Home > Linux, Mysql, Php, Razno, Sigurnost > DDOS napad na WordPress instalacije

DDOS napad na WordPress instalacije

U toku je veliki DDOS napad na sve WordPress instalacije, a sastoji se od brute-force pokušaja probijanja pasworda. Ne samo mi, svi web hosteri na svijetu imaju u ovom trenutku problema s time.

Napad je jako dobro pripremljen i organiziran , a u ovom trenu zabilježeno je preko 100.000 ip adresa uključenih u ovaj napad.

Ukoliko imate ili održavate WordPress, prvo sto bi trebalo hitno napraviti je promijeniti admin password od svih WordPress instalacija. Pasworde ne ostavljajte jednostavnim, nego koristite najmanje 10 znamenaka, koristite velika i mala slova, obavezno koristite i specijalne znakove (^% $ # & @ *).

DDOS je počeo početkom tjedna, naime mi cijelo vrijeme primjećujemo neki određeni broj pokušaja loginova na wp-admin.php, no početkom tjedna to je naraslo na preko 50 requestova po sekundi. Simptomi su sporo učitavanje weba i spor ili totalno neupotrebljiv backend, a u peakovima napada web site prestaje raditi u potpunosti. To izgleda otprilike ovako:

Screen Shot 2013-04-12 at 10.50.31 AM

 

 

Mi smo još na početku napada počeli raditi filtere, pokušavali DDOS napad mitigirati i ublažiti posljedice, no zbog magnitude i vrste  napada, serveri povremeno postaju neresponzivni, a webovi prestaju raditi. Ništa ne pomaže niti način na koji wordpress logira korisnike, niti 404 stranica koja je često dinamička i ide kroz index.php na WordPressu.

Ono što Vi možete napraviti, nebi li sebi i nama olakšali situaciju je:

  • ODMAH izmijeniti password za Wordpres instalaciju u neki znatno kompliciraniji, koristeći mala slova, brojeve i znakove
  • Paswordom zaštiti “wp-login.php” datoteku prateći upute na dnu ovog posta
  • Instalirati plugin za rate limiting loginova
  • Instalirajte w3 Total Cache ili WP Super Cache, ne bi li instalaciju Wordpresa učinili otpornijom
  • Koristite CloudFlare, mozete ga instalirati jednostavno iz cPanela, a čak i u besplatnom modelu pruža zaštitu od ovakvih napada

Updateati ćemo ovaj blog post kako budemo dolazili do novih informacija.

 

Zaštita wp-login.php datoteke:

Unutar cPanela klikom na “Password Protected Directies” odaberite direktorij koji želite zaštiti (odaberite public_html)

Unutar ekrana koji će vam se otvoriti, pod “Create User:” odaberite korisničko ime i lozinku. Provjerite da je “Snaga” lozinke (“Strength”) iznad 80%. Pomoću “Password Generatora” možete generirati lozinke koje će biti Snage 100%. (Svakako zapišite tu lozinku)

Potom kroz File Manager , FTP ili kroz SSH navigirajte do direktorija gdje se nalazi vaša WordPress instalacija i kreirajte datoteku naziva “.htaccess”.
Potom otvorite tu datoteku i u nju ubacite sljedeći kod:

AuthType Basic
AuthName “Login required”
AuthUserFile “/home/<VAŠ USERNAME>/.htpasswds/public_html/passwd”
ErrorDocument 401 default
# Autentikacija za wp-login i wp-admin
<Files “wp-login.php”>
require valid-user
</Files>

* “VAŠ USERNAME” je vaše cpanel korisničko ime.

 

  1. Ivan
    April 12th, 2013 at 10:56 | #1

    Meni je na mojim webovim pomogla instalacija Captche, ali neznam dali postoji kakav plugin za WP za to ….

  2. April 12th, 2013 at 11:04 | #2

    Slažem se za sigurnost samog wordpresa, no ne pomaže u ovom slučaju iz razloga što je u pitanju jako velik broj requestova i serveri to fizički ne izdržavaju, naime wordpres nije bas lightweight aplikacija, i kada se desi takav DOS na aplikaciju, nastaju problemi sa stabilnošću.

  3. April 12th, 2013 at 11:20 | #3

    Tu jedino pomažu Cloudflare i CDN-ovi, a što se tiče samog vlasnika stranice. Meni je više od 50% upita preuzeo Cloudflare, a nešto malo manje bandwitha.

  4. Me
    April 12th, 2013 at 11:25 | #4

    A ovaj plugin – BulletProof Security

    http://wordpress.org/extend/plugins/bulletproof-security/

  5. April 12th, 2013 at 11:29 | #5

    Da, pomaže, ali samo kao zaštita od upada u wordpress, problem je ovdje sto je to toliko requestova da serveri ne izdržavaju opterecenje, ma kakvi bili.

  6. Hrvoje
    April 12th, 2013 at 11:58 | #7

    Osim WP-a, pokusavaju uletavati i u Joomle
    Preporucujem instalirati i konfigurirati Admin Tools Pro za Joomlu.
    I naravno htaccess password na administrator direktorij

  7. April 12th, 2013 at 13:29 | #8

    Broj hitova na wp-login.php je u tri dana sa 557.000 u 24 sata narastao na 1.785.000 hitova u 24 sata

  8. Vinayak
    April 12th, 2013 at 13:44 | #9

    I am from one of the hosting provider in US. We are facing this problem from last 24 hours and could not find any suspicious from the server side. Do you know what can be done from the server end to prevent this ?

  9. April 12th, 2013 at 13:50 | #10

    Since you have gmail address, and your IP is from India, so please, not here, contact us on our support

  10. Vinayak
    April 12th, 2013 at 13:59 | #11

    @Zvonimir
    How to contact support ? Will they help me ?

  11. April 12th, 2013 at 14:06 | #12

    Send an email to support@plus.hr from real email, tell us what firm and of course that we will help you.

  12. Vinayak
    April 12th, 2013 at 14:12 | #13

    @Zvonimir

    Thank you !!! Will send

  13. nikola
    April 12th, 2013 at 21:04 | #14

    Na codecanyon.com imate plug in hyde my wordpress… trebalo bi da resi problem pozdrav…

  14. Saša Teković
    April 12th, 2013 at 22:51 | #15

    S obzirom da je poanta spriječiti requestove napadača prije nego što oni stignu do web servera, spomenuti plugin ne predstavlja adekvatno riješenje. Za mitigaciju napada smo koristili naprednije metode zaštite.

  15. April 12th, 2013 at 22:59 | #16

    Za sada samo jaka lozinka i da username nije admin to bi bilo sasvim dovoljno

    Paswordom zaštiti “wp-admin” direktorij
    Instalirati plugin za rate limiting loginova
    Instalirajte w3 Total Cache ili WP Super Cache

    Ove tri stvari bi bile sasvim dovoljne uz jaku lozinku i username malo kopliciraniji

  16. April 16th, 2013 at 12:19 | #17

    Ljudi,
    koristim Better WP Security od prije 2 tjedna (kao da sam znao..ali nisam! 🙂 , i mogu reci da u zadnje vrijeme dobivam dosta upozorenja kako je privremeno pojedinim IP adresama zabranjen pristup site-u radi prevelikog broja pokusaja pristupa neuspjesnom lozinkom.

    Odlican plugin, jednostavan za podesavanje, svakom bih ga preporucio.
    ps. imam od prije i W3 Total Cache

  17. April 18th, 2013 at 20:38 | #18

    Moze pomoci i mod_evasive instaliran na serveru.

  18. April 18th, 2013 at 20:56 | #19

    @Rasho
    Može, ali ako je napad slabijeg intenziteta. Ozbiljni napadi se moraju mitigirati ispred web servera, što je ono što smo u konačnici učinili 😉

  19. June 8th, 2013 at 09:00 | #20

    Hm,,

    to bi trebalo mozda prije nego dolazi do samog php-a i .htaccess file-a razati ..

    Ako je ikako moguce izolirati i skuziti range napada ddos-a od kud dolazi onda u iptables ubaciti npr:

    –src-range 192.168.1.100-192.168.1.200 .. DROP

    ili po konekciji limit iz C klase (24bit-a maska)

    –connlimit-above 20 –connlimit-mask 24

    uvijek postoji ona zadnja da se samo iz EU ili hr range-a ACCEPT-a konekcija .. ne pametno dobro!

    sretno plus!

  1. July 31st, 2013 at 11:05 | #1
  2. August 31st, 2014 at 20:15 | #2