Копи “паста”

Приветствую всех посетителей и друзей блога! Сегодняшняя небольшая статья не была запланирована мною заранее. И я бы даже сказал, что она экстренная. Рекомендую обязательно с ней ознакомиться всем, кто имеет свои сайты и блоги на популярных CMS –Joomla и WordPress.

Все дело в том, что сегодня, посещая сайты своих коллег-блогеров, и пытаясь их комментировать при необходимости, заметил странную деталь: при отправке комментария вылетала проблема подключения к БД блога. Сначала такая ошибка вылезла у Сергея (Мобильный Дом), затем у Артема (Artabr), после, у Ларисы (Web-Кошка), и еще у кого-то.

Первым делом я подумал, что Сергей проводит какие-то работы, мало ли. Но когда такая же проблема обнаружилась и на других блогах, я призадумался. Что-то здесь не так…

Но даже эти моменты не заставили меня начать писать авторам этих блогов письма о том, что у них какие-то проблемы. Зачем, думаю, панику сеять. Вдруг простое совпадение?

Но когда на одном из своих блогов я хотел войти в админку, то с ужасом обнаружил, что она не доступна! 403-я ошибка. При всем при этом, сам блог вполне себе работал. А работ я никаких сегодня на нем не производил. “Бегу” сразу же на свое любимое детище, то есть на этот блог, захожу в админку – та же печенька! Сам блог благополучно работает, а  админка попросту не доступна. Причем именно 403 ошибка (Forbidden, т.е. “запрещено”).

Я реально немного выпал в осадок. Ведь и на этом блоге я тоже никаких работ сегодня не производил. Думаю все, надо копать в сторону хостера, пусть посмотрят логи. Может что прояснится.

Не успел я об этом подумать, как от хостера приходит письмо. Очень оперативно стоит заметить. Вообще, саппорт у них работает, как часы. Не буду здесь давать никаких реферальных ссылок (хотя стоило бы =)), дабы статью не посчитали рекламной. Суть статьи не в этом. А в том, чтобы предупредить всех своих коллег по блогоцеху.

В общем, ситуация следующая. Хостинг-провайдер намеренно заблокировал доступ в админку всем своим клиентам, которые пользуются Вордпрессом и Джумлой, в целях недопущения их взлома.

Оказывается, в течение последних двух дней очень сильно активизировались брутфорс-атаки именно на эти CMS, просто до критического предела. Ботнет, с которого осуществлялись атаки (перебор паролей) насчитывал по примерным начальным подсчетам 100 000 машин. И это число постоянно увеличивалось. Справедливости ради стоит отметить, что атаки на эти CMS осуществляются регулярно, а с начала лета их число стало расти в геометрической прогрессии. И, наконец, достигло такого критического уровня, что хостер пошел на столь кардинальные меры.

А меры эти весьма оправданы, ведь в случае удачной атаки и подбора пароля (а на таких мощностях – это вполне реально, даже с учетом сложных логинов и паролей), блоги сами становятся частью ботнета. Более того, они, естественно, становятся зараженными и несут угрозу тем, кто их посещает. Таким образом, посетители также могут легко стать частью этой же ботнет-сети. Именно поэтому число “машин”, с которых осуществляются атаки, так активно увеличивается. И, следовательно, будущие атаки станут еще мощней.

Из всего вышесказанного можно сделать несколько выводов. Сам хостинг-провайдер настойчиво рекомендует изменить имя файла, отвечающего за авторизацию на сайте:

• /wp-admin.php – для WordPress
• /administrator/index.php – для Joomla

Про Joomla я ничего сказать не могу, а вот про WordPress – прокомментирую.

Имя файла wp-admin.php можно и не менять, а просто запретить доступ к папке wp-admin посредством файла .htaccess. Но у нас ведь есть еще и файл wp-login.php, к которому доступ закрывать нельзя. Иначе как мы сами будем авторизоваться? Вот именно его обязательно нужно либо переименовать, либо защитить.

Я в этой конкретной статье не буду писать, как это сделать, потому как главный ее посыл – донести суть сложившейся проблемы, как можно скорее. Так что, прошу меня извинить. Придется гуглить самостоятельно. Благо в сети навалом информации на этот счет. Но если что, спрашивайте в комментариях.

Могу лишь посоветовать два плагина BulletProof Security и Better WordPress Security – они решат эту и многие другие проблемы. По их настройке спрашивайте в комментариях, если необходимо (жалею теперь, что до сих пор не написал статьи по ним, хотя планировал это сделать еще пару месяцев назад, но отклонился от курса).

Также обязателен плагин Login LockDown, или аналогичный. Но он тоже не панацея, если учитывать мощности текущей атаки. Взломать-то, может и не взломают. Но нагрузка на сервер возрастет до предела. Впрочем, в связи со сложившейся ситуацией нагрузки должны и так возрасти. Но если хостер честный, и он в курсе проблемы, я думаю, что санкций применять за это не станет.

Ну, и, конечно, основы основ – обязательно сменить стандартный логин admin на любой другой, желательно на абракадабру какую-нибудь. Про сложный пароль, надеюсь, упоминать не нужно.

В общем, друзья, нужно максимально обеспечить безопасность своих сайтов именно сейчас. Я знаю, что большинство друзей моего блога и постоянных читателей, уже давно приняли все эти меры, но если это не так, не тяните. А я со своей стороны постараюсь в самое ближайшее время, вопреки запланированному графику, написать мануалы именно по этим двум плагинам.

В заключение хочу еще раз отметить то, какой замечательный и оперативный у меня хостинг-провайдер =) Кстати, они мониторят ситуацию не только за своими серверами, но и обстановку в целом. Вот на днях приходило письмо, что многие дата-центры (и их в том числе) подверглись очень массивной DDoS-атаке, пропускной силы в 17 Гбит/сек (если правильно помню, но точно не меньше)! Эта нехилая атака была успешно отражена без ущерба для конечных пользователей.

Ладно, перестану нахваливать уже своего хостера. Просто еще раз напомню: защищайте свои блоги, если еще этого не сделали. Не тяните резину.

Всем удачи и несокрушимых админок =)  До скорого!

С уважением, Александр Майер

http://bloginfo.biz/ochen-vazhno-massivnye-brutfor...