Serwis Techcrunch donosi o przeprowadzanym na olbrzymią wręcz skalę ataku na strony działające na WordPressie. Atak odbywał się (a może wciąż się odbywa) metodą brute-force i miał charakter globalny (nie był ukierunkowany na żadną konkretną firmę hostingową ani grupę stron). O olbrzymiej skali przedsięwzięcia może świadczyć fakt, że (jak poinformował HostGator, jeden z większych dostawców usług hostingowych) zaangażowanych w nie było ponad 90 tysięcy adresów IP.

Na czym polegał atak?

Atak został przeprowadzony metodą brute-force, która polega na wykonywaniu (oczywiście automatycznie) wielokrotnych prób logowania z wykorzystaniem haseł ze specjalnej listy (lub – rzadko – generowanych spośród wszystkich możliwych kombinacji). W tym przypadku celem był panel administracyjny WordPressa, a konkretnie użytkownik o loginie admin (pisałem dlaczego nie należy go używać).

Objawem takiego ataku jest wyraźne spowolnienie działania strony (serwer musi obsłużyć bardzo dużą liczbę żądań), często kończące się całkowitą niedostępnością serwisu. Problem staje się większy, gdy logowanie się powiedzie – wtedy tylko od inwencji atakującego zależy, co zostanie „doklejone” do naszej strony (najczęściej są to skrypty przekierowujące użytkowników do innych serwisów lub wyświetlające reklamy).

Specjaliści z serwisu CloudFlare twierdzą, że do ataku wykorzystano botnet złożony z około 100 tysięcy domowych komputerów PC.

Jak zabezpieczyć się przed atakiem brute-force

O ile nie jesteśmy w stanie zablokować żądań wysyłanych do naszej strony (może to zrobić firma hostingowa), o tyle bardzo łatwo możemy zabezpieczyć się przed wykonywaniem wielokrotnych prób logowania. Posłużyć nam do tego może bezpłatna wtyczka Limit Login Attempts, którą opisałem w tekście Zabezpieczanie WordPressa: podstawy. Pozwala ona na ustalenie ilości dozwolonych prób logowania, po przekroczeniu której możliwość logowania zostaje całkowicie zablokowana.