Útok hrubou silou je najmenej sofistikovaná technika, ktorú online zločinci musia ohroziť stránky WordPress. Nevyužíva obskúrne chyby v kódovaní ani pokročilé techniky sociálneho inžinierstva. Útočník hrubou silou skôr jednoducho skúša množstvo kombinácií používateľského mena a hesla, kým nenájde ten, ktorý funguje. Realizácia môže byť viac či menej sofistikovaná, pričom niektorí útočníci používajú botnety na útok na tisíce stránok WordPress súčasne, ale jadrom útoku hrubou silou sú dohady informované o tom, čo útočníci vedia o bežne používaných povereniach.
Aj keď sú útoky hrubou silou nenáročné, môžu byť zničujúco účinné, ak bezpečnosť stránky nestačí. Útoky hrubou silou využívajú chybu používateľa – stránky s ľahko uhádnuteľnými bežnými heslami používanými v spojení s bežnými alebo predvolenými používateľskými menami môžu v priebehu niekoľkých sekúnd prepadnúť útoku hrubou silou.
Keďže útoky hrubou silou sú úspešné proti naivným používateľom WordPress, ide o bežnú techniku. Sucuri, bezpečnostná spoločnosť WordPress, zverejňuje aktuálne informácie o prevalencii útokov hrubou silou proti webom WordPress, ktoré chráni. Každý deň dochádza k desiatkam miliónov škodlivých pokusov o prihlásenie a Sucuri pokrýva malý zlomok stránok WordPress na webe.
Základné zmiernenie hrubej sily
Útoky hrubou silou sa spoliehajú na schopnosť útočníka uhádnuť správne poverenia. Pre bežné a jednoduché poverenia je to jednoduché. Je to nemožné pre zložité kombinácie používateľského mena a hesla. Najlepším spôsobom, ako znížiť pravdepodobnosť úspešného útoku hrubou silou proti vašej stránke, je zabezpečiť, aby všetky používateľské účty mali dlhé zložité heslá.
Odporúča sa tiež zmeniť používateľské meno predvoleného hesla správcu z „admin“ na niečo menej zrejmé. Tento plugin vám pomôže so zmenou používateľské meno správcu.
Môžete tiež zvážiť použitie služby dvojfaktorovej autentifikácie, napr Authy. TFA výrazne znižuje vplyv útokov hrubou silou, aj keď si vaši používatelia vyberú slabé poverenia.
Pokročilé zmiernenie hrubej sily
Vďaka bezpečným prihlasovacím povereniam a TFA sú útoky hrubou silou v podstate zmiernené ako bezpečnostný problém, ale stále sú nepríjemné. Zakaždým, keď sa robot hrubej sily pokúsi prihlásiť na stránku WordPress, použije sa časť zdrojov tejto stránky. V najvážnejších prípadoch môže útok hrubou silou spôsobiť spotrebovanie dostupnej pamäte RAM stránky, čo má za následok útok odmietnutia služby.
Aby sa znížil vplyv neúspešných pokusov o prihlásenie, majitelia stránok WordPress môžu implementovať ktorúkoľvek z niekoľkých techník, ktoré sú tu uvedené článok z WordPress.org. Ak však nie ste nadšení myšlienkou hrabať sa so súbormi vašej WordPress stránky, existujú doplnky, ktoré túto prácu urobia za vás.
Jetpack
Ak ste používateľom Balík doplnkov Jetpack, pravdepodobne ste už pokrytý. Jetpack obsahuje sofistikovaný komponent na zmiernenie hrubej sily, ktorý zakáže škodlivé IP adresy a zníži spotrebu zdrojov.
Ochrana prihlásenia hrubou silou
Nie každý je fanúšikom Jetpacku a Ochrana prihlásenia hrubou silou je obľúbenou alternatívou. Obmedzí počet povolených pokusov o prihlásenie z prihlasovacej stránky a zakáže adresy IP, ktoré sa zdajú byť zapojené do škodlivých pokusov o prihlásenie.
Útoky hrubou silou sú nepríjemné, ale nie je dôvod, aby správne zabezpečená stránka WordPress bola ohrozená touto jednoduchou technikou. Začnite s najlepšie spravovaným poskytovateľom hostingu WordPress pre potreby zabezpečenia vašich webových stránok ešte dnes.