Brute force attack (v českém překladu – Útok hrubou silou), tento útok využívá systematického testování možných kombinací. Což znamená, že se snaží generovat heslo a uživatelské jméno a heslo. Hesla generuje buď z daného seznamu a nebo z určitých kombinací. Buď tedy zkouší základní hesla (heslo,123456789, heslo123, atd.) nebo ví, že heslo je třeba 12 místní, tak zkouší všechny možné kombinace. Proto název útok hrubou silou, jelikož zde neustále útočník posílá dotazy na server, zdali je kombinace správná, tím server dosti vytěžuje a také je tu určitá šance, že heslo a uživatelské jméno může uhodnout. Prvním pravidlem, jak ztížit uhodnutí uživatelského jména a hesla, je nemít základní uživatelské jméno (admin, administrátor). Dalším pravidlem je, že si nedáváme jednoduchá hesla, jak si vytvořit silné heslo zjistíte v předchozím článku. Už jen tímto zajistíte, že z velké pravděpodobnosti útočník vaše přihlášení neprolomí. Ovšem nevyřešil se druhý problém a to přetěžovaní serveru. Proto si dneska ukážeme, jak zamezit takovému útoku na redakční systém wordpress.
Sám wordpress je hojně využívám, bohužel má jednu velkou slabinu a to, že nemá omezeno, kolikrát můžete zadat špatné heslo. Proto pokud uživatel nechá základní uživatelské jméno admin, tak už má útočník na půl vyhráno. Další chybou je, že většinou si uživatele vybírají jednoduchá hesla, což se již podařilo vyřešit ve verzi 3.7, kde je nová přísnější kontrola na sílu hesla. Proto je základem zvolit si jiné uživatelské jméno a silné heslo. Druhým krokem je ovšem zamezení možnosti nekonečného přihlašování. Toho docílíme pomocí pluginu Limit Login Attempts. Plugin již nebyl dlouhou dobu aktualizovaný, ale je stále funkční, bohužel nikde není psáno, že bude funkční i s dalšími verzemi. Je škoda, že autor pluginu jej již neaktualizuje.
Pojďme ale k samotnému nastavení pluginu. Po jeho instalaci se vám objeví nová položka v levém sloupci (Nastavení -> Limit login attempts). Poté co se dostanete přes tento odkaz do nastavení uvidíte takovouto obrazovku.
Nastavení pluginu
Vy tam ovšem nebudete mít tlačítka „Reset počítadla“, „Smazat blokování“, „Smazat log“ . Projdeme si tedy, co každá kolonka znamená. V nastavení je počet povolených pokusů, který udává, kolikrát smí být chybně zadáno heslo, než bude uživatel na určitou dobu zablokován. Hned další kolonka je čas (v minutách), na jak dlouho bude uživatel zablokován po chybném zadání údajů. Další kolonka určuje, kolikrát uživatel může opakovat své chybné pokusy a pak na jak dlouho po vyčerpání těchto pokusů bude zablokován. Tak že v našem případě může uživatel zadat 12 pokusů s 20 minutovými přestávkami. Poté již bude zablokován na 24 hodin. Poslední kolonkou je počet hodin, po kterém budou resetovány pokusy o přihlášení. To znamená, že pokud se uživatel pokusí přihlásit a nevyčerpá všechny povolené pokusy, tak po této době bude moc zase zadat s plným počtem pokusů. V našem případě to znamená, že když zadám jenom 2 krát chybné pokusy a počkám 36 vteřin (0.01 * 3600 ), tak zase mám 3 pokusy.
Další možností nastavení je, buď přímé připojení nebo proxy. Zde nechte zaškrtnuto „Přímé připojení“. Poté je zde možnost cookies, zde nechte nastaveno „Ano“, jelikož heslo je silně šifrováno v cookies. Další možnosti jsou informace o chybných pokusech. První možnost „Logovat IP“, znamená, že se vám bude vytvářet seznam IP, které se zadali několikrát chybné údaje, což se hodí, aby jste dané IP adresy zakázaly napořád. Další volba vám zašle na administrátorský email upozornění, že někdo zadal chybné údaje, ale ovšem až po několika chybných pokusech. Je jen na vás po kolika to nastavíte, zde v příkladu chodí email po 6 chybných pokusech.
Teď se dostanu k tlačítkům, které jsem uváděl na začátku. Tlačítko „Reset počítadla“ se postará o to, že vám vynuluje počítadlo, které počítá, kolik bylo již zablokováno IP. Druhé tlačítko „Smazat blokování“ má za úkol, zrušit blokování u všech IP, které zadali chybné údaje. Tedy pokud někdo z vašich spolupracovníků zadal chybné údaje a nemůže se tedy třeba na 20 minut přihlásit, tak tohle tlačítko mu povolí opětovný přístup. Poslední tlačítko „Smazat log“ se postará o smazání logu, kde jsou uvedeny všechny detaily o chybných přihlášení (zkoušené uživatelské jméno, kolikrát byla IP uzamčena, IP).
Ovšem co dělat, když vy sami zadáte chybné údaje několikrát a plugin vám zablokuje přístup? Pomoc je jednoduchá, musíte mít ovšem přístup k databázi, kam je wordpress nainstalován. V této databázi zadejte tento příkaz.
Smazání blokace
Ještě se vám však bude hodit jeden příkaz.
Smazání chybných pokusů
Tento příkaz smaže chybné pokusy o přihlášení, které se vám zobrazují při chybném zadání údajů. Které se nevynulují ani, když se úspěšně přihlásíte, je to z bezpečnostních důvodů. Automatické smazání chybných pokusů proběhne vždy za čas určený v kolonce „- počet hodin, po kterém jsou chybné pokusy o přihlášení resetovány“ , do této kolonky lze zadávat i desetinná čísla, ovšem musí být oddělená tečkou.
Chybné pokusy
A závěrem vám ukážu, jak vypadá blokace při 3 krát chybném zadání údajů.
Blokace po chybných pokusech
Ja len doplním, že je potrebné zmeniť prihlasovacie stránky wp-admin, wp-login.
Môžem odporučiť komplexný plugin: Better WP Security.
Napřed chci poděkovat za komentář. Ovšem je dobré změnit přihlašování, ale díky tomuto pluginu to již není až tak moc nutné, ale chystám se o tom sepsat další článek, kde bude několik řešení tohoto problému. Já sám bych však plugin Better WP Security nedoporučil, jelikož je tam až příliš moc funkcí, v kterých se neznalý uživatel ztratí a může si svůj web poškodit.