Архив метки: security

Новая версия Security Service by CleanTalk

Как мы уже сообщали, CleanTalk запустил проект для обеспечения безопасности web сайтов. Сервис обеспечивает брутфорс защиту административной части WordPress и логирует действия пользователей.

С 29 ноября Security by CleanTalk становится облачным сервисом и основные данные теперь будут доступны в Панели управления сервисом. Стоимость сервиса составляет $20 за год обслуживания для одного сайта.

Переход на хранение данных в облаке позволяет предоставлять больше данных и более гибко использовать информацию за счет различных фильтров в Панели управления.

В первоначальном решении, данные хранились в базе данных сайта, и большой объем данных и операции с ними могут повлиять на скорость работы сайта, а это в свою очередь может серьезно повлиять на ранжирование в поисковой выдаче. Хранение данных в облаке является более безопасным, чем в базе данных сайта. Если злоумышленник сможет получить доступ к сайту, то сможет удалить все данные по которым можно отследить его действия и быстро найти внесенные изменения и исправить их.

При работе с облаком сервис позволить хранить все данные за последние 45 дней, что позволяет хранить историю действий пользователей, данных о брутфорс атаках и успешных авторизаций и в случае необходимости узнать, кем и какие действия были произведены.

Как снизить вероятность брутфорс атак на WordPress

До момента, когда CleanTalk запустил security плагин я не обращал особого внимания на безопасность аккаунта администратора WordPress и полагался лишь на сложность пароля.

Самое опасное, это когда боты использую брутфорс, подберут пароль к аккаунту администратора сайта. Это может повлечь очень серьезные проблемы.

Поэтому рассмотрим только защиту аккаунта администратора.

Когда security плагин был запущен и возникла потребность тестировать, я начал получать отчеты о работе плагина, в которых указывается статистика неудачных попыток входа в аккаунт администратора WordPress. И за каждые сутки таких попыток было от 4 до 25, с разных IP адресов. Т.е. это были попытки подбора пароля ботами.

daily-security-report-2

На что я обратил внимание:

  1. Боты знали мой логин и подбирали пароль именно к нему.
  2. Я не использую стандартный логин Admin, а несколько изменил его.
  3. В блоге существуют и другие аккаунты администратора, но попыток их взлома за несколько дней наблюдений не происходило.

Задавшись вопросом, как боты узнали мой аккаунт и почему не пытались взломать другие аккаунты администратора? Все достаточно просто, под своим аккаунтом я размещаю посты и пишу комментарии, а другие аккаунты сделаны для наших сотрудников, хостера и других людей которые делали действия только в панели управления веб сайтом.

Исходя из этого, я понял что боты узнают логины через парсинг страниц сайта. Многие публикуют посты и комментарии из аккаунта администратора.

Например, вы публикуете пост в блоге, то ссылка на автора будет примерно такого вида http://example.com/author/admin***/. Боты просмотрев код вашего сайта ищут записи такого вида на всех страницах сайта и собирают из ссылок все аккаунты.

post

Тоже самое произойдет если вы напишите комментарий из аккаунта администратора, только ссылка будет немного другого вида http://example.com/members/admin***/

comment

Даже если вы один раз опубликовали пост или комментарий из аккаунта администратора, то боты его найдут и будут пытаться его взломать.

Я описал один из возможных сценариев получения списка аккаунтов для взлома, могут быть и другие. Но практика показала, что если аккаунт администратора WordPress не используется для публикаций и комментариев на сайте, то его боты не знают.

Что сделать для того что бы минимизировать вероятность взлома аккаунта администратора веб сайта.

  1. Не публиковать статьи и комментарии из аккаунта администратора.
  2. Создать каждому администратору аккаунт с другой ролью, например Author или Editor. Все зависит от ваших потребностей.
  3. Сменить текущего пользователя администратора. Внимание! Перед этим необходимо сделать резервную копию сайта и баз данных. Я не могу рекомендовать это, и если вы делаете это, то на свой риск, так как это может привести к нежелательным последствиям.

Потребуется создать нового пользователя с правами администратора и пользователя с другой ролью, например Author. Войти в панель управления сайтом с новым аккаунтом и проверить возможности Администратора управлять сайтом, настройками и пользователями.

Зайти в раздел «Пользователи» и удалить предыдущий аккаунт администратора, при этом WordPress вас спросит, на кого переназначить статьи и комментарии, здесь вам пригодится созданный заранее пользователь Author. На него переназначаете статьи и в дальнейшем используете для публикации постов и комментариев.

Эти действия можно сделать и для других аккаунтов администраторов. Но для большинства пользователей WordPress, будет достаточно установить один из плагинов защиты от брутфорс атак, например плагин Security & Firewall от CleanTalk.