Simple & Elegant

על התקפות כוח גס ואיך להימנע מהן

dictionary attackהתקפות כוח גס (Brute Force Attacks) הן התקפות פשוטות וקלות להפעלה ונדמה שהמון מתקפות על אתרים מתבצעות בניגוד להאקינג מסורתי שמחפש חולשות בתוכנה ומנצל אותן לטוב או לרע (להאקינג או קראקינג) התקפות כוח גס מתבצעת כשתוקף מוצא טופס כניסה לאתר ומנסה אפשרויות בכדי לנחש את שם משתמש והסיסמא בעזרת שילובים של האלפאבית או בעזרת מאגר זוגות סדורים של סיסמה ושם משתמש (Dictionary attack) עד שימצא זוג שעושה את העבודה.
דמיינו לעצמכם שאתם בכניסה למועדון, השומר מאחורי הדלת שואל אתכם לשמכם בכדי לאמת אישור כניסה ברשימה שלו ואתם עומדים עם ספר טלפונים של ישראל ועוברים איתו שם אחרי שם עד שמצאתם שילוב שעובד. כך בערך התקפות כוח גס עובדות בגסות ובלי יותר מדי תחכום אבל אם לא נערכים אליהן מראש בסופו של דבר התוקף ימצא את השלוב הנכון. אז מה עושים כשילדי סקריפטים תוקפים לכם את wp-login כאקט מחאה גאופוליטי? יש כמה צעדים מונעים שאפשר לקחת בכדי להקשות מאוד על תוקף מהסוג הזה לפגוע בכם או לתפוס אותו בזמן.

1. עקבו אחרי נסיונות כניסה שנכשלו.

אין סיבה שלא ותמיד חשוב שכן, יש המון פלאגינים שמנגישים את קבצי הלוג כניסה מנסיון אני ממליץ על התוסף login-security (ע"י Tony Archambeau) אבל אם אתם נינג'ות רשת ורוצים לממש את זה בעצמכם אז ניתן להשתמש בהוק wp_login

Login-Security-webene-co-il

2. הסירו את חשבון האדמין שלכם

שימוש בשם משתמש כמו admin עושה לתוקף חצי מהעבודה, אין סיבה שיהיה לכם שם משתמש כזה webene-co-il-usersואם יש לכם אחד אז רוצו למחוק אותו – לכו למשתמשים –> כל המשתמשים, במידה ואין לכם משתמש שונה מאדמין אז צרו אותו עם הרשאות ניהול מלאות, היכנסו בעזרתו ומחקו את חשבון האדמין שלכם.

3. השתמשו בסיסמא חזקה

RANDOM-ORG-Password-Generator 2014-05-01 01-16-50– יש המון גנרטורים של סיסמאות, לכו לגוגל ומצאו לכם אחד שעובד וצרו בו סיסמא שעונה על כל הפרמטרים האלא:

    1. יש בה לפחות שמונה תווים
    2. מכילה גם סימנים עם שמכילה גם אותיות רישיות וגם לא, מספרים ותווים מיוחדים.
    3. והכי חשוב לצורך המדריך הזה היא לא מילה במילון

דוגמא ליצרן סיסמאות שעובד יש באתר random

 

4. הגבילו גישה לwpconfig

הגבילו כניסה לwpconfig הוסיפו ב .httaccess הגבלת גישה לקובץ

# protect wpconfig.php


order allow,deny
deny from all

5. העבירו את עמוד הלוגאין מכתובת ברירת המחדל

-webene-co-il-rename-wp-configהתקנה דיפולטיבית של וורדפרס שמה את טופס הכניסה תחת wp-login ומצביעה אליו בכניסה לא של אדמין לwp-admin.
המצב הזה מקל על תוקף מאוד שלא צריך עכשיו שום מאמץ בכדי לגלות היכן הדלת שלכם נמצאת,
שינויי כתובת הכניסה לכתובת מותאמת אישית יקשה על תוקף לנחש היכן המטרה נמצאת.
מנסיון השימוש בפלאגין Rename wp-login.php עושה את העבודה בלי סיבוך מיותר

6 הסירו את גרסאת וורדפרס מהאתר שלכם:

גם אם אתם דוגאים לעדכן בזמן תמיד, אין שום סיבה לחשוף את גרסאת הוורדפרס שלכם לעולם. שתי הפונקציות הבאות אמורות לעשות את העבודה.
קרדיט קוד בבלוג
ובשרשור

/**
 * remove version number from css and scripts
 */
function remove_wp_version_strings( $src ) {
	global $wp_version;
		parse_str(parse_url($src, PHP_URL_QUERY), $query);
	if ( !empty($query['ver']) && $query['ver'] === $wp_version ) {
		$src = remove_query_arg('ver', $src);
	}
	return $src;
}
add_filter( 'script_loader_src', 'remove_wp_version_strings' );
add_filter( 'style_loader_src', 'remove_wp_version_strings' );

/**
 * remove version number from the_generator
 */
function remove_wp_version() {
return '';
}
add_filter('the_generator', 'remove_wp_version');

6. אל תשכחו לגבות

לא משנה מה קורה, תדאגו שיהיה לכם גיבוי של כל הוורדפרס (מסד נתוניםוגם את קבצי הוורדפרס)

בהצלחה!

ואם יעלו לכם שאלות, אל תתבישו לשאול למטה