Ataki na WordPress?

[singlepic id=31 w=150 h=150 float=left]Cóż, ataki na najpopularniejsze systemy są rzeczą normalną, choć nie oznacza, że aprobowaną!

Zaufana Trzecia Strona: Od kilku dni na całym świecie mnóstwo serwisów, opartych na popularnym WordPressie, doświadcza zmasowanych ataków na konta administratorów, prowadzonych przez duży botnet. Jaka jest skala ataku, na czym polega i jak się przed nim bronić?

Niestety, już od dłuższego okresu (nie od kilku dni) nasze WordPress’y są bombardowane – ale w sumie, to nie jest istotne od kiedy..

Ataki (brute force) są można powiedzieć oparte na brutalnej próbie włamania tzn. łom i rozwalanie drzwi! Można nawet domniemywać, że atakujący urwali się chyba z jakiejś choinki, bo większość z nas zabunkrowała swoje dobrodziejstwa wyjątkowymi systemami ochrony 🙂

Nie zaszkodzi jednak jeszcze podpowiedzieć tym, co nie zauważyli prób rozbijania betonowego muru drewnianym trzonkiem od łopaty, jak w kilku podstawowych krokach zabezpieczyć konto administratora w WordPress.

Najszybszą metodą zabezpieczającą konto administratora jest po prostu zmiana w bazie danych nazwy logowania „admin”. O tym dokładniej na stronie: Jak zmienić login admin w WordPress

Jednak, gdybyście chcieli to zrobić zgodnie z zasadami WP, należy:

1. Dodać nowego użytkownika na prawach Administratora
Nazwa wyjątkowa i z pewnością nie:  Administrator, Adm, Root, Test, itp., może być np. Witalonado 😉

2. Zmienić uprawnienia obecnego użytkownika Admin
Oczywiście do najniższej roli tzn. Subskrybent.
Dlaczego nie usunąć? Po co, niech tracą czas na jego łamanie. My zyskamy przynajmniej wiedzę o atakach i czas na przygotowanie się.

3. Zastosować dla obu kont silnych haseł
Błagam i żadne jakieś tam QWE123$%^rty3. Wydaje się przy tym, że Admin powinien mieć hasło najsilniejsze na świecie..

4. Włączyć zabezpieczenia Captcha
Bez zabawy, dla: logowania, rejestracji, przypomnienia hasała i komentarzy.
Wtyczka np. SI CAPTCHA Anti-Spam

Na koniec warto jest jeszcze dodać do WP wtyczki, które będą w czytelny i prosty sposób pokazywać aktywność błędnie logowanych użytkowników np. ThreeWP Activity Monitor

P.S.
1. Są oczywiście jeszcze inne, dużo bardziej zaawansowane metody zabezpieczania WordPress – zachęcam do przeszperania internetu w tym temacie, chociażby po to, aby wiedzieć..
2. Z premedytacją załączyłem zrzut różnych prób ataku na moją stronę podając IP i hasła..