Opozorilo: V zadnjih dneh smo zaznali zelo obsežne hackerske napade na administrativni vstop skript WordPress-a (in Joomle).
Ne le na naših strežnikih, kjer gostuje večina naših strani, temveč podobna obvestila masovno prihajajo tudi iz tujine ter od drugih ponudnikov gostovanj. Zaradi konstantnih neuspešnih poskusov prijave napadalci bremenijo strežnike, zaradi česar delujejo spletne strani počasneje. Na samem strežniku seveda že potekajo intenzivna iskanja prave obrambe in nastavitev požarnega zidu, vendar je to nekoliko težje, saj dejansko prihajajo normalni zahtevki, vendar pa iz veliko različnih IP številk. (Ker enega od neuspešnih poskusov pravkar spremljamo na eni od strani, ki smo jo že zaščitili, lahko povem, da se v eni uri “robot” poskusil prijaviti kot admin z najmanj 400 različnimi IP številkami z vsega sveta.)
Zaradi dane situacije predlagamo, da se iz preventivnih razlogov čimprej:
1. spremeni URL za administrativni dostop do same strani
2. inštalira dodatne varnostne module za obrambo pred napadalci
Naši programerji vam lahko po predhodnem naročilu na e-mail: splet@connecta.si seveda pomagajo realizirati zgornji dve točki.
Vedeti pa je treba, da to ni krivda ali napaka razvijalca spletne strani niti ponudnika gostovanj na strežniku, temveč težava večjih razsežnosti, povezana z vse večjo priljubljenostjo odprtokodnih progamov WP / Joomla.
Ker je namen našega zapisa predvsem zagotoviti čimvečjo varnost, prilagamo tudi nekaj možnosti, kako lahko za varnost strani poskrbite tudi sami:
Za uporabnike WordPress:
Na naslovu http://codex.wordpress.org/Brute_Force_Attacks boste našli koristne nasvete kako se ubraniti pred tovrstnimi napadi kot tudi vtičnik za wordpress, ki vas bo branil pred napadi.
Za uporabnike Joomla:
Vtičnik za Joomal Brute force protection najdete na http://extensions.joomla.org/extensions/access-a-security/site-security/login-protection/22982
In seveda, predvsem pa uporabljate čimbolj varna gesla, ki so sestavljena iz kombinacije najmanj 8 črk, številk in posebnih znakov, uporabljajte mali in velik črke, geslo pa naj bo nelogično – a vendar razumljivo vam. Primer: “VpI3Ii1s”, kar pomeni “V pisarni imamo 3 printerje in en skener” , pri čemer je vsaka druga črka mala.