Никто не пытается обмануть ваш пароль администратора WordPress

  1. Охранные компании, которые не понимают основы безопасности
  2. Защита от реальной угрозы, атаки по словарю
  3. Помогите нам прояснить ситуацию

Когда речь заходит об улучшении безопасности экосистемы WordPress, одной из самых больших проблем, которые мы видим, является количество ложных данных, вводящее в заблуждение и часто ложную информацию, которую выдают компании по обеспечению безопасности. Одна из самых частых ложных идей, которые мы видим, это утверждение о том, что существует множество попыток взломать пароль администратора WordPress. Мало того, что утверждение является ложным, но настолько очевидно ложным, что эти охранные компании либо не понимают основ безопасности, либо они сознательно лгут общественности, что может быть хорошим поводом для вас избегать их.

Чтобы понять, как вы можете сказать, что эти атаки грубой силы не происходят, полезно начать с рассмотрения того, что включает в себя атака грубой силой. Атака с использованием грубой силы относится не к какой-либо злонамеренной попытке входа в систему, а к попытке входа в систему путем попытки ввести все возможные пароли до тех пор, пока не будет найден правильный пароль, отсюда и часть имени «грубой силы». Чтобы дать вам представление о том, сколько попыток входа в систему потребуется, давайте рассмотрим пример пароля, состоящего из цифр и букв (верхнего и нижнего регистра), но без специальных символов. Ниже приведено количество возможных паролей с паролями различной длины:

  • Длина 6 символов : более 56 миллиардов возможных комбинаций (или ровно 56 800 235 584)
  • 8 символов : более 218 триллионов возможных комбинаций (218 340 105 584 896)
  • 10 символов : более 839 квадриллионов возможных комбинаций (839,299,365,868,340,224)
  • 12 символов : более 3 возможных комбинаций секстиллионов (3 226 266 762 397 899 821 056)

Теперь, когда у вас есть представление о количестве запросов, которые потребуются для фактической атаки методом "грубой силы", давайте посмотрим на число попыток, которые, как утверждают компании по обеспечению безопасности, происходят в поддержку их заявления о продолжении атак методом "грубой силы".

Сначала Wordfence, еще в январе они выпустили сообщение о заявлении о продолжении атак методом "грубой силы" и о том, сколько попыток входа в систему произошло за последние 16 часов (они называют каждую попытку входа атакой):

За это время мы увидели в общей сложности 6 611 909 атак на 72 532 отдельных веб-сайта . За это время мы наблюдали атаки с 8 941 уникального IP-адреса, а среднее число атак на сайт жертвы составило 6,26 .

Общее количество за этот период времени, вероятно, не настолько близко, чтобы было достаточно попыток входа в систему, чтобы хотя бы одна атака была грубой, но с менее чем 7 попытками на веб-сайт, что явно не является свидетельством того, что атаки с применением грубой силы действительно происходят.

Как насчет Sucuri Security, у них есть страница на их веб-сайте под названием WordPress Brute Force Attacks, который должен представить «состояние атак грубой силы против сайтов WordPress». На приведенном там графике показаны неудачные попытки входа на сайты, «защищенные» за брандмауэром. Существует очевидная проблема, связанная с тем, что неудачные попытки входа в систему не обязательно являются вредоносными, поэтому график не обязательно является настолько точным. Даже с учетом этого предупреждения наибольшая сумма за один день составила около 50 миллионов запросов:

Мы не знаем, сколько веб-сайтов разделено, но даже если бы это был один веб-сайт, этого вряд ли хватило бы для одной успешной атаки методом перебора в день.

В одном случае недавно кто-то, с кем мы, по-видимому, проделали определенную работу, связался с нами, потому что они получили электронное письмо от плагина WordPress от Sucuri, которое предупреждает их о нападении методом перебора. В этом случае Sucuri утверждал, что атака грубой силы происходила на основе в общей сложности 30 попыток входа в систему.

Охранные компании, которые не понимают основы безопасности

Еще в сентябре прошлого года Sucuri не только утверждал, что нападения грубой силы, где происходят, но и утверждал что атаки грубой силы являются частым источником взлома (несмотря на то, что они вообще не происходят вообще):

Тем не менее, атаки с применением грубой силы все еще продолжаются. На самом деле, они являются одной из основных причин компрометации сайта.

Так что же может объяснить ложные утверждения о нападениях грубой силы?

Одно из объяснений состоит в том, что эти охранные компании не имеют представления об основах безопасности, например, знают, что такое атака методом подбора. Учитывая, что вам не нужно смотреть на какой-то неясный ресурс, чтобы узнать, что они собой представляют, вы просто нужно идти в википедию Нет никаких оправданий для этого.

Другое объяснение состоит в том, что эти охранные компании действительно знают, что такое атака грубой силы, но они лгут о том, что происходит, потому что, если они скажут, что на самом деле происходит, они не смогут использовать ее для продвижения продуктов и услуг, которые они предоставляют. , Это дало бы дополнительный бонус, позволяя им утверждать, что они могут защитить от чего-то, не беспокоясь о том, что это окажется неправдой (как мы недавно обнаружили, с другим заявленная защита Wordfence), так как атаки грубой силы на самом деле не происходят.

Защита от реальной угрозы, атаки по словарю

Таким образом, на основании данных этих охранных компаний атаки не осуществляются, но происходят злонамеренные попытки входа в систему, так что же происходит на самом деле? Основываясь на фактических попытках входа в систему и количестве запросов, похоже, что большинство злонамеренных попыток входа в систему происходит от словарных атак.

словарная атака включает в себя попытку входа в систему с использованием общих паролей, подумайте о таких вещах, как «123456» и «123admin».

С помощью атак по словарю защитить ваш сайт очень просто, просто используйте надежный пароль. Это оно. Вам не нужно устанавливать все виды другой защиты, так как атаки по словарю будут терпеть неудачу, пока вы это делаете. WordPress теперь по умолчанию генерирует надежный пароль и отображает индикатор надежности пароля, если кто-то решил создать свой собственный пароль , так что если у вас есть администратор, решивший использовать слабый пароль, у вас, вероятно, возникнут более серьезные проблемы. Если вы обеспокоены тем, что пользователи более низкого уровня используют слабые пароли, а затем подвергаются атакам по словарю, существует ряд опций для применения более надежных паролей.

Поскольку так легко предотвратить происходящее, охранным компаниям будет сложно продвигать продукты и услуги, чтобы справиться с этим, поэтому мы задаемся вопросом, не намеренно ли они лгут о том, что происходит.

Стоит также отметить, что между паролями, используемыми при различных атаках по словарям, может существовать некоторое частичное совпадение, поэтому количество пробованных паролей, вероятно, намного меньше, чем общее количество попыток, предпринимаемых даже в течение довольно короткого периода времени.

Помогите нам прояснить ситуацию

Если вы видите, что кто-то утверждает, что происходят грубые атаки на учетные записи администраторов WordPress, мы будем признательны, если вы укажете им на этот пост, чтобы мы могли начать очищать ложную информацию, выдвигаемую этими компаниями безопасности, и люди могли бы сосредоточиться на правильно защищать себя.

Так что же может объяснить ложные утверждения о нападениях грубой силы?