Hakeri napadaju Wordpress stranice, kako se zaštititi

Ako imate Wordpress web stranicu, sada bi bilo jako dobro vrijeme da se osigurate sa vrlo jakom lozinkom. Prema izvješćima mnogih web hosting tvrtki, na internetu se zadnjih nekoliko dana radi veliki napad na web stranice pogonjene popularnim blog/cms sustavom Wordpress. Brute-force napad se izvršava tako da botneti pokušavaju otkriti vašu lozinku korištenjem pojmova iz rječnika kako bi pronašli lozinku za korisničko ime „Admin“, osnovno predloženo ime za početni administracijski račun prilikom instalacije Wordpressa.

Prema navodima, hakeri za sada kontroliraju preko 100 tisuća botova s kojima se izvršava napad na Wordpress stranice. Matthew Prince, osnivač CloudFlare-a, poznatog CDN servisa, kaže da je njihova mreža primjetila napade na gotovo sve Wordpress stranice unutar njihove mreže.

Generalno gledano, ako netko pogodi vašu lozinku za Wordpress (pa i bilo koji drugi softver), to naravno predstavlja veliki problem, no ovakvi sustavni napadi otvaraju hakerima priliku da prođu dalje od vašeg administracijskog panela i možebitno preuzmu kontrolu nad cijelim serverom na kojem se vaša stranica nalazi, a pretpostavlja se da je ovom napadu upravo to cilj. Nakon toga, hakeri počnu iskorištavati resurse servera koji su daleko veći od resursa dostupnih običnim kućnim korisnicima, pa tako napadi postaju višestruko jači što dovodi do značajnih problema u radu servisa, pa čak i interneta.

Slijedi nekoliko savjeta kako zaštititi svoje Wordpress stranice da se ovakvi i budući napadi eliminiraju prije nego se dogodi šteta.

• Koristite sigurnije lozinke - snažne lozinke su one koje imaju barem 12 znakova te koriste kombinaciju malih i velikih slova, brojki te simbola. Nikako ne koristite za lozinku neki pojam ili ime svog kućnog ljubimca, vjerojatnost da se ona probije je višestruko veća
• Koristite neko drugačije korisničko ime umjesto osnovno ponuđenog "Admin
• Vodite brigu da je vaša instalacija Worpdressa i instaliranih pluginova uvijek nadograđena na zadnje dostupne verzije
• Instalirajte pluginove kao što su Better Wp Security ili Wp Security Scan kako bi poboljšali sigurnost Wordpressa
• Ukoliko vaš server dozvoljava, postavite pristupnu lozinku na datoteku wp-login.php
• Isključite mogućnost direktnog pristupa na datoteku wp-login.php preko .htaccessa kako napadači ne bi mogli direktno pristupiti ovoj datoteci i izvršiti napad

Primjer koda za .htaccess kojim ćete spriječiti direktan pristup bitnim datotekama Wordpressa

RewriteEngine on
RewriteCond % =POST
RewriteCond % !^http://(.*)?.example.com [NC]
RewriteCond % ^/wp-login\\.php(.*)$ [OR]
RewriteCond % ^/wp-admin$
RewriteRule ^(.*)$ - [R=403,L]

Nadamo se da vaša web stranica nije bila žrtva ovog najnovijeg napada, te da će vam navedeni savjeti biti od koristi i spriječiti ovakve napade u budućnosti.