דף הבית » חדשות ועדכונים

מתקפה נוספת על אתרי וורדפרס מסביב לעולם

15 בפברואר 2014 | מאת רמי | 4 תגובות | תגיות: , , ,

השבוע דיווחה החברה שעומדת מאחורי תוסף האבטחה WordFence כי היא זיהתה גידול ניכר בניסיונות פריצה לאתרי וורדפרס בטכניקות brute force attack. הפורצים ניסו לפרוץ ללוחות הבקרה של אתרי וורדפרס מסביב לעולם בהתקפה מבוזרת. גם המתחרה BruteProtect אישרה כי נתוני זמן האמת שלהם מאשרים את הגידול בכמות ניסיונות הפריצה.

מפת התקפות של WordFence

מפת התקפות של WordFence

כשהחברות זיהו עליה בשיעור ניסיונות הפריצה, הופעל מנגנון חסימה העומד בבסיס התוסף. המנגנון משתף את כתובות ה-IP החשודות מהן בוצעו ניסיונות התחברות כושלים מרובים, וכך נמנעו ניסיונות התחברות מאותן כתובות IP בכל האתרים האחרים המריצים את התוסף.

ייחודה של הטכנולוגיה בכך שהיא מבוססת על חוכמת ההמון. בניגוד לתוסף Limit Login Attempts שחוסם כתובות IP אחרי מספר ניסיונות התחברות כושלים באתר בודד, התוספים של WordFence ו-BruteProtect מתבססים על שיתוף כתובות IP חשודות בין אלפי אתרים שמשתמשים בתוסף.

אפשר להקביל זאת למסנן הספאם של אקיזמט אשר מזהה שולחי ספאם ששולחים הודעות זהות למספר אתרים ואז חוסם את התגובות הללו כאשר הן נשלחות גם לאלפי אתרים אחרים. ככל שהמדגם גדול יותר, שיעור ה- false positive נמוך יותר. כלומר פחות ספאם.

תוסף אבטחה שמנסה למנוע ניסיונות התחברות לא מורשים עובד על אותו עיקרון, אבל במקום סינון תגובות-ספאם הוא מנתר ניסיונות-התחברות-כושלים ללוח הבקרה של וורדפרס.

טכנולוגיה זו, אשר מבוססת על שיתוף מידע בין אתרים מרובים, יעילה יותר. היא מאפשרת לאתר בזמן אמת ניסיונות פריצה, והכי חשוב – היא מאפשרת לשתף מידע בין אתרים שונים ולהגן עליהם עוד לפני שהפורצים הגיעו לאתר. הכל בזכות מנגנון שיתוף כתובות ה-IP.

גל הפריצות הנוכחי ויחודו

השבוע זוהה בזמן אמת גידול בניסיונות התחברות כושלים הגדול פי 4-8 מהנורמה, דבר שהעיד על מתקפה רחבת היקף על אתרי וורדפרס שרק הלכה וגדלה בהיקפה. אגב, באתר של WordFence קיימת מפה אינטראקטיבית המתעדכנת בזמן אמת. חביב ביותר.

נזכיר שכבר היו מספר ניסיונות לבנות בוטנטים בעזרת אתרי וורדפרס שנפרצו. הניסיון המתועד האחרון היה לפני פחות משנה. אז התבצעה מתקפה חסרת תקדים לפרוץ לאתרים עם משתמש ברירת admin תוך הפעל מתקפת מילון כדי לנחש את הסיסמה. המטרה הייתה להשתלט על אתרים ולבנות בוטנט ענק (שהגיע למעל 90 אלף אתרים). מאז שודרגו הנחיות האבטחה של וורדפרס. בהתקנת חדשה וורדפרס כבר לא משתמשים במשתמש ברירת המחדל admin ומד-הסיסמאות של וורדפרס עבר שדרוג גם כן.

נראה כי הפעם הפורצים השתכללו והיעד כבר לא משתמשי אדמין אלא כלל המשתמשים הרשומים. יהיה מעניין לעקוב אחרי הסיפור ולראות מה המומחים מספרים.

המסקנות שלי

אם בעבר הייתי משתמש בתוספי הגנה כמו Limit Login Attempts, החל מהיום אבחן לעומק את התוספים השיתופיים דוגמת WordFence, BruteProtect ואחרים. לדעתי תוספים מהסוג הזה מוסיפים מעטפת הגנה נוספת עוד לפני שהתוקף מגיע לאתר שלי (שיתוף כתובות IP חשודות).

לא אומר שאין חסרונות למערכות מהסוג הזה – האתר שלכם נדרש להשתמש ביותר ריסורסים חיצוניים ויוצר תלות בעוד גורם שיכול להאט את האתר. אומנם אתר קטן לא יושפע בצורה מהותית, אבל אתר גדול יצטרך לבצע את הבדיקות המתאימות. לבסוף, כל אחד יצטרך והחליט בעצמו איזה שיקול גובר – אבטחה או ביצועים.

מאת רמי

אחראי על אתר וורדפרס בעברית ועל תרגום ושחרור גרסאות וורדפרס בעברית. מפתח ליבה, בכל גרסה החל מגרסה 2.8, מפתח מוביל בגרסה 4.4 ובגרסה 4.6. מספק שירותי פיתוח אתרים, פיתוח תוספי וורדפרס לסטרטאפים ופיתוח כלים למפתחי וורדפרס - GenerateWP.com.

4 תגובות »

  • Broker Opzioni Binarie כותב :

    תודה רבה על המידע, לא ידעתי שיש בכלל תוספים מסוג זה.

    יש לי הרבה מאוד אתרי וורדפרס ומידי פעם אני מגלה אתרים שנפרצו לי, האם יש מערכת או פלאגין שיכול לתת לי מענה בזמן אמת על אתרים שנפלו או נפרצו ?

  • רמי כותב :

    לגבי נפילות, תנסה את פינגדום – https://www.pingdom.com/

    אני משתמש בו שכבר שנים ואני מרוצה מאוד. אני מקבל מיילים כשאחד האתרים נופל וגם כשהם חוזרים לפעול. אפשר לקבל גם SMS. יש אנליטיקה רב שנתית, וסוכריות נוספות.

    אבל זה טוב רק לניטור פאסיבי. לגבי אבטחה אקטיבית יותר, תנסה את התוספים בפוסט.

  • ronmzfeed כותב :

    תודה רבה על המידע

  • יוסף כותב :

    מצטרף לתודות

הוסף תגובה !

נא לא לשאול שאלות שלא קשורות לפוסט, זהו לא פורום תמיכה. לבעיות אישיות ונושאים מורכבים אפשר ליצור איתי קשר.

תגיות HTML מורשות לשימוש:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>