Uwierzytelnianie dwuskładnikowe w WordPressie

Uwierzytelnianie dwuskładnikowe

Pisząc o bezpieczeństwie serwisów opartych na WordPressie najczęściej skupiam się na zabezpieczaniu stron przed atakami z zewnątrz. Jednak równie ważne jest zadbanie o jak najlepsze zabezpieczenie samego procesu logowania, tak aby nikt niepowołany nie uzyskał dostępu do konta z uprawnieniami administratora.

Jedną ze skuteczniejszych i najpowszechniej stosowanych metod zabezpieczania procesu logowania jest uwierzytelnianie dwuskładnikowe (two-factor authentication), nazywane też dwuetapowym. Metoda ta polega na dodaniu do procesu logowania dodatkowego składnika w postaci zmieniającego się co pewien czas kodu. Kod ten może być dostarczany użytkownikowi za pomocą SMSa, poczty e-mail (podobnie jak w opisywanej przeze mnie wtyczce Paswordless) czy generowany przez dedykowaną aplikację. Dzięki temu nawet jeśli ktoś wejdzie w posiadanie naszego loginu i hasła, to i tak nie będzie w stanie zalogować się na nasze konto.

Czytaj dalej komentarzy 9


Jak (w miarę) bezboleśnie udostępnić stronę przez połączenie szyfrowane HTTPS

Enigma

W ostatnim czasie nacisk na udostępnianie stron internetowych za pośrednictwem szyfrowanego protokołu HTTPS jest coraz większy. Oczywiście w przypadku witryn, na których użytkownicy wprowadzają swoje dane (loginy, hasła, dane osobowe), szyfrowanie to podstawa, ale coraz więcej „zwykłych” stron WWW również przechodzi na protokół HTTPS.

Ja również dałem się w to wciągnąć i od kilku dni WPzen jest dostępny tylko przez HTTPS. Niestety, natknąłem się przy tej okazji na chyba wszystkie możliwe problemy, o których opowiem w dalszej części wpisu.

Czytaj dalej komentarze 123


6G Firewall – prosty sposób na zabezpieczenie strony przed atakami

6G Firewall

Strony WWW są nieustannie atakowane przez boty, które próbują wykorzystać luki w popularnych skryptach używanych do budowy witryn internetowych. Jednym z najpopularniejszych celów takich ataków jest WordPress, głównie przez swoją popularność, ale również przez sporą liczbę dostępnych wtyczek i motywów, z których niektóre są niestety pełne błędów.

Istnieje mnóstwo narzędzi i wtyczek służących do zabezpieczania stron opartych na WordPressie przed tego rodzaju atakami. Zawsze jednak warto rozglądać się za dodatkowymi lub lepszymi od aktualnie używanych sposobami na powstrzymywanie złośliwych skryptów. Jednym z wartych uwagi narzędzi jest 6G Firewall.

Czytaj dalej komentarzy 21


Plugin Inspector – jak sprawdzić czy używane wtyczki są bezpieczne

Plugin Inspector

Bezpieczeństwo stron opartych na WordPressie zależy od wielu czynników, a jednym z nich jest jakość używanych wtyczek. Teoretycznie rozszerzenia instalowane z oficjalnego repozytorium powinny być bezpieczne, ponieważ nad ich kodem czuwa ekipa moderatorów, którzy sprawdzają go pod kątem bezpieczeństwa. Niestety, jest to tylko częściowo prawda, ponieważ cały czas we wtyczkach wykrywane są nowe błędy, których większość jest wprawdzie usuwana przez autorów, ale nigdy nie wiadomo gdzie jeszcze czają się potencjalnie groźne dla nas luki. Jak mówią doświadczeni programiści, nie ma oprogramowania bez błędów – jest tylko oprogramowanie, w którym błędów jeszcze nie wykryto.

Plugin Inspector to darmowe narzędzie, które pomoże nam w wykryciu potencjalnie niebezpiecznych wtyczek lub w upewnieniu się, że rozszerzenia, których używamy, nie stanowią zagrożenia dla naszej strony.

Czytaj dalej komentarze 3


Brute Force Amplification – nowy rodzaj ataków na WordPressa

Internet

Ataki typu brute force to prawdziwa plaga, która dotyka większość serwisów internetowych, nie tylko tych działających na WordPressie. Zasadę ich działania i sposoby na zabezpieczenie się przed nimi opisywałem w kwietniu. Jednak w ostatnim czasie odkryto nową wariację tego typu ataków, nazwaną Brute Force Amplification, która jest znacznie trudniejsza do wykrycia, mimo że wciąż jest stosunkowo łatwa do zablokowania.

Czytaj dalej komentarzy 9


Sucuri udostępnia przerażające statystyki ataków brute force na WordPressa

Sucuri - ataki brute force

Ataki typu brute force ukierunkowane na strony działające na WordPressie to już niestety codzienność. Mimo że stosunkowo łatwo jest się przed nimi zabezpieczyć, to przy odpowiednio dużej intensywności mogą one spędzić sen z powiek zarówno właścicielowi strony, jak i administratorowi serwera, na którym znajduje się atakowany serwis.

Sucuri, firma zajmująca się tematyką bezpieczeństwa stron internetowych (ze szczególnym uwzględnieniem WordPressa), opublikowała statystyki ilości ataków typu brute force. Liczby są porażające.

Czytaj dalej komentarzy 8


Podatność na ataki stored XSS w kilku ostatnich wersjach WordPressa

WordPress - bugSpecjaliści z fińskiej firmy Klikki Oy opublikowali informację o podatności WordPressa na ataki typu stored XSS (Cross-site scripting). Wstrzyknięcie złośliwego kodu JavaScript jest możliwe za pomocą specjalnie spreparowanego komentarza. Podatne są wersje 4.2, 4.1.2, 4.1.1 i 3.9.3 (z jakiegoś powodu nie wymieniono wersji 4.0.x). Na ten moment nie istnieje jeszcze poprawka – odkrywcy luki zalecają całkowite wyłączenie możliwości komentowania lub włączenie moderacji komentarzy i niezatwierdzanie ich bez uprzedniego sprawdzenia treści. Luka została usunięta w wersji 4.2.1 – zalecana jest jak najszybsza aktualizacja.

Czytaj dalej komentarzy 5


Jak zabezpieczyć plik wp-login.php przed atakami typu brute force

Zabezpieczenie

Ataki typu brute force to dla każdego użytkownika WordPressa chleb powszedni. Praktycznie każda strona oparta na tym CMSie jest mniej lub bardziej intensywnie atakowana przez automaty próbujące zalogować się na konto administratora, korzystając najczęściej z metody słownikowej (używając listy najpopularniejszych haseł). Ataki takie są bardzo charakterystyczne i łatwo je znaleźć w logach serwera – wystarczy zwrócić uwagę na częste żądania wysyłane do pliku wp-login.php, który służy do autoryzacji użytkowników.

Teoretycznie, jeśli stosujemy się do podstawowych zasad bezpieczeństwa, atakujący ma małe szanse na powodzenie. Jednak duża ilość tego typu prób ataków może spowolnić naszą stronę, a w najgorszym razie doprowadzić nawet do całkowitego jej unieruchomienia. Dlatego też dobrze jest zabezpieczyć się i zablokować całkowicie tego typu działania.

Czytaj dalej komentarzy 51


FBI ostrzega przed atakami na WordPressa

FBIWczoraj FBI opublikowało oficjalny komunikat, w którym ostrzega przed atakami wymierzonymi w serwisy korzystające z WordPressa.

Uwagę amerykańskiego Federalnego Biura Śledczego zwróciła zwiększona aktywność sympatyków Państwa Islamskiego, którzy wykorzystując luki bezpieczeństwa w popularnych wtyczkach „wstrzykują” do zainfekowanych stron złośliwy kod. Jak podkreślono w komunikacie, atakujący prawdopodobnie nie są członkami organizacji terrorystycznej, a jedynie wykorzystują jej nazwę w celu przyciągnięcia nieco większej uwagi do swoich działań.

Czytaj dalej komentarze 3


Moja walka z zainfekowanymi stronami

WordPress - bugKilka dni temu otrzymałem zgłoszenie dotyczące problemów z działaniem kilku serwisów zbudowanych na WordPressie. Rzuciłem okiem na dwie z wymienionych stron i już wiedziałem co się dzieje. Obie witryny zostały zainfekowane jakimś syfem, którego usunięcie zwykle kosztuje sporo pracy i nerwów. Po zalogowaniu się do serwera przez SFTP odkryłem, że na jednej wirtualce działa ponad dwadzieścia stron, z których zainfekowanych zostało co najmniej kilkanaście. Sytuacja nie wyglądała ciekawie, tym bardziej, że trzy strony trafiły już na jedną z „czarnych list”, tak więc tylko kwestią czasu było wciągnięcie ich na najistotniejszą chyba listę Google Safe Browsing.

Na usuwaniu śmieci z wszystkich tych stron spędziłem pół dnia, popełniając przy tym kilka błędów. Ten wpis powstał po to, abyście Wy w takiej sytuacji tych błędów nie powielili.

Czytaj dalej komentarzy 15