Brute force атака на Joomla и WordPress

В связи с массированной DDOS-атакой ботнетом административных частей CMS Worpdress и Joomla, из-за чего многие хостинги ввели дополнительный механизм защиты от ботнета — временное блокирование входа по IP адресу.  

Созданные сайты на основе CMS Joomla и WordPress, подвергаются brute force атаке, подразумевающая перебор паролей к административным панелям данных CMS.

wordpress joomla

Взломанные сайты участвуют во взломе других сайтов, DDoS атаках и рассылках СПАМ-сообщений, что негативно сказывается на скорости работы сайта, рейтинге в поисковых системах, а также в виде всевозможных блокировок со стороны независимых сервисов безопасности и предупреждений клиентов о посещении небезопасных сайтов.

ddos

В связи с высокой активностью атаки и резким ростом нагрузки на сервера, хостинги установлено ограничение на доступ ко всем URL адресам, включающим в свой состав «/wp-login.php» и «/administrator/index.php».

Для того, чтобы войти на сайт — нужно залогиниться в личный кабинет вашего хостинга и зайти в личный кабинет. У многих компаний — ваш IP в течение 10 минут попадает в whitelist.

У многих фирм реализованы дополнительные меры/ограничения для входа на сайт. Например, чтобы войти на сайт расположенного у Fornex, нужно пройти по ссылке https://fornex.com/please-let-me-in/ и его IP в течение 10 минут будет добавлен в whitelist.

У reg.ru немного по-другому:

В начале они сделали так:

До окончания атаки доступ к административным панелям сайтов на основе CMS Joomla и WordPress возможен по порту 8080, например:
http://domain.tld:8080/wp-login.php
http://domain.tld:8080/administrator/index.php
где domain.tld — имя Вашего сайта

Закрыв при этом доступ к данным файлам по 80 порту. Но потом исправили на другой вариант — дополнительная авторизация.

А теперь они сделали «костыль» и для HTTP-аутентификации были установлены текущие логин и пароль от доступа к панели управления хостингом.

В конце файла .htaccess после строки:

by reg.ru support team

AuthName — строка, которая будет выводиться для запроса логина и пароля.
AuthUserFile — адрес файла с логинами и паролями.

Пример файла users:

Где логин — «123» и пароль «12IbR.gJ8wcpc«.  То есть формат файла будет вида «логин:закодированный_пароль«. На самом деле пароль тоже «123» просто он хранится в закодированном виде.

Программу для кодирования (составление файлов) можно почитать на сайте посвященном файлу .htaccess:
http://htaccess.net.ru/doc/htaccess/auth.php

Добавленные директивы не удаляют, не изменяют и не влияют на работу уже существующих правил, ранее добавленных в .htaccess.

Для WordPress файл .htaccess размещен в основном каталоге сайта.
Для Joomla файл .htaccess размещен в подкаталоге administrator.
Файл используемый для хранении информации о логине и пароле, называется users и размещен в каталоге ~/etc Вашего аккаунта хостинга

HTTP-аутентификация рекомендована разработчиками CMS WordPress и Joomla как средство борьбы со взломами и дополнительным средством повышения общей безопасности сайтов.

Дополнительная аутентификация действует только на административную часть сайта и не влияет на доступность любых других частей сайта

Данные меры защиты, как утверждают компании — это временная и вынужденная на период глобальной DDOS-атаки wordpress/joomla.

2 thoughts on “Brute force атака на Joomla и WordPress

  1. Есть такое у себя нашел, а если я удалю эту запись ? Они мне её снова поставят ?

  2. Вроде многие хостеры уже отменяют данные меры. Я на некоторых сайтах убрал. Обратно не поставили.

Добавить комментарий

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.