Wnioski z ataków wykorzystujących ostatnią lukę bezpieczeństwa w WordPressie

Ataki

Ostatnie dwa tygodnie były dla mnie dość pracowite, tak więc tylko kątem oka przyglądałem się temu, co działo się wokół krytycznej luki bezpieczeństwa w WordPressie 4.7 i 4.7.1. Zawierająca poprawkę błędu wersja 4.7.2 została wydana 26 stycznia, o czym wspomniałem na Facebooku i uznałem temat za zamknięty. Nie znalazłem niestety czasu na dokładniejsze opisanie tej podatności, a szkoda, bo luka jest nie tylko bardzo poważna, ale również nietypowa, a wykorzystujące ją zmasowane ataki, które rozpoczęły się na początku lutego, trwają do dzisiaj.

Zgłębiając temat doszedłem do kilku wniosków, którymi chciałbym się z wami podzielić.

Czytaj dalej komentarzy 12


Co hakerzy robią z zainfekowanymi stronami?

WordPress Malware

Wiemy już, w jaki sposób najczęściej infekowane są strony działające na WordPressie. Pora więc sprawdzić, do czego hakerzy wykorzystują serwisy, nad którymi przejęli kontrolę.

Jak już kilkukrotnie pisałem we wpisach poświęconych bezpieczeństwu, atakującym zwykle nie chodzi o wyłączenie lub zniszczenie naszej strony – najczęściej starają się, abyśmy jak najdłużej myśleli, że wszystko jest z nią w porządku, dzięki czemu mogą ją wykorzystywać do swoich celów.

Czytaj dalej komentarze 3


W jaki sposób infekowane są strony działające na WordPressie?

Zabezpieczenia

Na blogu Wordfence pojawiło się ciekawe zestawienie sposobów, za pomocą których najczęściej infekowane są strony działające na WordPressie. Analiza obejmuje 1032 przypadki, które wprawdzie stanowią jedynie niewielki procent ogólnej liczby infekcji, ale można na ich podstawie wyciągać już jakieś sensowne wnioski.

Czytaj dalej komentarzy 12


Brute Force Amplification – nowy rodzaj ataków na WordPressa

Internet

Ataki typu brute force to prawdziwa plaga, która dotyka większość serwisów internetowych, nie tylko tych działających na WordPressie. Zasadę ich działania i sposoby na zabezpieczenie się przed nimi opisywałem w kwietniu. Jednak w ostatnim czasie odkryto nową wariację tego typu ataków, nazwaną Brute Force Amplification, która jest znacznie trudniejsza do wykrycia, mimo że wciąż jest stosunkowo łatwa do zablokowania.

Czytaj dalej komentarzy 9


Sucuri udostępnia przerażające statystyki ataków brute force na WordPressa

Sucuri - ataki brute force

Ataki typu brute force ukierunkowane na strony działające na WordPressie to już niestety codzienność. Mimo że stosunkowo łatwo jest się przed nimi zabezpieczyć, to przy odpowiednio dużej intensywności mogą one spędzić sen z powiek zarówno właścicielowi strony, jak i administratorowi serwera, na którym znajduje się atakowany serwis.

Sucuri, firma zajmująca się tematyką bezpieczeństwa stron internetowych (ze szczególnym uwzględnieniem WordPressa), opublikowała statystyki ilości ataków typu brute force. Liczby są porażające.

Czytaj dalej komentarzy 8


Jak zabezpieczyć plik wp-login.php przed atakami typu brute force

Zabezpieczenie

Ataki typu brute force to dla każdego użytkownika WordPressa chleb powszedni. Praktycznie każda strona oparta na tym CMSie jest mniej lub bardziej intensywnie atakowana przez automaty próbujące zalogować się na konto administratora, korzystając najczęściej z metody słownikowej (używając listy najpopularniejszych haseł). Ataki takie są bardzo charakterystyczne i łatwo je znaleźć w logach serwera – wystarczy zwrócić uwagę na częste żądania wysyłane do pliku wp-login.php, który służy do autoryzacji użytkowników.

Teoretycznie, jeśli stosujemy się do podstawowych zasad bezpieczeństwa, atakujący ma małe szanse na powodzenie. Jednak duża ilość tego typu prób ataków może spowolnić naszą stronę, a w najgorszym razie doprowadzić nawet do całkowitego jej unieruchomienia. Dlatego też dobrze jest zabezpieczyć się i zablokować całkowicie tego typu działania.

Czytaj dalej komentarzy 47


Nie możesz zalogować się do panelu WordPressa? Winna może być firma hostingowa.

W ostatnich dniach otrzymałem kilka pytań związanych z brakiem możliwości zalogowania się do panelu administracyjnego WordPressa. Wszystkie te przypadki miały jedną wspólną cechę: próby wejścia do panelu kończyły się komunikatem Nie znaleziono strony, wskazującym na brak pliku wp-login.php, w którym odbywa się cały proces logowania.

Okazało się, że niektóre firmy hostingowe (między innymi bardzo popularny Home.pl) bez wiedzy klientów i bez przesłania im jakiejkolwiek informacji zmieniają nazwę pliku wp-login.php na wp-login.php.blocked. I mimo że działanie to ma swoje uzasadnienie, to sposobu, w jaki cała akcja została przeprowadzona, nie można nazwać profesjonalnym.

Czytaj dalej komentarzy 20


Kolejny zmasowany atak na strony działające na WordPressie

Serwis Techcrunch donosi o przeprowadzanym na olbrzymią wręcz skalę ataku na strony działające na WordPressie. Atak odbywał się (a może wciąż się odbywa) metodą brute-force i miał charakter globalny (nie był ukierunkowany na żadną konkretną firmę hostingową ani grupę stron). O olbrzymiej skali przedsięwzięcia może świadczyć fakt, że (jak poinformował HostGator, jeden z większych dostawców usług hostingowych) zaangażowanych w nie było ponad 90 tysięcy adresów IP.

Czytaj dalej komentarzy 7