Jak odrazit útok na Wordpress a jiné CMS

spam bot stop

V posledních týdnech pozorujeme u hostingových zákazníků, ale i u webů na VPS v naší správě množství útoků na přihlašovací formuláře do administrace CMS. Především se jedná o joomla.org/administrator a wordpress.org/wp-login.php. Běžný sdílený hosting provozujeme na silných serverech, proto ani 8000 pokusů při použití brutální silou (Brutal Force attack) server neshodí a stránky se stále načítají. Útok na přihlášení do joomly, zatěžuje server, ale nikoliv tak strašně jako útok přihlášení do wordpressu. Hostingový zákazník může pozorovat max. zpomalení stránek. Zákazník s VPS serverem, které má běžné parametry a plné wordpressů to však odstaví. Podívejme se nyní spolu jak útok odrazit ze strany webu.

1) Neznámá adresa

Každý zná přihlašovací adresu pro wordpress, joomlu, drupal apod.. Nabízí se změnit adresu pro přihlášení. Jako příklad můžeme uvést eshop systém Prestashop, který Vás ihned po instalaci upozorní na nutnost změnit adresář /admin na cokoliv jiného.

2) Omezení na IP adresu

V adresáři s přihlašovací stránkou vytvoříme soubor .htaccess a do něj vložíme:

Order Deny,Allow
Deny from all
Allow from 178.238.41.70

Říkáme tím, že zobrazení stránek v adresáři s .htaccessem. je možné pouze z IP adresy 178.238.41.70 a z žádné jiné.

3) Duplicitní zaheslování přístupu skrze Basic access authentication

V adresáři s přihlašovací stránkou vytvoříme soubor .htaccess a do něj vložíme:

<Files wp-login.php>
AuthType Basic
AuthName "My Protected Area"
AuthUserFile /data/web/virtuals/stranka.cz/.htpasswd (Zde musíte uvést absolutní cestu k souboru .htpasswd)
Require valid-user
</Files>

Soubor .htpasswd Vám určuje pomocí jakého loginu a hesla je možné stránku zobrazit.
V adresáři s přihlašovací stránkou vytvoříme soubor .htpasswd a do něj vložíme login:heslo
Heslo musí být kódováno v algoritmu MD5. Pokud nevíte jak heslo zakódovat můžete využít online generátor na: http://www.htaccesstools.com/htpasswd-generator/

Zápis pro uživatele admin s heslem test bude vypadat v souboru .htpasswd takto:
admin:$apr1$GZJSVSSc$e4D5afSeOTn8ZogplYw9d1

 

Metoda 2 a 3 přenášejí sílu útoku z web stránek na .htaccess a tím zatížení webu výrazně klesne. Rozmach spambotu je alarmující a tak každý prvek, který jim znesnadní práci je vítán.
Doporučení na závěr. Správné heslo je min. 8 znaků dlouhé, obsahuje malá a velká písmena, číslice a znak, který se na klávesnici nevyskytuje. Druhá možnost je extra dlouhé heslo např. zasedalsiheslokteresinebudupamatovat

Tip: Jak na mimoverbální pomůcky k zapamatování hesla ZDE

 

 

 

MyDreams