WordPress patrí medzi najpoužívanejšie CMS systémy na celom svete, čo z neho robí ideálny cieľ pre útoky na zabezpečenie webov, pretože útočníci majú možnosť použiť rovnaký typ útoku na množstvo webových stránok. Medzi najbežnejšie útoky na WordPress patrí aj útok hrubou silou, takzvaný Brute-force attack.
V článku sa dozviete o:
- V čom spočíva brute force attack?
- Ochrana prihlasovacích údajov do administrácie WordPressu
- Jednoduchý postup ako tomu zabrániť s pomocou Google
- Plugin na pridanie reCAPTCHA do formulárov
- Potrebujete pomôcť s inštaláciou tohoto pluginu?
V čom spočíva brute force attack?
Princíp tohoto útoku je relatívne jednoduchý, spočíva v skúšaní všetkých možných kombinácii za účelom zistenia tej správnej, napríklad hesla.
Zoberme si jednoduchý príklad stránky, ktorá má obsah chránený štvormiestnym číselným kódom. Ak by ste chceli uhádnuť heslo, môžete si ho skúsiť tipnúť, alebo vyskúšať najčastejšie používané heslá. Ďalšou možnosťou, ako uhádnuť heslo, je vyskúšať všetky možné kombinácie teda použiť metódu brute force attack. Ak by ste mali manuálne skúšať všetky možnosti, trvalo by to veľmi dlho. Existujú však programy, ktoré vedia skúšať heslo automatizovane a veľmi rýchlo.
Ochrana prihlasovacích údajov do administrácie WordPressu
Pri WordPress weboch sú dôležité používateľské údaje, ktorými sa dá prihlásiť do administrácie, z ktorej je možné meniť obsah na webe. A práve tie sú často cieľom takýchto útokov, preto je vhodné mať svoj WordPress web dobre zabezpečený. Všetky možné kombinácie hesiel sa skúšajú prostredníctvom prihlasovacieho formulára, ktorý sa zvyčajne nachádza na podadrese „/wp-admin/“ alebo „/wp-login.php“. Útočníci jednoducho programom skúšajú rôzne heslá až do momentu, kedy sa im nepodarí „uhádnuť“ správne heslo, prostredníctvom ktorého získajú prístup na celý web.
Jednoduchý postup ako tomu zabrániť s pomocou Google
Jedná sa o jeden z ďalších skvelých nástrojov, ktoré Google poskytuje bezplatne.
Google je lídrom webových riešení po celom svete a ponúka najrôznejšie služby, z ktorých veľké množstvo je zadarmo. Jednou z takýchto služieb je Google reCAPTCHA. Ide o prepracovanú a overenú technológiu, ktorá pridáva do formulárov časti, ktoré vie človek relatívne jednoducho vyplniť, ale pre „robotov“ a rôzne programy je to veľmi náročné a znemožní to automatizovane skúšať kombinácie hesiel. To, že je WordPress jeden z najpoužívanejších CMS, prináša aj množstvo výhod. Jednou z nich je široká komunita ľudí, ktorí WordPress spoločne vylepšujú. Ak chcete do svojich prihlasovacích formulárov pridať ochranu priamo od Google reCAPTCHA, stačí si ju jednoducho pridať pluginom.
Plugin na pridanie reCAPTCHA do formulárov
Veľmi dobrý a jednoduchý plugin na pridanie ochrany do formulárov je Simple Google reCAPTCHA.
Inštalácia:
Po prihlásení do WordPressu v ľavom menu rozklikneme „Pluginy“ a zvolíme „Pridať nový“. Do vyhľadávania v pravom hornom rohu vložíme „Simple Google reCAPTCHA“ a pre tento plugin dáme „Inštalovať teraz„. Po doinštalovaní stlačíme „Aktivovať„.
Po aktivovaní by sa mal systém presmerovať na nastavenie pluginu. Prípadne môžete nájsť nastavenia v záložke „Nastavenia“ v podzložke „reCAPTCHA„.
Cez váš Google účet je nutné sa prihlásiť na adrese https://www.google.com/recaptcha/admin a zaregistrovať kľúče pre nastavenie. Pre registráciu nových kľúčov je potrebné vyplniť formulár s názvom webu (LABEL), zvoliť prvý typ overovania (reCAPTCHA V2, prípadne druhý Invisible reCAPTCHA), vyplniť v „Domains“ vašu doménu a prípadné subdomény (napr. aj www.vasadomena.sk), odškrtnúť podmienky používania a zaregistrovať.
Po registrácii stačí už len prekopírovať „Site key“ a „Secret key“ do nastavení pluginu.
Po uložení nastavení sa zabezpečenie automaticky pridá do formulárov.
POZOR! V prípade, že nastavovanie neprebehlo správne a vy sa neviete dostať do WordPress administrácie, je potrebné celý plugin vymazať cez FTP. Plugin sa nachádza v zložke „wp-content/plugins“ a v tejto zložke je potrebné vymazať celý priečinok „simple-google-recaptcha“ a ochrana formulárov sa vypne.