A brute force támadás wordpress oldalak ellen automatizált jelszópróbálgatást jelent: a botok másodpercenként több tucat kombinációt tesztelnek a bejelentkezési felületen, amíg be nem jutnak. Ez az egyik legelterjedtebb WordPress-támadási forma, és szinte minden oldalt érint, mérettől függetlenül.
Mi az a brute force támadás és hogyan védd meg az admin bejelentkezésedet?
Lehet, hogy éppen most is próbálják feltörni a WordPress oldaladat. Te ebből semmit sem látsz, és semmi sem jelez neked. A szerver naplójában viszont ott sorakoznak a sikertelen bejelentkezési kísérletek, százával, néha ezrével.
Ez a brute force támadás wordpress környezetben, és sokkal hétköznapibb, mint gondolnád.
Ebben a cikkben megmutatom, hogyan működik ez pontosan, hogyan néz ki a gyakorlatban, és mit tehetsz ellene akár már ma.
Mi az a brute force támadás?
A brute force támadás lényege egyszerű: egy automatizált program, jellemzően egy bot, megpróbál bejutni a WordPress admin felületedre úgy, hogy jelszó-kombinációkat próbálgat egymás után. Nem egy okos módszer, viszont annál eredményesebb.
Képzeld el úgy, mint egy digitális zárfeltörést. Valaki áll az ajtód előtt, és módszeresen végigpróbálja az összes kulcsot, amit csak ismer. Az 1234-et, a „password”-öt, a céged nevét, a „admin123″-at, és így tovább. Emberek ezt nem csinálnák türelmesen, de egy bot másodpercenként tíz, ötven, akár száz próbálkozást is megtehet.
A WordPress bejelentkezési oldala, vagyis a wp-admin vagy a wp-login.php alapértelmezés szerint elérhető bárki számára. Ez teszi a WordPress brute force védelem kérdését különösen fontossá: ha nincs semmi, ami korlátozná a próbálkozásokat, a bot addig próbálkozik, amíg be nem jut, vagy valami le nem állítja.
Hogyan néz ki ez a gyakorlatban?
Egy tipikus wordpress jelszó támadás nem úgy indul, hogy valaki személyesen célba veszi az oldaladat. A botok automatizált listákat keresnek le: WordPress-oldalakat keresnek az interneten, megtalálják a bejelentkezési felületet, és elindítják a próbálkozásokat.
A wp admin feltörés kísérletei általában így néznek ki:
A bot megtalálja a wp-login.php oldalt. Elkezd próbálkozni az „admin” felhasználónévvel, mert sok WordPress-oldalnál ez az alapértelmezés. Ezután jönnek a jelszavak: először a leggyakoribbak, majd szótáralapú listák, végül kombinációk. Ha megtalálja a helyes párost, belép. Ha nem, esetleg vált IP-t, és folytatja.
Az IP-váltás a másik jellemző elem. Sok támadás nem egyetlen IP-ről érkezik, hanem egész botnet-hálózatokból, ahol akár száz különböző forrásból érkeznek a próbálkozások. Ez nehezíti az egyszerű IP-alapú tiltást.
Miért olyan gyakori ez a támadási forma?
A brute force támadás wordpress oldalak ellen azért ilyen elterjedt, mert alacsony erőforrásigényű a támadó oldaláról, és nagyon sok potenciális célpont van.
Három fő oka van, hogy ezt választják:
Automatizálható. Egy egyszer beállított bot ezrével fut párhuzamosan. Nincs szükség emberi beavatkozásra, és a támadónak nem kell közvetlenül foglalkozni egyetlen oldallal sem.
Nem kell célzottnak lennie. A legtöbb brute force támadás nem téged személyesen céloz, hanem találomra keres sebezhető WordPress-oldalakat. Ha gyenge jelszót használsz, és nincs login védelem, belép, aztán fog valami hasznosat kezdeni az oldallal.
Rengeteg gyenge jelszó van. Sajnos ez ma is igaz. A leggyakoribb jelszavak listája évről évre alig változik, és a WordPress sebezhetőségek egyik leggyakoribb forrása pontosan ez: gyenge bejelentkezési adatok.
Ha részletesebben érdekel, hogyan törik fel a WordPress oldalakat általában, azt egy korábbi cikkben részletesen is körbejártam.
Honnan tudhatod, hogy téged is érint?
A wordpress login védelem fontosságát sokan akkor ismerik fel, amikor már baj van. Pedig a brute force támadás több jelből is érzékelhető, ha figyelsz:
Furcsa lassulás. Ha a szervered erőforrásait részben a rengeteg sikertelen bejelentkezési kérés emészti fel, az oldal lassulhat. Ezt persze sok minden okozhatja, de hirtelen és megmagyarázhatatlan lassulás esetén érdemes megnézni a logokat.
Sok sikertelen belépési kísérlet. Ha telepítve van egy biztonsági plugin, az értesíthet erről. Ha nem, a szerver naplójában láthatod a wp-login.php-ra érkező kérések számát. Több tucatnyi kísérlet rövid idő alatt egyértelmű jel.
Gyanús aktivitás az admin felületen. Ha bejut a támadó, utána változások jelenhetnek meg az oldalon: új adminisztrátor-felhasználó, módosított fájlok, spam tartalmak. Ez már nem brute force, hanem a következménye.
Természetesen az is lehetséges, hogy semmi látható jele nincs, miközben folyamatosan próbálkoznak. Ez a leggyakoribb eset. Érdemes megnézni a naplókat akkor is, ha minden rendben lévőnek látszik.
Hogyan védekezhetsz a brute force támadások ellen?
A wordpress brute force védelem nem rocket science, de következetességet igényel. Több rétegből áll, és mindegyik réteget be kell tartani ahhoz, hogy valóban hatékony legyen.
Erős jelszó és egyedi felhasználónév
Az „admin” felhasználónév törlése az első lépés. Ha a support, az editor vagy bármilyen más felhasználód is gyenge jelszóval rendelkezik, a rendszer sebezhető marad. Hosszú, véletlenszerű, kisbetű-nagybetű-szám-karakter kombinációból álló jelszó legyen minden fiókhoz.
Login kísérletek korlátozása
A wordpress login védelem egyik alapeleme, hogy beállítod: x sikertelen kísérlet után a rendszer meghatározott ideig blokkolja az adott IP-t. Ezt pluginnal meg lehet oldani, például a Limit Login Attempts Reloaded, vagy a Wordfence segítségével, de önmagában nem elegendő a hálózati szintű támadásokkal szemben.
Kétlépéses azonosítás (2FA)
Ha bekapcsolod a kétlépéses azonosítást, a jelszó önmagában nem elegendő a belépéshez. Még ha meg is szerzik a helyes kombinációt, a második faktor nélkül nem tudnak belépni. Ez komoly védelmet jelent.
A login URL megváltoztatása
Az alapértelmezett wp-login.php cím mindenki számára ismert. Ha megváltoztatod egy egyedi URL-re, a botok egy részét már ezzel kizárhatod, mert nem találják meg a belépési felületet. Ez önmagában szintén nem elégséges védelem, de csökkenti a próbálkozások számát.
IP-alapú tiltás
Bizonyos tartományokból, különösen ismert rosszindulatú IP-tartományokból érkező kéréseket előre le lehet tiltani. Ezt manuálisan, .htaccess-szel vagy szerverszinten lehet beállítani, de folyamatos karbantartást igényel.
Automatizált védelem: HelloShield
Az igazság az, hogy ezeket a beállításokat el lehet ugyan végezni manuálisan, de karban is kell tartani őket. Frissíteni kell, figyelni kell, hogy minden működik-e. Sok ügyfélnél látom, hogy az első hónapban még minden rendben van, aztán elfelejtik, a plugin elavul, és újra nyitott lesz az ajtó.
Erre kínál megoldást a HelloShield, amelyet kifejezetten WordPress-oldalak automatizált védelméhez fejlesztettek. A bejelentkezési felület védelme, a támadások automatikus blokkolása és a folyamatos monitorozás mind egyetlen rendszerben van, emberi beavatkozás nélkül. Nem kell manuálisan állítgatni, nem kell emlékezni a frissítésekre.
A valódi probléma nem az, hogy van brute force
Ez az a pont, ahol sokan félreértik a helyzetet. A brute force támadás wordpress oldalak ellen nem azért veszélyes, mert különlegesen kifinomult módszer. Azért veszélyes, mert folyamatosan zajlik, és ha nincs folyamatos védelem, előbb-utóbb sikerrel jár.
Nem az a kérdés, hogy megtámadják-e az oldaladat. Megtámadják. Ez szinte matematikai bizonyossággal igaz minden publikusan elérhető WordPress-oldalra. A kérdés az, hogy van-e aktív, működő védelmed, amikor ez megtörténik.
Biztonságos a WordPress alapból? Erre a kérdésre részletesen válaszoltam ebben a korábbi cikkben. A rövid válasz: relatíve igen, de csak akkor, ha aktívan foglalkozol a biztonságával.
Hogyan dönts: DIY vagy automatizált rendszer?
Két út létezik, és mindkettőnek megvan a helye.
DIY megközelítés: Telepítesz néhány plugint, beállítod a login limitet, megváltoztatod a bejelentkezési URL-t, engedélyezed a 2FA-t, és időnként átnézed a naplókat. Ez működik, de időt vesz igénybe, és emberi figyelmet igényel. Ha van rá időd és kedved, ez is elfogadható megoldás.
Automatizált rendszer: A HelloShield elvégzi ezt helyetted. A védelem folyamatos, automatikus, és nem igényli, hogy te minden héten ellenőrizd, minden beállítás a helyén van-e. Ez a megoldás különösen ajánlott, ha az oldal bevételt termel, és nem engedheted meg magadnak a kiesést.
A WordPress admin védelem kérdéséről részletesebben is írok egy következő cikkben, ahol az összes beállítási lehetőséget végigvesszük.
Összegzés
A brute force támadás wordpress oldalak ellen az egyik legelterjedtebb és legautomatizáltabb fenyegetés. Nem igényel komoly technikai tudást a támadó részéről, viszont komoly károkat okozhat, ha bejut. Gyenge jelszó, alapértelmezett felhasználónév, korlátlan bejelentkezési kísérletek: ez a három tényező önmagában is elegendő ahhoz, hogy az oldalad sebezhető legyen.
A jó hír viszont az, hogy a wordpress brute force védelem megoldható, és nem kell hozzá informatikai végzettség. Erős jelszó, login limit, 2FA, és ha nem akarsz ezzel foglalkozni, egy automatizált rendszer, mint a HelloShield.
A következő lépés: nézd meg a WordPress biztonsági checklistet, és ellenőrizd, hogy az oldalad hol áll jelenleg.
GYIK – Brute force támadás WordPress
1. Mi az a brute force támadás WordPress esetén?
A brute force támadás egy automatizált módszer, amellyel botok tömegesen próbálnak jelszó-kombinációkat a WordPress bejelentkezési felületen. A cél az admin hozzáférés megszerzése. Ez az egyik legelterjedtebb WordPress-támadási forma, és szinte minden nyilvánosan elérhető oldalt érint.
2. Honnan tudom, hogy engem is ér ilyen támadás?
A legtöbb esetben nem látható közvetlenül, de a szerver naplójában feltűnnek a tömeges sikertelen bejelentkezési kísérletek. Biztonsági plugin telepítésével (pl Wordfence) értesítéseket is kaphatsz. Hirtelen oldallassulás vagy gyanús admin aktivitás szintén jel lehet.
3. Elegendő-e a bonyolult jelszó a védelemhez?
Erős jelszó nélkül semmi sem elegendő, de az erős jelszó önmagában sem elég. A bejelentkezési kísérletek korlátozása, a kétlépéses azonosítás és lehetőség szerint egy automatizált védelem, például a HelloShield együttesen nyújt valódi biztonságot.
4. Mit jelent a login limit, és hogyan segít?
A login limit (bejelentkezési kísérletek korlátozása) azt jelenti, hogy x sikertelen próbálkozás után a rendszer meghatározott ideig blokkolja az adott IP-címet. Ez lelassítja vagy megakadályozza a tömeges automatizált próbálkozásokat.
5. Szükségem van-e biztonsági pluginra, ha a tárhelyem már véd valamit?
A tárhelyszintű védelem és a WordPress-szintű védelem két különböző réteg. Érdemes mindkettőre támaszkodni. A tárhelyszintű tűzfal nem feltétlenül véd az alkalmazásszintű WordPress brute force támadás ellen, ezért szükséges a WordPressen belüli védelem is.
6. Mi a HelloShield, és mire való?
A HelloShield egy WordPress-biztonsági szolgáltatás, amely automatikusan védi a bejelentkezési felületet, blokkolja a gyanús kísérleteket, és folyamatos monitorozást biztosít. Azoknak ajánlott, akik nem akarnak saját maguk foglalkozni a biztonsági beállításokkal.
7. Megváltoztathatom a WordPress bejelentkezési URL-t?
Igen, ez egy bevett biztonsági lépés. Az alapértelmezett wp-login.php cím közismert, így a botok automatikusan erre mennek. Egy egyedi URL-lel csökkented a célzott próbálkozások számát, bár ez önmagában nem elegendő, csak egy rétege a védelemnek.
