Atacuri masive asupra site-urilor cu WP

[lovelife]

Am primit astazi de la nshost (am un hosting si de la ei)

Daca detineti in acest moment un script/site WORDPRESS trebuie sa stiti ca in acest moment are loc un Atacat Global pe toate scripturile wordpress.

Am luat masuri prin instalarea unor module de protectie "Quality Of Services" si am adaugat reguli "Firewall" pentru a preveni Brute Force Atack.

Pentru a incerca sa preveniti un atac va recomandam:

1. Faceti Urgent Update la ultima versiune wordpress 3.5.1 si update la toate pluginurile.
2. Schimbati-va parola de admin cu una generata care sa contina caractere de genul: ( !@#$$%^ )
3. Instalati-va plugin de securitate ( WordPress › Better WP Security « WordPress Plugins )

Sursa:
Global Attack on Wordpress Sites | ResellerClub Blog
Global Attack On Wordpress Sites? - Affiliate Lounge - Twist Forum - Affiliate Marketing
Global Brute Force Attacks on WordPress Sites - BlogAid

Eu ma confrunt cu atacuri masive pe unele site-uri cu WP
Un site pe care il folosesc rar, dar care este tinta a multor atacuri in ultimul timp, l-am securizat printr-un SSL, incat partea de admin nu imi mai este accesibila nici mie (trebuie sa ii dau drumul doar prin WHM) pentru ca nu am stiut alta cale

Asa ca va recomad sa va luati masuri cei ce aveti site-uri pe WP
In link-urile de mai sus gasiti si ceva recomandari
Hosturile shared sunt cele mai vulnerabile, inca un motiv sa va mutati pe VPS sau dedicat

[Tom]

Eu cunosc sute de cazuri in ultima luna. A devenit un trend ingrijorator. Nu e vb doar de wordpress.

Am un prieten cu o agentie de webedsign, unde hostul i-a inchis 3 servere, unde avea 500 de site-uri sparte intr-o singura zi! Hostul a preferat sa-i inchida serverele, decat sa caute solutii

Trendul e agravant, pentru ca nr de site-uri sparte creste de la luna la luna.

[lovelife]

Va recomand sa va instalati si configurati BulletProof Security si Better WP Security

[lovelife]

Lucrurile sunt foarte grave, eu azi am avut un atac asupra forumului cu vbulletin, sa dus serverul din 1-2% la 130% incat am avut nevoie de reset fizic la server.
Din fericire singura consecinta a fost blocarea serverului data asta.
Dar am avut alte site-uri lovite tare.

PS: Am avut spart un site ce avea doar 3 fisiere html pe el, parolele nu le mai stiam nici eu de la cpanel, de cand il setasem acum vreo 5 ani

[Popa Flavian]

A host, 69.25.176.49(you can check the host at 69.25.176.49 is a United States IP Address. See more about 69.25.176.49 now.) has been locked out of the WordPress site at flavy.ro parmanently due to too many login attempts. You may login to the site to manually release the lock if necessary.

Ar fi bine sa instalati si LoginLockDown.

[lovelife]

Ar fi bine sa instalati si LoginLockDown.

Better WP Security face si asta, nu are rost sa mai instalezi inca un plugin

[gabetu]

Tocmai mi-am verificat si eu toate site-urile si nu par a fi probleme. Ce solutii de protectie folosesc eu pe WP:
- de vreo 5 ani nu mai folosesc transfer FTP ci doar din Cpanel (de atunci nu am mai avut niciun site spart)
- nume de admin si parole foarte complexe
- versiune wp actualizata mereu
- ascundere versiune wp in head
- foarte putine pluginuri (chiar daca testez mai multe, pe cele pe care nu le mai folosesc le sterg si de pe server si din baza de date)
- plugin de securitate - WordPress › Wordfence Security « WordPress Plugins - are si versiune premium
- a aparut si un plugin "hide my wp" pe codecanyon - WordPress - Hide My WP - No one can know you use WordPress! | CodeCanyon

[indiscutabil34]

@lovelife, multam pentru avertizare, acum am instalat wp better security, pare un plugin competent. Am la hostgator, care nu cred ca e chiar atat de acceseibil hackerilor, dar o sa vedem daca ma afecteaza sau nu.

[Analiză]

Mi-a cei de la host mi-au trimis un email, in care mi-au recomandat urmatoarele:

In acest moment, exista un atac global si distribuit catre toate site-urile ce folosesc platforma Wordpress. Atacul consta in a 'sparge' parola contului de admin si pentru injecta virusi si scripturi in site-urile clientilor.
Atacul este la nivel global, toate instalarile Wordpress sunt afectate in acest moment si toti providerii de gazduire sunt rugati sa sfatuiasca/aduca la cunostiinta clientilor sai de acest lucru.
Atacul foloseste IP-uri false(spoofed), astfel este foarte greu pentru a bloca atacurile. Cu toate acestea, exista cateva solutii simple pe care le puteti folosi pentru a securiza wp-admin.
1. Activati cloudflare si folositi doar Inregistrare domenii .RO - Alege-ti domeniul si inregistreaza-l in 3 pasi. (domain.ro nu va fi protejat prin cloudflare).
Activand Cloudflare, securitatea oferita de acestia include protectia asupra acestui ultim atac. Trebuie doar sa creati un redirect din domain.ro catre Inregistrare domenii .RO - Alege-ti domeniul si inregistreaza-l in 3 pasi. pentru ca doar Inregistrare domenii .RO - Alege-ti domeniul si inregistreaza-l in 3 pasi. va trece prin serverele de la Cloudflare.

2. Restrictionare acess in sectiunea /wp-admin/
Acest lucru se poate face folosind un fisier .htaccess in folderul /wp-admin/, este optiunea pe care o aleg personal.

Order deny,allow
deny from all
allow from ADRESA-MEA-IP
<Files admin-ajax.php>
Order allow,deny
Allow from all
Satisfy any
</Files>

<Files admin-ajax.css>
Order allow,deny
Allow from all
Satisfy any
</Files>
ADRESA-MEA-IP trebuie schimbata cu adresa d-voastra de internet externa.
Aceasta varianta o folosesc in acest moment personal.
Mai multe informatii puteti gasi la adresa: Password protecting the wp-admin directory &ndash; jQuery , WordPress , ajax , howto , security , apache , lighttpd &ndash; Nicolas Kuttler
3. Instalati un plugin de securitate
Ca sa fiu sincer, nu sunt adeptul instalarii unui plugin de securitate, prefer varianta externa, protectie inainte de a ajunge in site. Insa pentru cei care nu vor sa foloseasca Cloudflare sau .htaccess pentru a securiza sectiunea wp-admin, pot instala:
WordPress › Better WP Security « WordPress Plugins
Pluginurile pot ingreuna site-ul, insa va pot face si un audit suplimentar pentru a va asigura ca totul este in regula cu platforma d-voastra.

Poate va ajuta cu ceva!

[haos]

Acesta este al treilea val de atacuri. Primul a fost in toamna anului trecut, am impresia ca atunci s-au facut primele teste din partea lor. Al doilea a fost prin decembrie-ianuarie, ceva mai intens. Iar din februarie incoace, o tin asa in continuu, adica vor lua toate siteurile la rand (fara exceptie) asa denumitele "atacuri cibernetice asupra tarii x".

Atentie webmasterii!, in special cei care aveti servere/vps sau multiple siteuri: Hosturile va vor inchide serverele sau suspenda conturile imediat dupa inceperea atacului. In Germania - inchis server fizic (3 servere); Elvetia - inchis server in mod recovery (2 servere); America - inchis server in mod recovery; in Romania - suspendat cont (toate hosturile cu care lucrez - 80 siteuri .ro).

Inainte de atac cand am solicitat urmatoarele masuri de siguranta mi s-a zis ca-s paranoic. Paranoic, dar cu rezultate. Acum vad ca nu mai comenteaza nimeni la masurile mele..

Iata masurile de siguranta din clasa PARANOIDE:

1) Pentru cei cu cPanel -> setati cPHulk sa dea ban pe IP la maxim o parola gresita. Atentie sa va puneti propriul IP in whitelist altfel riscati sa ramaneti banati. Masura paranoica dar cu rezultate fenomenale.
2) Disable FTP. Dezactivati complet serverul FTP sau puneti o parola complexa si apoi nu-l mai utilizati. Masura paranoica.
3) Inainte de fiecare conexiune in mod admin (cPanel,Wordpress, Joomla, etc) asigurati-ca ca antivirusul este pornit, si ati facut cat mai recent o scanare a fisierelor cu care lucrati atat cu Antivirus cat si cu Antispyware. Masura paranoica.
4) Cei care aveti posibilitatea, restrictionati zona de administrare doar pe IP-ul vostru. Si asta e tot paranoica.
5) Nu folositi niciodata userul "admin" sau "root" sau url-ul "/admin". Stergeti aceste usere si creati altele cu alt nume, dar cu aceleasi privilegii. Masura tot din clasa paranoida.

Acestea sunt top 5 masuri paranoice, dar care reduc peste 90% din probleme. Restul cu pluginuri si ce va mai trimite hostul sunt pentru cei 10% ramasi insa niciun plugin nu va poate proteja cu adevarat in cazul temelor si pluginurilor cu grave probleme de securitate.

In incheiere o sa fac un gest atipic, si anume sa multumesc hackerilor. De ce? Pentru ca anul acesta, fiind rugat sa repar foarte multe siteuri, am observat ceva interesant pe conturile shared: desi unele siteuri erau infectate cu scripturi de tip god-mode, acestia nu s-au folosit de acest lucru pentru a infecta SI celalalte siteuri sau pentru a downloada cod/baza de date.

Oricine este in spatele acestor atacuri este o grupare cu niste reguli foarte precise si e clar ca nu urmaresc altceva decat informatii clasificate, altfel nu s-ar fi comportat asa. Cineva rau intentionat ar fi putut sa faca orice, atat timp cat avea acces de tip god-mode la un singur site pe un cont shared. Pe un esantion de cateva sute de cazuri nu am intalnit niciun astfel de caz, deci trebuie respectat asa ceva.

PS: Daca doriti dezinfectarea unui site.. dati-mi un semn.