דף הבית » חדשות ועדכונים

המתקפה על אתרי וורדפרס נמשכת

16 במאי 2013 | מאת רמי | 4 תגובות | תגיות: ,

בימי חג השבועות הייתה לנו הזדמנות לנוח, לאכול הרבה פשטידות ועוגות גבינה. אך העולם המשיך בשלו. שרתי DreamHost סבלו מהתקפות חוזרות ונשנות שהתמקדו בדפי ההתחברות wp-login באתרי וורדפרס.

אבטחת וורדפרס

אבטחת וורדפרס

בחודש שעבר היינו עדים למתקפה חסרת תקדים של בוטנט אדיר. במתקפה ההיא נעשה שימוש ב-90 אלף מחשבים כדי לפרוץ לשרתי HostGator. חברת CloudFlare דיווחה על בוטנט עם 100 אלף מחשבים שהשפיע כמעט על כל הרשת שלהם.

הפעם שרתי DreamHost שימשו יעד לתקיפה. החברה דיווחה על התקפות במספר גלים. מדובר באותו סוג התקפה כנגד עמודי ההתחברות wp-login. החברה עדכנה באופן שוטף את רשימת כתובות ה-IP החסומות כדי למזער את ההשפעה על מרכזי השרתים השונים. בשלב מסוים, כדי להתמודד עם הבעיה, החברה חסמה את הגישה לעמודי ההתחברות של כל אתרי הוורדפרס על הרשת שלהם.

כיום כולם יודעים שתחום אבטחה לא נוגע רק למחשב האישי שלכם אלא גם לאתר האינטרנט שלכם. יש ליישם פרקטיקות מקובלות כדי לאבטח את האתר שלכם באופן שוטת. יש להשתמש בגרסאות האחרונות של וורדפרס, לעדכן תוספים ותבניות, להקשיח את השרת ולנטר באופן שוטף אחרי ניסיונות התחברות לא מורשים.

מאת רמי

אחראי על אתר וורדפרס בעברית ועל תרגום ושחרור גרסאות וורדפרס בעברית. מפתח ליבה, בכל גרסה החל מגרסה 2.8, מפתח מוביל בגרסה 4.4 ובגרסה 4.6. מספק שירותי פיתוח אתרים, פיתוח תוספי וורדפרס לסטרטאפים ופיתוח כלים למפתחי וורדפרס - GenerateWP.com.

4 תגובות »

  • שדרת הכלה כותב :

    יש דרך להסתיר לגמרי בפני אותם בוטים את העבודה שמדובר באתר וורדפרס ?
    או לשנות את עמוד ההתחברות כך שלא יצליחו לפרוץ דרכו ?

  • רמי כותב :

    אין דרך למנוע לגמרי התקפות אבל ניתן מזער סיכונים על ידי שילוב טכניקות שונות המקטינות את החשיפה של האתר למתקפות מהסוג הזה.

    לשאלתך, התוסף Stealth Login Page מאפשר לשנות את עמוד ההתחברות לכתובת אחרת (מותאמת אישית). כמו כן, חשוב למחוק את המשתמש ADMIN. וכמובן שצריך גם להגביל ניסיונות התחברות.

  • תומר כהן כותב :

    למחוק את שם המשתמש admin זה פעולה מיותרת לדעתי, שכן ניתן בקלות לסרוק את הדפים הציבוריים של האתר ולדלות מהם שמות משתמש של אלו שמפרסמים תוכן באתר (רמז: לחפש את דפי המחבר, /author/username/).

    הגבלת כמות הניסיונות להתחברות לדעתי צריכה להיות פעילה כבררת מחדל בוורדפרס ולא תלויה בתוספים, כולל למשל חסימת ההתחברות לחלוטין אחרי כמות מסוימת של ניסיונות התחברות, וגם לזהות ניסיונות התחברות לא מוצלחים עם שמות משתמש שונים בספירה. כדי לא לנעול משתמשים מחוץ למערכת שלהם, אנחנו יכולים להכניס לקובץ wp-config.php הגדרות שיאפשרו לשחרר משתמשים שננעלו, ובכך אנחנו גם מסירים מעצמנו את האחריות על אתרי וורדפרס שהמנהלים שלהם ינעלו בחוץ עקב מתקפות.

  • רמי כותב :

    תומר, אני מסכים איתך אבל…

    בתיאוריה ניתן לסרוק את רשימת המחברים באתר (/author/username/) ולהפעיל מתקפות מילון על שמות המשתמש האלה. למזלנו הבוטנטים עדיין לא שם.

    מצד שני, הפעולה הזו לא יעילה, כי גם אחרי שהבוטנט משקיע משאבים, סורק אתר האתר, מאתר רשימת מחברים, מבצע התקפת מילון, ופורץ לחשבון כלשהו – זה עדיין לא מבטיח לו שמדובר בחשבון מנהל בעל הרשאות מתקדמות. מכאן שכל העבודה שלו מיותרת.

    מנגד, פריצה למשתמש ADMIN בוודאות של 99% היא פריצה למשתמש בעל הרשאות מנהל.

הוסף תגובה !

נא לא לשאול שאלות שלא קשורות לפוסט, זהו לא פורום תמיכה. לבעיות אישיות ונושאים מורכבים אפשר ליצור איתי קשר.

תגיות HTML מורשות לשימוש:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>