Máte blog nebo web na CMS WordPress? A hlídáte si bezpečnost?

Tento můj osobní blog je postavený na redakčním systému WordPress. Což je open source redakční systém. Dle mého názoru je WordPress poměrně hodně dobře udělaný, takže ho zvládne nainstalovat i laik se základními znalostmi (jako třeba já :)). Co se týká vytváření obsahu – tak mám v praxi ověřeno, že to zvládne i totální počítačový analfabet.

WordPress mám rád (byť se dá na jeho stranu najít i spousta kritiky, ale to sem teď nepatří). Tento redakční systém je používán na miliónech webů po celém světě. A nejsou to jen malé weby, běží na něm i několik větších projektů, řada velkých zpravodajských portálu také WordPress používá pro své blogové sekce apod.

Díky svému rozšíření je ale současně WordPress oblíbeným cílem nejrůznějších útočníků. Já osobně jsem se na svém blogu nebo jiných webech (které běží na WP) nesetkal s nějakým konkrétním problém. Ale přesto, opatrnosti není nikdy dost. A jak se podíváme dále, není to zbytečná opatrnost.

Máte web na WordPress? A hlídáte si, kdo se zkouší přihlásit do administrace?

Každý web (až na výjimky), který je postavený na tomto CMS má svoji administrační část, která je zpravidla přístupná na adrese /wp-admin/ … u mě tedy https://complot.cz/wp-admin/. K přihlášení je potřeba uživatelské jméno + heslo.

Před nějakou dobou jsem si sem na web přidal jeden šikovný plugin Limit Attempts. Ten dělá to, že umožňuje na základě detekce cookie / IP omezit počet pokusů o přihlášení. Slouží tedy jako prevence pro různé roboty, kteří zkouší hádat hesla, tím že opakovaně zadávají „náhodné“ (nemusí být náhodné, existují různé slovníky apod.) kombinace přihlašovacích jmen a hesel. Tento plugin (doplněk) pro WordPress pak dělá to, že dovolí třeba jen 4 chybné pokusy za 1 hodinu pro jednu IP / cookie. Pak následuje stopka – uživatel (častěji ale robot) musí počkat třeba 20 minut, než může zkoušet další pokusy.

Já jsem si nastavil poměrně striktní omezení:

• Maximálně 3 pokusy, pokud je třetí pokus zase špatně tak následuje 60 minut hodin „ban“
• Pokud je i další (4) pokus špatně, tak se „ban“ prodlouží na 24 hodin
• Pokud je nějaká IP zablokována, přijde mi notifikační email

Ještě před několika týdny to bylo tak, že mi čas od času přišel email, s upozorněním, že nějaká IP adresa byla zablokována. Ale za poslední 3 měsíce, se s takovými notifikacemi „roztrhl pytel“. Takže jsem si schválně udělal trochu času, abych se na to podíval.

Přes 2 tisíce pokusů o uhádnutí hesla

Za posledních asi 6 měsíců mi tento plugin zablokoval 1760 různých IP adres. Některé IP adresy to vzdali po první blokaci, jiné po druhé, ten největší nezmar to musel zkoušet řadu dní, protože nasbíral celkem 28 blokací. Celkový počet blokací byl tedy 2209.

Takže i když třeba máte naprosto nedůležitý a celkem ani nenavštěvovaný webík – jako já – tak se přesto můžete stát lákavým cílem pro různé roboty. Ty zkouší prolomení vašich přihlašovacích údajů z mnoha různých důvodů – hezky je to shrnuto v prezentaci od Michala Kubíčka – viz zde. Ten uvádí jako nejčastější důvody:

• Rozesílání nevyžádané pošty
• DDoS útoky
• Podvodná přesměrování
• Pozměňování obsahu stránek
• Vkládání zpětných odkazů a iframes
• Vkládání reklamy
• Znevěrohodnění webu
• Přístup k osobním údajům a heslům
• Přístup k platebním branám
• Odcizení služeb
• Vložení škodlivého kódu do PC uživatele
• Ukládání nelegálního materiálu
• atd…

A není to pochopitelně jenom o pokusech „uhodnout“ přihlašovací údaje do administrace. Těch dalších možností je celá řada. Část z nich je shrnuta ve výše odkázané prezentace.

Ostatně není to tak dávno, co se objevila zprávička, že redakční systémy WordPress a Drupal mají bezpečnostní chybu, která umožňuje snadno sestřelit celý server. WordPress už vydal příslušnou opravu, ale počítám, že dalších možností, jak mohou útočníci napadnout i váš web je ještě mnoho.

Mě osobně – dokud jsem si nenainstaloval příslušné pluginy (kromě Limit Attempts je dobrý třeba ještě Acunetix WP Security) – ani nenapadlo, že by můj web mohl být cílem nějakých útoků. A vida …