V posledních týdnech pozorujeme u hostingových zákazníků, ale i u webů na VPS v naší správě množství útoků na přihlašovací formuláře do administrace CMS. Především se jedná o Joomla.org/administrator a Wordpress.org/wp-login.php. Běžný sdílený hosting provozujeme na silných serverech, proto ani 8000 pokusů při použití brutální silou (Brutal Force attack) server neshodí a stránky se stále načítají. Útok na přihlášení do joomly, zatěžuje server, ale nikoliv tak strašně jako útok přihlášení do wordpressu. Hostingový zákazník může pozorovat max. zpomalení stránek. Zákazník s VPS serverem, které má běžné parametry a plné wordpressů to však odstaví. Podívejme se nyní spolu jak útok odrazit ze strany webu.

1) Neznámá adresa

Každý zná přihlašovací adresu pro wordpress, joomlu, Drupal apod.. Nabízí se změnit adresu pro přihlášení. Jako příklad můžeme uvést eshop systém Prestashop, který Vás ihned po instalaci upozorní na nutnost změnit adresář /admin na cokoliv jiného.

2) Omezení na IP adresu

V adresáři s přihlašovací stránkou vytvoříme soubor .htaccess a do něj vložíme:

Order Deny,Allow
Deny from all
Allow from 178.238.41.70

Říkáme tím, že zobrazení stránek v adresáři s .htaccessem. je možné pouze z IP adresy 178.238.41.70 a z žádné jiné.

3) Duplicitní zaheslování přístupu skrze Basic access authentication

V adresáři s přihlašovací stránkou vytvoříme soubor .htaccess a do něj vložíme:

<Files wp-login.php>
AuthType Basic
AuthName "My Protected Area"
AuthUserFile /data/web/virtuals/stranka.cz/.htpasswd (Zde musíte uvést absolutní cestu k souboru .htpasswd)
Require valid-user
</Files>

Soubor .htpasswd Vám určuje pomocí jakého loginu a hesla je možné stránku zobrazit.
V adresáři s přihlašovací stránkou vytvoříme soubor .htpasswd a do něj vložíme login:heslo
Heslo musí být kódováno v algoritmu MD5. Pokud nevíte jak heslo zakódovat můžete využít online generátor na: https://www.htaccesstools.com/htpasswd-generator/

Zápis pro uživatele admin s heslem test bude vypadat v souboru .htpasswd takto:
admin:$apr1$GZJSVSSc$e4D5afSeOTn8ZogplYw9d1

4) Zablokování funkce XMLRPC

XML-RPC je protokol, s jehož pomocí lze velice jednoduše provádět vzdálené volání procedur. XML-RPC nepřineslo do světa vzdáleného volání procedur novou technologii. Jedná se totiž o soubor pravidel, které pouze říkají, jak použít již funkční a dokonce standardizované technologie pro potřeby RPC. Data jsou zapouzdřena pomocí značkovacího jazyka XML (eXtensible Markup Language) a přenášena díky protokolu HTTP. Taková koncepce umožňuje aplikacím, napsaným v různých programovacích jazycích, komunikaci mezi různými počítačovými architekturami a jejich operačními systémy. Touto funkcí však může útočník vyvolat také masivní útok na Wordpress a celý server znepřístupnit.

V root adresáři stačí vytvořit soubor .htaccess a do něj vložíme:

<files xmlrpc.php>
order allow,deny
deny from all
</files>

<files wp-cron.php>
order allow,deny
deny from all
</files>

Metoda 2 a 3 přenášejí sílu útoku z web stránek na .htaccess a tím zatížení webu výrazně klesne. Rozmach spambotu je alarmující a tak každý prvek, který jim znesnadní práci je vítán.
Doporučení na závěr. Správné heslo je min. 8 znaků dlouhé, obsahuje malá a velká písmena, číslice a znak, který se na klávesnici nevyskytuje. Druhá možnost je extra dlouhé heslo např. zasedalsiheslokteresinebudupamatovat

Tip: Jak na mimoverbální pomůcky k zapamatování hesla ZDE

Tip2: Jak nastavit silné heslo ZDE