Модератор
Yui
(@fierevere)
永子
1. на хабре очень многое пишут ради кармы…
2. отметьте, надо зайти на сайт чтобы посмотреть какие логины пробовать, большинство атак в дикой природе осуществляются ботами, они не то что не проверяют заход на сайт, они могут не проверять доступность wp-login.php
мне даже друпал долбили попытками входа в вордпресс
3. пароль все равно надо ставить хороший, при возможности — рассмотреть 2 факторную авторизацию, есть плагины для нее
4. брут/взлом/ddos под заказ это отдельный вопрос, тут все сложнее , в отличие от «диких» атак, когда ботнеты просто тыкаются везде подряд на авось
Вот у вас такой большой стаж работы в WordPress и не только, но хочу с вами поспорить насчет ваших слов:
надо зайти на сайт чтобы посмотреть какие логины пробовать
Вот, например, возьмем абсолютно любой сайт на вордпрессе (на бум). Например, берем сайт http://www.novostiit.net.
Теперь я делаю ручной перебор прямых ссылок на возможные идентификаторы, причем не заходя на сайт, и вот что в итоге получаю:
http://www.novostiit.net/?author=1
http://www.novostiit.net/author/admin
http://www.novostiit.net/?author=4
http://www.novostiit.net/author/valeriy
http://www.novostiit.net/?author=8
http://www.novostiit.net/author/danya
http://www.novostiit.net/?author=9
http://www.novostiit.net/author/vitaliy
http://www.novostiit.net/?author=10
http://www.novostiit.net/author/artem
http://www.novostiit.net/?author=11
http://www.novostiit.net/author/slava
http://www.novostiit.net/?author=2, 3, 5, 6, 7
-пользователи удалены, но раньше были под этими индентификаторами
http://www.novostiit.net/?author=12 и выше
— уже не создавались, не существует
ВЫВОД: Теперь для условного перебора у меня есть пять логинов (имен) пользователей: valeriy, danya, vitaliy, artem и slava. И причем скорее всего они все редакторы, т.к. от их имени добавлено много записей. А вы говорите, что вначале надо зайти на сайт, чтобы узнать эти логины. Тот же трюк я проделал и с другими сайтами на вордпрессе. Так что теперь? Правильно ли я написал, или что-то опять не понял?
P.S. Кстати, «admin» — это всего лишь ник, т.к. в панели входа нет пользователя с таким логином (именем)!
Кстати, «admin» — это всего лишь ник,
Советую такое же попробовать проделать с сайтом mif.cc.
Параллельно всё же присоединяюсь к Yui.
1. Удаляем админа — по причине возможности подбора пароля к нему, как к юзеру «по умолчанию»
2. Двухфакторная авторизация (по принципу google auth или логина через соц.сети
3. Firewall — для блокировки по ip при попытке полезть, куда низзя (buletproof или itheme secure)
4. Смена адреса страницы входа — чтоб отсеять ботов, которые пытаются взломать wp-admin
5. Админку привязываем к ip-шнику, чтобы была доп.проверка после ввода пароля.
6. Отключаем страницы авторов (если это не критично)
7. Вырубаем версию wordpress и сопутствующую инфу
Как бы, вопрос скорее не в том, чтобы сменить админа. Но, с этого, пожалуй, всё и начинается.
стати, «admin» — эт
Защищаться можно и нужно разными способами.
Модератор
Yui
(@fierevere)
永子
что-то я не поняла о чем поспорить собрались.
Вы зашли на сайт, еще и вручную что-то перебирали,
да даже если это скриптом сделать, все равно большинство ботов — тупят дико, если они даже для друпала ухитряются делать POST на wp-login.php , которого там отродясь не было
еще раз сделаю акцент:
пожалуйста различайте направленную атаку и случайную
в первом случае цель — ваш сайт
во втором — вы не приоритетны как цель, ведется перебор ограниченых методов атаки, если они не проходят — атакующие уходят искать счастья в другое место.
второе происходит гораздо чаще.
что касается первого — тут хакер может терпеливо ждать возможности, и если повезет, то 0day уязвимость им будет использована раньше чем вы ее закроете
Модератор
Yui
(@fierevere)
永子
добавлю еще пунктик к списку Никиты
* ограничивать число попыток перебора от одного источника,
особо упрямых банить в автоматическом режиме ( limit login attempts плагин например )
т.к. запросов от источника может идти достаточно много,
то ограничивать и число запросов от источника, с целью ограничения нагрузки на процессор
Вы не правильно меня поняли в моем вопросе изначально, совсем не идет речь о какой-то «дикой атаке» со стороны тупых ботов. Здесь речь идет о возможном целенаправленном заказе у хакера (ламмера, шмакера — как вам угодно). То есть если какой-либо сайт на WP закажут, то возьмутся за это профи. А ботнеты свои будут использовать для брута целенаправленно по выявленному списку логинов (имен) пользователей.
Удаляем админа — по причине возможности подбора пароля к нему, как к юзеру «по умолчанию»
А не лучше оставить «живым» пользователя «admin», но ограничить его до прав подписчика, но с очень стойким паролем. Например вот такой 30-значный поставить: jdHUrR-!%y+G-RY3yXmG3?S4fu-2zd — и пусть себе ломают на здоровье. Даже если подберут пароль, то там только права подписчика будут.
А вот насчет того, чтобы «повысить безопасность» засчет удаления логина «admin» — что от этого толку, если могут подобрать по именам других пользователей WP, выявленных по идентификаторам.
* ограничивать число попыток
Этим в идеале занимается Firewall.
Модератор
Yui
(@fierevere)
永子
фаерволлы тоже могут быть различные,
iptables -m string —algo bm например
или limit_req_zone nginx’a / mod_evasive апача (?)
или на уровне PHP отсекать если ранее перечисленное недоступно
совсем не идет речь о какой-то «дикой атаке» со стороны тупых ботов. Здесь речь идет о возможном целенаправленном заказе у хакера
Максим, статьи на хабре пишутся под карму, речи о том, что переименование админа вам чем-то поможет при «заказе» нет, ни там, ни тут ) Просто там в статье навалено все подряд и в кучу, но это уже проблема ее автора, что нет акцентов между «дикой» и прицельной атакой.
WordPress платформа массовая и ломают ее часто, соответственно,
и очень часто по банальным причинам глупости или соответствущего отношения администратора-владельца
«Да кому мой сайт сдался.. qwerty123 достаточно!»
(а уж насколько легко пользоваться социальными данными… я лучше промолчу)
А вот сдался сайт.. очень много автоматических взломов, в том числе и элементарным подобром пароля (даже не беря в расчет социальные данные, которые могут быть известны знакомым или просто тем кто посмотрел профили человека в соцсети)
Никита, попробовал поковыряться на сайте mif.cc, но так и не смог найти идентификаторов авторов сайта.
Зато я сумел попасть на страницу входа (авторизации), хотя при этом она была закрыта через wp-admin и wp-login.php. А вы сможете открыть ее? Или угадать, как я ее открыл?
Также узнал версию WP 4.3.1, используют тему truenews, название плагинов и т.д.
А вы сможете открыть ее?
Занимаюcь сейчас его оптимизацией. Хотелось бы в личке списаться по этому поводу.
А вы сможете открыть ее?
Классно, спасибо за выявленную проблему.
А не лучше оставить «живым» пользователя «admin», но ограничить его до прав подписчика, но с очень стойким паролем. Например вот такой 30-значный поставить: jdHUrR-!%y+G-RY3yXmG3?S4fu-2zd — и пусть себе ломают на здоровье.
Такой пароль стоит сделать для всех пользователей, не только для администратора.