Никто не пытается обмануть ваш пароль администратора WordPress

  1. Охранные компании, которые не понимают основы безопасности
  2. Защита от реальной угрозы, атаки по словарю
  3. Помогите нам прояснить ситуацию

Когда речь заходит об улучшении безопасности экосистемы WordPress, одной из самых больших проблем, которые мы видим, является количество ложных данных, вводящее в заблуждение и часто ложную информацию, которую выдают компании по обеспечению безопасности. Одна из самых частых ложных идей, которые мы видим, это утверждение о том, что существует множество попыток взломать пароль администратора WordPress. Мало того, что утверждение является ложным, но настолько очевидно ложным, что эти охранные компании либо не понимают основ безопасности, либо они сознательно лгут общественности, что может быть хорошим поводом для вас избегать их.

Чтобы понять, как вы можете сказать, что эти атаки грубой силы не происходят, полезно начать с рассмотрения того, что включает в себя атака грубой силой. Атака с использованием грубой силы относится не к какой-либо злонамеренной попытке входа в систему, а к попытке входа в систему путем попытки ввести все возможные пароли до тех пор, пока не будет найден правильный пароль, отсюда и часть имени «грубой силы». Чтобы дать вам представление о том, сколько попыток входа в систему потребуется, давайте рассмотрим пример пароля, состоящего из цифр и букв (верхнего и нижнего регистра), но без специальных символов. Ниже приведено количество возможных паролей с паролями различной длины:

  • Длина 6 символов : более 56 миллиардов возможных комбинаций (или ровно 56 800 235 584)
  • 8 символов : более 218 триллионов возможных комбинаций (218 340 105 584 896)
  • 10 символов : более 839 квадриллионов возможных комбинаций (839,299,365,868,340,224)
  • 12 символов : более 3 возможных комбинаций секстиллионов (3 226 266 762 397 899 821 056)

Теперь, когда у вас есть представление о количестве запросов, которые потребуются для фактической атаки методом "грубой силы", давайте посмотрим на число попыток, которые, как утверждают компании по обеспечению безопасности, происходят в поддержку их заявления о продолжении атак методом "грубой силы".

Сначала Wordfence, еще в январе они выпустили сообщение о заявлении о продолжении атак методом "грубой силы" и о том, сколько попыток входа в систему произошло за последние 16 часов (они называют каждую попытку входа атакой):

За это время мы увидели в общей сложности 6 611 909 атак на 72 532 отдельных веб-сайта . За это время мы наблюдали атаки с 8 941 уникального IP-адреса, а среднее число атак на сайт жертвы составило 6,26 .

Общее количество за этот период времени, вероятно, не настолько близко, чтобы было достаточно попыток входа в систему, чтобы хотя бы одна атака была грубой, но с менее чем 7 попытками на веб-сайт, что явно не является свидетельством того, что атаки с применением грубой силы действительно происходят.

Как насчет Sucuri Security, у них есть страница на их веб-сайте под названием WordPress Brute Force Attacks, который должен представить «состояние атак грубой силы против сайтов WordPress». На приведенном там графике показаны неудачные попытки входа на сайты, «защищенные» за брандмауэром. Существует очевидная проблема, связанная с тем, что неудачные попытки входа в систему не обязательно являются вредоносными, поэтому график не обязательно является настолько точным. Даже с учетом этого предупреждения наибольшая сумма за один день составила около 50 миллионов запросов:

Мы не знаем, сколько веб-сайтов разделено, но даже если бы это был один веб-сайт, этого вряд ли хватило бы для одной успешной атаки методом перебора в день.

В одном случае недавно кто-то, с кем мы, по-видимому, проделали определенную работу, связался с нами, потому что они получили электронное письмо от плагина WordPress от Sucuri, которое предупреждает их о нападении методом перебора. В этом случае Sucuri утверждал, что атака грубой силы происходила на основе в общей сложности 30 попыток входа в систему.

Охранные компании, которые не понимают основы безопасности

Еще в сентябре прошлого года Sucuri не только утверждал, что нападения грубой силы, где происходят, но и утверждал что атаки грубой силы являются частым источником взлома (несмотря на то, что они вообще не происходят вообще):

Тем не менее, атаки с применением грубой силы все еще продолжаются. На самом деле, они являются одной из основных причин компрометации сайта.

Так что же может объяснить ложные утверждения о нападениях грубой силы?

Одно из объяснений состоит в том, что эти охранные компании не имеют представления об основах безопасности, например, знают, что такое атака методом подбора. Учитывая, что вам не нужно смотреть на какой-то неясный ресурс, чтобы узнать, что они собой представляют, вы просто нужно идти в википедию Нет никаких оправданий для этого.

Другое объяснение состоит в том, что эти охранные компании действительно знают, что такое атака грубой силы, но они лгут о том, что происходит, потому что, если они скажут, что на самом деле происходит, они не смогут использовать ее для продвижения продуктов и услуг, которые они предоставляют. , Это дало бы дополнительный бонус, позволяя им утверждать, что они могут защитить от чего-то, не беспокоясь о том, что это окажется неправдой (как мы недавно обнаружили, с другим заявленная защита Wordfence), так как атаки грубой силы на самом деле не происходят.

Защита от реальной угрозы, атаки по словарю

Таким образом, на основании данных этих охранных компаний атаки не осуществляются, но происходят злонамеренные попытки входа в систему, так что же происходит на самом деле? Основываясь на фактических попытках входа в систему и количестве запросов, похоже, что большинство злонамеренных попыток входа в систему происходит от словарных атак.

словарная атака включает в себя попытку входа в систему с использованием общих паролей, подумайте о таких вещах, как «123456» и «123admin».

С помощью атак по словарю защитить ваш сайт очень просто, просто используйте надежный пароль. Это оно. Вам не нужно устанавливать все виды другой защиты, так как атаки по словарю будут терпеть неудачу, пока вы это делаете. WordPress теперь по умолчанию генерирует надежный пароль и отображает индикатор надежности пароля, если кто-то решил создать свой собственный пароль , так что если у вас есть администратор, решивший использовать слабый пароль, у вас, вероятно, возникнут более серьезные проблемы. Если вы обеспокоены тем, что пользователи более низкого уровня используют слабые пароли, а затем подвергаются атакам по словарю, существует ряд опций для применения более надежных паролей.

Поскольку так легко предотвратить происходящее, охранным компаниям будет сложно продвигать продукты и услуги, чтобы справиться с этим, поэтому мы задаемся вопросом, не намеренно ли они лгут о том, что происходит.

Стоит также отметить, что между паролями, используемыми при различных атаках по словарям, может существовать некоторое частичное совпадение, поэтому количество пробованных паролей, вероятно, намного меньше, чем общее количество попыток, предпринимаемых даже в течение довольно короткого периода времени.

Помогите нам прояснить ситуацию

Если вы видите, что кто-то утверждает, что происходят грубые атаки на учетные записи администраторов WordPress, мы будем признательны, если вы укажете им на этот пост, чтобы мы могли начать очищать ложную информацию, выдвигаемую этими компаниями безопасности, и люди могли бы сосредоточиться на правильно защищать себя.

Похожие

Атаки грубой силы: помимо основ пароля
... не обязательно защищены от атак грубой силы. « Эвристическое грубое принуждение предоставляет хакерам возможность взломать длинные и сложные пароли, используя взлом паролей в стиле грубой силы, не тратя впустую годы, пробуя нереальные пароли », - говорит Брэндон Смит, выступая в роли Джеймса Пингвина для 2600 , Многие из нас знают основы или то, что считается здравым смыслом в отношении безопасности рабочих станций. Вы знаете ...
2 плагина WordPress для защиты от взлома
... отели бы защитить наши блоги от хакеров. Пользователям WordPress повезло, что есть несколько плагинов безопасности и другие настройки для защиты блога от попыток взлома. Одним из них является изменение имени пользователя WordPress по умолчанию « admin ». Если вы еще этого не сделали, я настоятельно рекомендую сделать это, обратившись Вот , Грубая
Новый стандарт безопасности WPA3 для маршрутизаторов и устройств
Этот сайт может зарабатывать партнерские комиссии по ссылкам на этой странице. Условия эксплуатации , Стандарт безопасности WPA3 официально завершен и готов к внедрению в соответствии с Wi-Fi Alliance, разработавшим протокол. Новое продолжение WPA и WPA2 призвано заменить их стандартом, который, ну, еще не был взломан. Есть еще что сказать по теме, но это то, что объявление сводится к. WPA был взломан настолько, что теперь
Инструмент грубой силы IP-Box взламывает любой пароль iPhone
Снова пароли. Всегда пароли. Пару недель назад я упомянул новая фишинговая афера нацелены на владельцев потерянных или украденных устройств Apple. Теперь появляется новая причина для повышения безопасности - или модернизации. Инструмент IP-Box, ваш онлайн по цене около 170 фунтов стерлингов, взломает четырехзначный код доступа на любом
Запустите грубую атаку WordPress с помощью WPScan
Как администратор сайта WordPress вы несете ответственность за безопасность вашего сайта. Скорее всего, вы уже многое сделали, чтобы улучшить Безопасность WordPress а как же пользователи? Все ли они используют надежный пароль? Обычно пользователи не любят надежные пароли, и единственный способ убедиться, что они используют надежные пароли, - это
Как взломать WiFi пароль: руководство
... нет. Если вы хотите взломать пароль WiFi, эта статья станет для вас идеальным руководством. Неважно, хотите ли вы взломать школу, офис, колледж или соседнюю сеть Wi-Fi. Вам не нужны никакие предыдущие знания для этой цели. Читать: Лучший способ скачать видео с Youtube
Объяснение атак грубой силы: как уязвимо все шифрование
... от них трудно защититься"> Атаки грубой силой довольно просты для понимания, но от них трудно защититься. Шифрование - это математика и по мере того, как компьютеры становятся быстрее в математике, они быстрее пробуют все решения и видят, какое из них подходит. Эти атаки могут использоваться против любого типа шифрования с различной степенью успеха. Атаки грубой силой
Не покупайте ажиотаж с трассировкой лучей вокруг Nvidia RTX 2080
Этот сайт может зарабатывать партнерские комиссии по ссылкам на этой странице. Условия эксплуатации , В понедельник Nvidia представила новый набор графических процессоров в презентации, посвященной трассировке лучей и появлению трассировки лучей в современных играх. Nvidia создала совершенно новую возможность трассировки лучей и анонсировала совершенно новую архитектуру SM (Streaming Multiprocessor). Но Nvidia также дебютировала
Тестирование на перебор (OWASP-AT-004)
... атаки методом перебора злоумышленник может получить доступ к: Конфиденциальная информация / данные; Частные разделы веб-приложения могут раскрывать конфиденциальные документы, данные профиля пользователя, финансовое состояние, банковские реквизиты, взаимоотношения пользователей и т. Д. Административные панели; Эти разделы используются веб-мастерами для управления (изменения, удаления, добавления) содержимого веб-приложения, управления
Создать надежный пароль несложно
Все используют пароли. Они сосут Я не знаю никого, кто регистрирует новую учетную запись и говорит: «у меня получится создать новый пароль». К сожалению, на данный момент они являются неизбежным злом. Даже если вы не читаете остальную часть этого блога, следуйте этому совету: используйте менеджер паролей с одним надежным мастер-паролем. Подробнее о менеджерах паролей я расскажу позже в этом блоге. Суровая правда Не существует такого понятия,
Как конвертировать аудио и видео файлы бесплатно
... не поддерживается устройством, на котором вы собираетесь его воспроизводить, например, на устройстве iOS, традиционном iPod или Mac, или в форме, которую вы предпочитаете. не использовать (например, большие аудиофайлы в формате AIFF или WAV). Существует множество утилит, которые вы можете использовать для конвертации медиа файлов (а некоторые из них не являются продается спамерами ), но что вы можете использовать,

Комментарии

Насколько силен типичный пароль сейчас - и насколько он был силен в 1980-х годах?
Насколько силен типичный пароль сейчас - и насколько он был силен в 1980-х годах? Введите слово (не ваш текущий пароль) и перетащите ползунок, чтобы выбрать год, чтобы узнать, сколько времени потребуется, чтобы кто-то взломал этот термин, если бы это был ваш пароль. Это может занять от бесконечного времени до тысячелетия до простых долей миллисекунды. Вы можете включить или выключить функцию «список слов» при проверке паролей. Этот инструмент работает, просматривая список слов,
И они ожидают, что они будут работать безупречно в течение этого периода, что не может быть в случае поломки экрана, не так ли?
И они ожидают, что они будут работать безупречно в течение этого периода, что не может быть в случае поломки экрана, не так ли? В конце концов, GL552VW мог бы стать отличной покупкой, если бы не плохое качество сборки и выбор материалов. В заключение, держитесь подальше
Скорее всего, вы уже многое сделали, чтобы улучшить Безопасность WordPress а как же пользователи?
Знаете ли вы, что и в Картах Google, и в Google Планета Земля есть инструменты, которые автоматически измеряют для вас расстояние и площадь? Больше не нужно угадывать расстояния на основе масштаба карты. Теперь вы можете измерить точные расстояния перемещения, точные размеры земельного участка и даже площадь территории целых штатов или провинций. Хорошей новостью является то, что это не сложно и не требует много времени. Вам просто нужно знать процесс. Как работает расстояние
Iea влияет на ваш компьютер и браузер?
iea влияет на ваш компьютер и браузер? В современную эпоху ПК широко используется практически во всем мире, потому что у него есть встроенное приложение, которое делает жизнь пользователя простой и легкой. В ПК пользователь может хранить все свои важные данные или личную информацию без каких-либо колебаний. Worm.Win32.AutoRun.iea является самой популярной инфекцией, которая проникает в операционную систему Windows. Он внедряет почти всю ОС, включая Windows 7, 8, XP, Vista и т. Д. Иногда
Знаете ли вы, что и в Картах Google, и в Google Планета Земля есть инструменты, которые автоматически измеряют для вас расстояние и площадь?
Знаете ли вы, что и в Картах Google, и в Google Планета Земля есть инструменты, которые автоматически измеряют для вас расстояние и площадь? Больше не нужно угадывать расстояния на основе масштаба карты. Теперь вы можете измерить точные расстояния перемещения, точные размеры земельного участка и даже площадь территории целых штатов или провинций. Хорошей новостью является то, что это не сложно и не требует много времени. Вам просто нужно знать процесс. Как работает расстояние
«Каким был ваш первый автомобиль?
«Каким был ваш первый автомобиль?») И двухфакторную аутентификацию. Выпуская свой код на GitHub, Pr0x13 утверждал, что дыра в безопасности, эксплуатируемая iDict, была «до боли очевидна» и что «это был лишь вопрос времени, когда он был использован в личных целях в злонамеренных или гнусных целях». Далее хакер объяснил, что код iDict был публично раскрыт, «так что Apple его исправит».
Вам нужна веская причина, чтобы немедленно повысить надежность своего пароля Origin, если вы не хотите потерять доступ к своему инвентарю игр, а также к своей игровой репутации?
Вам нужна веская причина, чтобы немедленно повысить надежность своего пароля Origin, если вы не хотите потерять доступ к своему инвентарю игр, а также к своей игровой репутации? Мы собираемся дать вам довольно хороший. Недавно выпущенный прокси-инструмент Origin, обеспечивающий грубое принуждение, - это не только эффективность проверки конечного пользователя основных принципов безопасности, но также встроенная опция для анализа инвентаризации игр и связанной с ними игровой информации для затронутого
Значит, это не клен?
Значит, это не клен? Я был заинтригован и был вынужден сделать небольшое исследование, когда я вернулся в отель. С помощью Google я определил, что это был платан ( acer pseudoplatanus ), принадлежащий к тому же роду, что и сахарный клен ( acer saccharum ). Так что это объясняет знакомые листья. Но большой
Почему бы не первым написать краткий комментарий и одновременно помочь другим пользователям?
Почему бы не первым написать краткий комментарий и одновременно помочь другим пользователям? Лучшие практики для решения проблем с мультибаром Аккуратный и опрятный компьютер - это главное требование для избежания проблем с несколькими барами. Это включает в себя запуск поиска вредоносных программ, очистку жесткого диска с помощью cleanmgr и
Не могли бы вы потенциально добраться до верхней части первой страницы?
Не могли бы вы потенциально добраться до верхней части первой страницы? Если вы выберете родовое имя, вам будет очень тяжело ранжироваться. Также важно проверить наличие Twitter, Facebook и других социальных сетей, которые вы хотите использовать. 6. Найти новое вдохновение Если вам не хватает идей для фирменных наименований, вы можете подумать о себе. Может быть, вы ищете название компании, которая имеет ностальгию или говорит о тенденции. Другие языки тоже
Вы не знали, что могли?
Вы не знали, что могли? Перейдите в «Настройки»> «Пароль», затем отключите простой пароль. Затем вы можете установить код из более чем 100 буквенно-цифровых символов, который также содержит знаки препинания и символы. Yahoo! запускает новый логин без пароля Тем временем в SXSW, Yahoo! объявил о введении новый механизм входа без пароля это работает

Скорее всего, вы уже многое сделали, чтобы улучшить Безопасность WordPress а как же пользователи?
Все ли они используют надежный пароль?
Насколько силен типичный пароль сейчас - и насколько он был силен в 1980-х годах?
И они ожидают, что они будут работать безупречно в течение этого периода, что не может быть в случае поломки экрана, не так ли?
Знаете ли вы, что и в Картах Google, и в Google Планета Земля есть инструменты, которые автоматически измеряют для вас расстояние и площадь?
Iea влияет на ваш компьютер и браузер?
Знаете ли вы, что и в Картах Google, и в Google Планета Земля есть инструменты, которые автоматически измеряют для вас расстояние и площадь?
«Каким был ваш первый автомобиль?
Вам нужна веская причина, чтобы немедленно повысить надежность своего пароля Origin, если вы не хотите потерять доступ к своему инвентарю игр, а также к своей игровой репутации?
Вам нужна веская причина, чтобы немедленно повысить надежность своего пароля Origin, если вы не хотите потерять доступ к своему инвентарю игр, а также к своей игровой репутации?