Массовые брутфорс атаки на сайты WordPress и Joomla
14 Авг, 2013 
Комментариев 52
Здравствуйте, друзья! За последнее время в интернете произошло несколько интересных событий: Яндекс запустил бета-версию Островов и изменил интерфейс Вордстат, ЦОП Profit-Partner начал очередную акцию с подарками, стартовало несколько новых конкурсов. Но, пожалуй, самое резонансное, это массовые Brute Force атаки на сайты, которым подверглись хостинги по всему миру в конце июля. Опасности взлома подвержены в основном сайты на CMS WordPress и Joomla. В случае успешного взлома, сайт становится частью ботнета и используется для новых атак.
Если вы до сих пор об этом не слышали, это не значит, что оно вас не касается. С помощью технологии брутфорс подбирается логин и пароль для входа на сайт по стандартному для WordPress адресу wp-login.php путем перебора символов. В результате к сайту идет очень большое количество запросов, что может создавать повышенную нагрузку на сервер. Так что, если у вас наблюдаются проблемы с нагрузкой, надо быть особенно внимательным.
Защита от брутфорс атак (перебора паролей) на стороне хостинга
Многие хостинги своевременно отреагировали на действия хакеров, но, видимо, не все. Во всяком случае, я заметил активные действия со стороны Бегет, Спринтхост и Макхост. ТаймВеб и 1gb.ua никаких видимых движений не производили, за остальных сказать не могу.
Не помню точно, когда я первый раз услышал об этих попытках массовых подборов паролей, но тогда сразу задал вопрос в тех.поддержку Макхост, где находится мой основной блог, и получил ответ, что о проблеме им известно и все под контролем.
3 августа получил письмо от beget.ru:
Через некоторое время доступ в админку был открыт. Надеюсь, на Бегете держат ситуацию под контролем, но, на всякий случай, я изменил адрес входа в панель администратора.
При попытке входа в админ.панель блога на хостинге sprinthost.ru меня до сих пор встречает такая страница:
На mchost.ru аналогичная картина:
Кроме того, перейдя по ссылке в сообщении, можно посмотреть подробную инструкцию по изменению адреса входа в админку WordPress с помощью специального скрипта. Там же можно скачать и установить сам скрипт.
Честно сказать, я стараюсь быть в курсе событий и периодически общаюсь с сотрудниками хостинга на предмет этой угрозы. А сегодня решил задать несколько вопросов руководителю отдела развития хостинга Игорю Белову, с которым уже многие знакомы по прошлой моей публикации о переносе сайта на Макхост. Получилось своеобразное интервью. Надеюсь, эта информация будет вам полезна, тем более что это реальная угроза для наших блогов, которую нельзя недооценивать.
Наши клиенты защищены настолько, насколько это возможно
Игорь, опишите, пожалуйста, вкратце сложившуюся ситуацию. Атаки идут по всему миру и длятся уже довольно долго, неужели никому, кроме хостингов и вебмастеров, до этого нет дела?
Первые атаки были еще в мае, но они были не столь заметными, хотя в интернет-новостях отметились. Лаборатория Касперского делала заявления по этому поводу, насколько я помню.
В интернете всегда были бот-сети. Бот-сети – это группа зараженных компьютеров, обычно компьютеров обычных пользователей. Компьютер может быть в бот сети годами, и пользователь не будет знать об этом. Большинство людей пренебрегает вопросами безопасности. Бот-сети создаются разными группами злоумышленников и создаются по-разному. Есть маленькие сети, есть огромные. Эти сети злоумышленники могут использовать сами или сдавать их в аренду для разных целей. Например, если нужно сделать так, чтобы какой-то сайт не работал, то заказывается атака на этот сайт. Компьютеры бот-сети получают сигнал с командой входить на этот сайт через определенный промежуток времени. В результате на сайт обрушивается большое количество запросов.
Тут нужно учитывать, что заказчик этих атак платит за размер сети и продолжительность, поэтому вечной атаки быть не может, т.к. чем больше атака, тем дороже. Кроме этого, с очень сильными атаками борются магистральные провайдеры.
По сути, бот-сети могут выполнять любые команды. Поэтому, можно дать им команду по подбору паролей, вот, видимо, кто-то и додумался до этого :-). Суть в том, что, зная пароль, можно добавить на сайт ссылки, заразить вирусом (для расширения бот-сети или других способов получения дохода) и т.д. Иными словами, можно извлечь с этого небольшую, но выгоду. Так как для получения значимой прибыли нужны миллионы таких сайтов, то все это делается автоматизированно.
Кстати, я специально не использовал слово “хакер”, т.к. очень часто хакеры находят уязвимость или разрабатывают хаки, но не используют их сами, а продают. А покупатели, обычно не хакеры, уже специализируются на получении дохода.
Российские органы поиском подобных злоумышленников не занимаются, за редким исключением, например, когда была атака на сайт Аэрофлота. Говорят, что нет тех.средств для этого. В США ФБР занимается только крупными группами и сетями и, обычно, когда дела связаны с кражей банковской информации или взломом сайтов крупных компаний. Но по большому счету борьба с этим всегда была на конечных потребителях.
Насколько масштабны эти атаки и какие сайты им подвержены?
На данный момент атакам подвержены сайты на WordPress и Joomla. Они достаточно масштабны, как по силе, так и по объему. Все хостинг-компании, у которых есть значительное количество сайтов, фиксируют эти атаки, т.к. они идут круглосуточно. Атакуют не хостинг-компанию, а именно сайты и не имеет значение, на каком хостинге он находится. Есть большая база сайтов и боты атакующих ходят по этим сайтам с целью подбора паролей, если там стоит WP или Joomla. Сложность тут состоит в том, что обращения идут с миллионов разных IP-адресов (видимо, используются разные бот-сети), поэтому блокировки не работают. Изначально создатели этих атак допустили небольшую техническую ошибку, о которой не буду упоминать, что позволило нам сразу запустить минимальную защиту и за несколько дней довести ее до максимальной.
Тут есть еще один важный момент. Сразу заметно возросла нагрузка на серверы, т.к. заметно увеличилось количество запросов к сайтам.
Чего добиваются хакеры и зачем им это надо?
Злоумышленники добиваются получения доступа к админке сайта, а дальше уже можно это использовать по-разному – от размещения ссылок с рекламой до заражения вирусом. Кроме защиты от атак, у нас работает антивирусная защита, поэтому если она обнаруживает заражение сайта, то на почту присылается отчет с указанием деталей и зараженных файлов.
Для нас, как для хостинг-компании, подбор паролей – это ежедневная ситуация. Поэтому мы научились с ней бороться, но не всегда возможно обратиться к нашим клиентам с этим. Например, когда мы добавили в панель функцию, запрещающую ставить легкие пароли (11111111, password и прочие), то были жалобы на это :-). Люди думают, что взлом их сайта никому не нужен, но они не понимают, что эти взломы делаются ботами на автомате, а люди лишь контролируют процесс. И если взломщик заработает с взлома их сайта всего 10 рублей, например, за размещение рекламы на несколько дней или редиректа на другой сайт, то с миллиона взломанных сайтов уже будет 10 миллионов. А есть клиенты, которые не замечают взлома месяцами.
Какие уязвимости, прежде всего, могут использовать и что предпринять обычным вебмастерам, особенно новичкам?
После начала атак мы оперативно позаботились о защите и сейчас наши клиенты защищены настолько, насколько это возможно со стороны хостинга. Более того, мы подготовили резервный механизм защиты на тот случай, если тип атаки изменится. По поводу рекомендаций. Во-первых, нужно иметь надежный пароль. Во-вторых, изменить адрес входа в админку. Но самое лучшее, это закрыть доступ в админку для всех IP-адресов, кроме ваших. Это можно сделать через файл .htaccess, но, к сожалению, последнее не всем сайтам подходит. Ведь у многих динамичный IP и придется при каждом входе в админ.панель править файл .htaccess.
Вы сказали, что Макхост, своевременно позаботился о своих клиентах и установил дополнительную защиту. Насколько это надежно и следят ли сотрудники хостинга за ситуацией, ведь хакеры могут менять тактику нападения, используя другие пути?
Текущая защита надежна настолько, насколько это возможно. Но мы подготовили и резервный вариант – более комплексная и серьезная защита, которую, по сути уже не обойти такими атаками. Мы ее примем, если тактика атаки изменится, так как текущая защита и так хорошо справляется.
Были на Вашей памяти подобные атаки, и как часто это происходит? Или это самая крупномасштабная акция за последнее время?
Атаки на CMS были постоянно, но не было такой широкой и мощной. Обычно атакующие боты были рассчитаны на какие-то уязвимости самих CMS, поэтому задевали немного сайтов. Нужно лишь вовремя обновлять CMS. Подбор паролей для FTP, к сожалению, тоже был всегда, но опять же в небольших масштабах. Обычно взламывали те сайты, которые сами пренебрегали своей безопасностью, например, ставя самые простые пароли. Сейчас ситуация отличается тем, что идет очень сильный перебор паролей.
К сожалению, в этих CMS нет простого механизма защиты от подбора. Например, задержки на вход при неверном пароле. О защите должны заботиться сами вебмастера, устанавливая дополнительные скрипты и плагины. Со своей стороны мы сделаем все возможное, чтобы они могли спать спокойно, не боясь потерять сайт. Поверьте, наши специалисты обладают достаточными для этого возможностями.
Спасибо Игорю за это блиц-интервью и содержательные ответы!
Со своей стороны хочу порекомендовать, если ваш сайт не расположен на хостинге Макхост, поинтересоваться у своего провайдера, какие меры ним приняты для защиты сайтов своих клиентов.
Простые способы защиты админки WordPress от взлома
В любом случае, самому надо тоже позаботиться о безопасности сайта и использовать хотя бы такие простые действия для защиты от подбора паролей:
- не использовать стандартный логин admin и установить сложный пароль для входа в админку WordPress (подробнее здесь);
- ограничить число попыток входа в админ.панель, например, с помощью плагинов Login LockDown или Limit Login Attempts;
- если у вас статичный IP, то можно разрешить вход только ему через файл .htaccess;
- изменить стандартный адрес входа /wp-login.php и /wp-admin, например, с помощью простого плагина wSecure Authentication или более мощного Better WP Security;
- не использовать виджет “Мета“, так как в нем есть прямая ссылка “Войти“.
Вот такая информация. А как у вас обстоят дела, почувствовали ли вы на своих сайтах силу брутфорс атак?
P.S. Кого интересуют промо-коды на 3 месяца бесплатного хостинга по тарифу “Профи” от Макхост, обращайтесь, поделюсь.
Понравилась статья? Нажимай на кнопки:
Вот оно что, оказывается… буквально на днях имели счастье… да уж… не живется людям спокойно… обратились на хостинг, но они не имели такой информации как вы…
Сейчас уже информации хватает и надо держать уши востро.
Лорик, не в курсе, наш хостинг тоже своевременно отреагировал на попытки взлома и подборы паролей, усилили защиту, но мы успели пережить несколько неприятных моментов.
Главное, что уже пережили. Пусть дальше только приятные моменты будут и подлиннее :-).
Ой, ну кто знал… на тот момент никто не был в курсе.
Привет, Олег! Да уж, эти атаки задолбали однако. Из-за них я не мог войти нормально в свою админку 8 дней. Но ребята из техподдержки хостинга решили эту проблему и теперь все нормально.
Защита конечно нужна, начиная с паролей и заканчивая защитными плагинами. Я помню, первым делом на курсах нас сразу заставили поменять логин для входа вместо admin. Тогда не понимал, зачем это нужно – теперь все понятно.
Спасибо за актуальный пост!
Да, много защиты не бывает :-).
Олег, ты мне глаза открыл. Я даже не представляла, что все так серьезно. Нагрузки на свой сайт не замечала. Но пойду на всякий случай поменяю пароль и логин.
Спасибо тебе за предупреждение!
Ставь пароль символов 30 в разных регистрах.
После того, как хостинг сообщил, что мой сайт превентивно заморожен, я его размораживала, меняла всё, что предписали сменить, замуровала запасные входы. И теперь думаю: каменный у меня домик Наф-нафа, или ещё и дымоход где-то есть для волков.
Если захотят взломать конкретный сайт, то и дымоход найдут. Защита от массовых однотипных атак нужна попроще.
ОК! Спасибо! ))
Олег, советы ценные. Я постараюсь уделять больше внимания своему блогу. А скажи, как убрать виджет мета с главной? В админке у меня виджет мета не стоит, значит методом перетаскивания я не могу воспользоваться. Наверное, как то по другому? Если можешь посмотри, посоветуй. Это мой молодой сайт, ему требуется защита.
Обычно в новой теме надо добавить новый виджет перетаскиванием, тогда стандартные исчезают. Если не получится, надо редактировать файлы темы, скорее всего искать в sidebar.php.
Как только посещаемость блога стала больше 30 ч. в день, начались атаки. Поставил Better WP Security, но каждый раз, заходя в ящик, имел пачку сообщений о попытке проникнуть в админку. Переимновал файл /wp-login, и все попытки прекратились. Единственное неудобство – перед тем, как войти в админку, возвращаю файлу /wp-login правильное имя.
По-моему в этом плагине можно указать новый адрес для входа в админку и не надо каждый раз менять. Просто надо заходить по другому адресу.
Олег, интересно куда делся мой комментарий? Задавала вопрос, думала появился ответ. Увы, ничего не нашла! Странно.
А комментарий вытащил из спама почему-то.
Теперь прошло, а вопрос такой. Как удалить виджет “мета”, если в админке в виджетах его нет, т.е. там перетаскивать ничего не надо? Не знаю, понятно ли сформировала вопрос?
Уже ответил ранее.
Поняла, попробую покопаться в файлах, так как в виджетах я его не нахожу. Спасибо!
Олег, спасибо за наводку. Действительно в правом сайдбаре в редакторе покопалась и удалила. Все получилось и даже не слетело! Благодарю. Теперь займусь мудреными паролями.
Вижу, вернее уже не вижу Мету :-). Пароль надо сразу ставить сложный и периодически менять. Такой пароль можно несколько лет подбирать.
На бегете тоже было. Я заблокировал самые активные IP в .htaccess.
В логах я не видел миллионов IP, основная масса запросов была с трёх IP.
А потом поддержка изменила вход в админку для всех сайтов хостинга на wp, joomla и т.д.
После этого атак больше не наблюдал.
У меня на Бегете сейчас вход со стороны открыт, а у тебя нет?
Да у меня на Бегете тоже открыт, давно уже.
Смотрю адсенс так и висит у тебя, даёт что то?
Сначала, если помнишь, ничего не давал, сейчас с одного объявления почти столько, как с двух с Директа. Пусть пока стоит, там посмотрим.
Ну ясно.
Спасибо, Олег, как всегда полезная статья. Тем более, как ты знаешь, что меня тоже коснулась эта ситуация, правда, в другом направлении. Мой ай-пи адрес был заблокирован на твоем хостинге и я не могла зайти ни к тебе, ни на другие сайты, расположенные на нем. Спасибо, что помог, теперь все отлично!
На счет мер безопасности. У меня в подвале стоит ссылочка Войти. Наверное, ее тоже надо как-то попытаться убрать, да?
Кстати, а на счет плагина Better WP Security надо быть поосторожней. Я тоже как-то одно время увлеклась проблемой безопасности и установила его. В результате – половина страниц вылетело из индекса яндекса, т.к. он заблокировал доступ роботу (решил, что он слишком активно ко мне заходит, наверное :-)) Так что в срочном порядке пришлось его удалять, чтобы индексация вернулась на место.
Да ссылку лучше убрать. Какой от нее толк? С плагином да, надо быть осторожнее, бывает конфликтует с темами и другими плагинами. Его лучше ставить на новый блог и постепенно настраивать. Чтобы сменить адрес входа достаточно wSecure Authentication. Работает нормально.
А как убрать-то? Похоже, что это особенности темы… Или wSecure Authentication может решить эту проблему?
Надо найти в коде, где она выводится и убрать. Если Алексей закодировал весь блок вместе с ссылкой на автора, то надо у него спросить, как убрать только ссылку “Войти”. Плагин меняет адрес входа, но боюсь, что он будет виден при наведении на ссылку “Войти”. Сам не проверял, попробуй поменять и посмотри, как будет эта ссылка выглядеть.
Использую Limit Login Attempts, как только создал Блог. Спасибо большое Анфисе Бреус, учился на её видео и электронных книгах. Всё толково и понятно. А статья отличная, сам испытал две попытки взлома. Неприятная вещь. Но я защищён. Спасибо автору.
Тоже когда-то смотрел уроки Анфисы, доходчиво объясняет.
Олег, супер полезная статья, узнала много нового о брут форс атаках, тоже раньше думала: кому нужен мой молодой блог? А когда установила плагин Better WP Security узнала сколько попыток взлома предпринимается, ужас.
Да, попытки взлома бывают каждый день, на это уже не обращают внимания. Но когда атакуют сайты организованно и целенаправленно, используя миллионы ботов, то это уже серьезная угроза.
Да, Олег, я буквально обалдела, когда вечером 2-3 августа зашла на почту и обнаружила более трехсот извещений от плагина WP better Security о большом количестве попыток входа.
Он (плагин) наверно сам в шоке был :-).
Привет дорогой! Давно не виделись) Слышь Олег, первые два совета, которые вы предлагаете я использую, но вот меня заинтересовал четвертый совет! Плагины wSecure Authentication или Better WP Security. А они случайно не загружают сам сайт? Если нет, то какой из них самый лучший?
Привет, Вадар! Better WP Security очень навороченный и при неправильных настройках может создать проблемы, используй wSecure Authentication. У себя никакой нагрузки от него не заметил, зато вход в админку будет защищен.
Сегодня ночью сервера бегета снова были атакованы. Не приходило извещение?
Пришло. Вчера был сайт не доступен несколько минут, это с момента, когда я заметил. Потом открылся, но посещаемость немножко просела. Сегодня работает нормально, но где-то на 100 человек обычно больше за сутки бывает в это время.
У меня то же самое.
Надеюсь, все быстро восстановится.
Здравствуйте, Олег! Спасибо за статью. Совсем недавно были проблемы с нагрузкой (да и сейчас не уверена, что все позади), Таймвеб ничем не помог, кроме предложения обсудить “индивидуальные условия размещения”. Как будто они и не сталкивались с таким. А самостоятельно, – даже представить не могла, откуда проблема, я далеко не технарь. Разочаровала меня такая техподдержка… Видимо, пришло время переезжать. Пришлете промо-код?
Знакомая история :-). Сегодня вышлю Вам на почту.
Меня тоже атаковали, причем где-то в начале декабря атаки шли одна за другой. У меня было уже в .htaccess длинное полотно забаненых IP. )) А один день вообще был тяжелый, сидел безотрывно у компа, и добавлял эти IP.
Да, у меня тоже такое было на Таймвебе. На Макхосте они сами поставили защиту и как-то не ощутил проблем.
А меня вот сейчас, так сказать, атакуют. Блин, в первый раз сталкиваюсь. У меня вкладка с почтой открыта и там каждую минуту прибавляются входящие, уже почти 400 писем. Я честно в легком шоке. У меня стоит Login LockDown, разрешена только одна попытка, а блокировка на 900 часов.
Вряд ли взломают, но могут создать нагрузку на хостинг. Закройте на время доступ к админке для всех через .htaccess.
Олег, а подскажите как это сделать? Мой айпи динамичный, и наверное не получится да? Ну хотя бы насчет взлома успокоили немного.
Создаете пустой файл .htaccess и добавляете в него код:
order deny,allow
allow from 111.222.33.1
deny from all
Залейте теперь файл через FTP в папку wp-admin. Только замените 111.222.33.1 на Ваш IP.
Для проверки, укажите свой IP с ошибкой и посмотрите, есть ли доступ в админку. Если у Вас динамичный IP, то надо будет редактировать файл по FTP перед каждым входом.