Πέμπτη 28 Μαρτίου 2024
weather-icon 21o
Σε εξέλιξη «κτηνώδης» επίθεση σε λογαριασμούς admin στο Wordpress

Σε εξέλιξη «κτηνώδης» επίθεση σε λογαριασμούς admin στο WordPress

Τρεις εταιρείες που φιλοξενούν στους διακομιστές τους ιστολόγια που γράφονται με το εξαιρετικά δημοφιλές σύστημα διαχείρισης περιεχομένου Wordpress γνωστοποιούν πως άγνωστοι εισβολείς επιχειρούν να αποκτήσουν πρόσβαση με δικαιώματα διαχειριστή σε ευάλωτους λογαριασμούς με username το καθολικό admin δοκιμάζοντας προφανή password.

Τρεις εταιρείες (HostGator, CloudFlare, ResellerClub) που φιλοξενούν στους διακομιστές τους εκατομμύρια ιστολόγια που γράφονται με το εξαιρετικά δημοφιλές σύστημα διαχείρισης περιεχομένου WordPress, γνωστοποιούν πως άγνωστοι εισβολείς επιχειρούν να αποκτήσουν πρόσβαση με δικαιώματα διαχειριστή σε ευάλωτους λογαριασμούς, με username το καθολικό admin, δοκιμάζοντας προφανή password σε μηδενικό χρόνο.

Οι επιτιθέμενοι φαίνεται ότι έχουν τα μέσα για να εξαπολύσουν την επίθεση, αφού αναφέρεται πως 90.000 διαφορετικές διευθύνσεις IP υπολογιστών έχουν αναλάβει να δοκιμάζουν κωδικούς πρόσβασης με βάση μια λίστα, έως ότου τελικά πετύχουν την πρόσβαση (επίθεση «brute force»).

Η επίθεση στο σύστημα διαχείρισης περιεχομένου WordPress θα μπορούσε να λάβει τεράστιες διαστάσεις, αφού οι τρέχουσες εκτιμήσεις αναφέρουν πως ένας στους έξι δικτυακούς τόπους σήμερα στον Παγκόσμιο Ιστό βασίζεται στην πλατφόρμα του WordPress.

  • Ασφαλές θεωρείται ένα password όταν αποτελείται από 8 τουλάχιστον χαρακτήρες ή περισσότερους, μίγμα πεζών και κεφαλαίων, ανάμεσα στους οποίους υπάρχουν ειδικοί χαρακτήρες όπως !@#$%^&*(). Μπορείτε επίσης, να προσθέσετε κενά διαστήματα. Προτείνεται ακόμα να χρησιμοποιούνται αριθμοί στο μέσο κάθε λέξης-φράσης, όχι στην αρχή ή στο τέλος.

Οι χρήστες καλούνται επίσης να αλλάξουν το login name admin στον λογαριασμό τους, αυτό με υπερεξουσίες, δηλαδή δικαιώματα διαχειριστή. Για να γίνει αυτό, ο χρήστης θα πρέπει πρώτα να δημιουργήσει έναν νέο χρήστη, να του παραχωρήσει πλήρη δικαιώματα διαχειριστή με διαφορετική διεύθυνση e-mail από αυτή του χρήστη με username admin. Έπειτα, θα πρέπει να διαγράψει τον admin και προηγουμένως να παραχωρήσει τις αρμοδιότητές του για όλα τα post στον νέο administrator (Attribute all posts and links to), ο οποίος δεν θα έχει πλέον ούτε προφανές username, ούτε προφανές password.

  • Τι εστί botnet; Είναι το PC μου Zόμπι;Ο υπολογιστής σας μπορεί να είναι ήδη μαριονέτα στα χέρια επίδοξων ληστών χωρίς να το έχετε αντιληφθεί. Πώς όμως μπορεί να συμβεί κάτι τέτοιο; Οι Γερμανοί ειδικοί της G Data εξηγούν τι εστί botnet.

Πώς θα είστε ασφαλής, εξηγεί ο δημιουργός του WordPress

Όπως επισημαίνει ο δημιουργός της πλατφόρμας WordPress, Matt Mullenweg, το σύστημα διαχείρισης περιεχομένου έχει πάψει να αποδίδει εκ προοιμίου το username admin στους νέους λογαριασμούς (WordPress 3.0). Συνιστά στους χρήστες να αλλάξουν το username admin και το password.

Τέλος, ο Mullenweg συνιστά σε όσους χρησιμοποιούν το WP.com, την ενεργοποίηση της επαλήθευσης των στοιχείων εισόδου σε δύο βήματα. Το λεγόμενο Two Step Authentication περιγράφεται ως εξής: κάθε φορά που ο διαχειριστής επιχειρεί να κάνει log in στον λογαριασμό του στο WordPress.com, του ζητείται ένας μυστικός αριθμός. Για να τον λάβει, πρέπει να έχει στο smartphone του το Google Authenticator App, μια μικροεφαρμογή που δημιουργεί έναν νέο αριθμό κάθε 30 δευτερόλεπτα, καθιστώντας την αναπαραγωγή του αδύνατη. Εναλλακτικά, ο χρήστης μπορεί να ζητήσει να του σταλεί ο μοναδικός αυτός κωδικός με SMS.

Σε διάφορους δικτυακούς τόπους προτείνεται ο περιορισμός των προσπαθειών που μπορούν να γίνουν από το ίδιο μηχάνημα για την είσοδο στο σύστημα, με την χρήση αντίστοιχων plugins. Ωστόσο, ο Matt ξεκαθαρίζει ότι αυτή ή ανάλογη μέθοδος δεν θα ήταν αρκετή, αφού με 90.000 IP στην διάθεση των επιτιθέμενων, θα μπορούσαν να επιχειρούν την πρόσβαση από διαφορετική IP κάθε δευτερόλεπτο, επί 24 ώρες, οπότε το plugin θα ήταν άχρηστο καθώς θα θεωρούσε ότι η προσπάθεια γίνεται από διαφορετικό μηχάνημα.

Ανθή Παναγιωτάκη
@techingr

In.gr Τεχνολογία

Sports in

O Τζόλης των 17 γκολ και η… αδικία του Πογέτ (vids)

Ο Γκουστάβο Πογέτ δεν έκανε σωστή διαχείριση στο ματς με τη Γεωργία και αυτό φαίνεται από τον Χρήστο Τζόλη, που είναι ο πιο φορμαρισμένος Έλληνας παίκτης αυτή τη στιγμή και ήταν εκτός αποστολής.

Ακολουθήστε το in.gr στο Google News και μάθετε πρώτοι όλες τις ειδήσεις

in.gr | Ταυτότητα

Διαχειριστής - Διευθυντής: Λευτέρης Θ. Χαραλαμπόπουλος

Διευθύντρια Σύνταξης: Αργυρώ Τσατσούλη

Ιδιοκτησία - Δικαιούχος domain name: ΑΛΤΕΡ ΕΓΚΟ ΜΜΕ Α.Ε.

Νόμιμος Εκπρόσωπος: Ιωάννης Βρέντζος

Έδρα - Γραφεία: Λεωφόρος Συγγρού αρ 340, Καλλιθέα, ΤΚ 17673

ΑΦΜ: 800745939, ΔΟΥ: ΦΑΕ ΠΕΙΡΑΙΑ

Ηλεκτρονική διεύθυνση Επικοινωνίας: in@alteregomedia.org, Τηλ. Επικοινωνίας: 2107547007

Πέμπτη 28 Μαρτίου 2024