבחרו סיסמאות חזקות יותר.

נוסף לזה, תדאגו תמיד לעדכן לגרסה האחרונה ביותר של וורדפרס. קיימים בוטנטים מתוחכמים יותר שמאתרים אתרי וורדפרס עם גרסאות ישנות ומנסים לפרוץ אליהם בעזרת פרצות שהתגלו ונסגרו בגרסאות העוקבות.

כמו כן, ניתן להגביל את מספר ניסיונות ההתחברות למערכת שלכם ובכך להאט בצורה משמעותית מאוד את הפעולה של הבוטנט. בעבר כתבתי על תוסף וורדפרס להגבלת ניסיונות התחברות ותרגמתי אותו לעברית. התקינו אותו. הכלי מעקר את היתרון הכמותי של הבוטנט וחוסם כתובות IP אחרי מספר כישלונות התחברות. אולם הבגלל כמות כתובות ה-IP של הבוטנט, כדאי לשלב מספר פתרונות שיקשו על הבוטנט.

מומלץ להשתמש גם בתוספי אבטחה המצביעים על נקודות חולשה במערכת ואף מטפלים בהם. תוספים כמו: Wordfence SecurityBetter WP SecurityBulletProof Security ואחרים.

אציין שניתן לזהות אתר שנפרץ במספר דרכים, למשל לא ניתן להתחבר ללוח הבקרה וקבלת הודעות שגיאה – סיסמה שגויה, או איטיות של לוח הבקרה אחרי ההתחברות ואף נפילות חוזרות ונשנות של האתר.

מאת רמי

אחראי על אתר וורדפרס בעברית ועל תרגום ושחרור גרסאות וורדפרס בעברית. מפתח ליבה, בכל גרסה החל מגרסה 2.8, מפתח מוביל בגרסה 4.4 ובגרסה 4.6. מספק שירותי פיתוח אתרים, פיתוח תוספי וורדפרס לסטרטאפים ופיתוח כלים למפתחי וורדפרס - GenerateWP.com.

13 תגובות »

  • ארטי כותב :

    נו, משחקים בלפרוץ…
    בטח משתמשי דרופל…. חחחח

  • ראובן קרסיק כותב :

    אף פעם אי אפשר לדעת.. יום אחד אתה צוחק ויום שני נופל לך האתר..
    שם המשתמש הראשי אצלי הוא Admin, ועד כמה שראיתי אי אפשר לשנות את שם המשתמש אחרי שהמשתמש נוצר, לא? אז הכוונה היא רק לשם הדיפולטיבי במקרים עתידיים?

  • Isramap כותב :

    תודה רבה על העדכון, נערכנו בהתאם.
    בימים האחרונים צפינו באלפי ניסיונות התחברות לפאנל ניהול ע"י גורמים זדוניים.

  • עובדיה משה כותב :

    ל : ראובן קרסיק
    אפשר לשנות את שם המשתמש, פשוט לשנות בבסיס הנתונים את הרשומה המתאימה..
    תשתמש ב phpmyadmin, תערוך את רשומת המנהל ותחליף את השם, זה יעבוד בסדר..

  • ראובן קרסיק כותב :

    אה, הבנתי, תודה.

  • רמי כותב :

    ראובן, אם יש לך משתמש קיים בשם ADMIN אתה יכול לשנות אותו לכל שם אחר על ידי יצירת משתמש חלופי בעל הרשאות מנהל, מחיקת משתמש ה-ADMIN והעברת תכניות למשתמש החדש. יש לינק בפוסט למדריך המסביר לך איך עושים את זה. ואני אשתדל לכתוב סדרת מאמרים על אבטחת האתר.

  • ראובן קרסיק כותב :

    כן, אבל אני מעדיף להשאר עם המשתמש הנוכחי.. בכל מקרה יש לי ססמה חזקה(16 תווים, גם אותיות וגם מספרים)

  • רמי כותב :

    ראובן, זה לא מומלץ.

  • יוסי כותב :

    רמי תודה רבה… אתה מסייעה הרבה.. ולהרבה אנשים.

  • גיל כותב :

    פלגין ממולץ בנושא:
    Stealth Login Page
    לשם הקשחת הגישה לממשק הניהול, תהנו.

  • רמי כותב :

    גיל, חשבתי לכתוב סקירה על התוסף הזה במסגרת סדרת מאמרי אבטחה. תוסף מומלץ.

  • גיל כותב :

    מצויין! ידוע לך על החסרונות של התוסף פרט לעובדה שכל תוסף יכול להוות עוד מקור לחולשה? או במילים אחרות… למה אתה לא משתמש בו?

  • רמי כותב :

    גיל אתה צודק, כל תוסף נוסף הוא מקור חדש לחולשות. שאלת למה אני לא משתמש בו? בחלק מהאתרים התוסף מותקן, לא בכולם. בדרך כלל צריך להתאים את התוספים לאתר. וכמובן שזה לא התוסף היחיד בשוק.

הוסף תגובה !

נא לא לשאול שאלות שלא קשורות לפוסט, זהו לא פורום תמיכה. לבעיות אישיות ונושאים מורכבים אפשר ליצור איתי קשר.

תגיות HTML מורשות לשימוש:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>