Πως θα ασφαλίσετε το WP-admin

To WordPress είναι από τα πιο γνωστά CMS στον κόσμο (32% του internet δουλεύει με wordpress), και είναι γνωστό οτι είναι από τα πιο εύκολα CMS για να εγκαταστήσεις και κατανοήσεις. Παρ’όλα αυτά,το γεγονός οτι είναι εύκολο στην χρήση του, το καθιστά ευάλωτο σε επιθέσεις απο hackers ίδιως το wp-admin

Υπάρχουν πολλά δωρεάν plugin τα οποία δημιουργούν τρωτά σημεία στο wordpress. Οι hackers εκμεταλλεύονται αυτές τις ευπάθειες που δημιουργούν τα Plugins, τα wordpress θέματα και το WP Core. Υπάρχουν πολλά σημεία στα οποία το wordpress μπορεί να ενδυναμωθεί

H default σελίδα Login του WordPress

Γιατί να αλλάξεις την default σελίδα login?
Η login σελίδα wordpress είναι για όλους η ίδια με αποτέλεσμα να την γνωρίζουν όλοι.
Έτσι είναι πιο εύκολο να γίνουν brute force επιθέσεις στο site σου.

Πως μοιάζει μια τέτοια επίθεση στα logs του Firewall μας ;

Οι περισσότεροι ξέρουν (το ίδιο και τα αυτοματοποιημένα bots) ότι αν επιθυμείς να συνδεθείς στο wordpress, τότε θα χρησιμοποιήσεις είτε wp-login ή wp-admin. Μερικές φορές μάλιστα, το wp-admin αποτελεί ανακατεύθυνση του wp-login όπως σε αυτή τη περίπτωση:

wp-login.php?redirect_to=http%3A%2F%2Ftest.com%2Fwp-admin%2F&reauth=1

Αν κάποιος γνωρίζει την σελίδα login και σκοπευέι να αποκτήσει πρόσβαση στο site, μπορεί να δοκιμάσει μια επίθεση τύπου brute force όπως στο παράδειγμα παρακάτω.

Στην παραπάνω εικόνα είναι εμφανές ότι κάποιος προσπάθησε να αποκτήσει πρόσβαση μέσω του wp-login page. Στο top 10 μίας λίστας που απαριθμεί τις πιο διαδεδομένες επιθέσεις του 2018, βρίσκονται τα WordPress Brute-force Login Attempt (BNVL-2018-0009) και Redirect Vulnerability in WordPress’s WP Login Plugin (wp-login.php) (BNVL-2018-0008), γεγονός που υποδεικνύει ότι το wordpress κινδυνεύει.

Πώς θα αλλάξω την default login σελίδα του WordPress;

Όπως γνωρίζουμε, δεν είναι σωστό να χρησιμοποιούμε πολλά plugins, ωστόσο αν επιθυμείτε την ασφάλεια του site σας, θεωρείστε το επόμενο plugin απαραίτητο.

Υπάρχει μία πληθώρα από plugin που αλλάζουν την default σελίδα του WordPress, αλλά το WPS Hide Login ξεχωρίζει.
Με περισσότερες από 300.000 εγκαταστάσεις, καλές κριτικές και συνεχή updates, αυτό το plugin θα αλλάξει την default σελίδα του wordpress χωρίς να αλλάξει την τοποθεσία των αρχείων του wordpress.
Ταυτόχρονα, καθιστά την σελίδα wp-login απρόσιτη.

Επίσης, δεν πρέπει ποτέ να συμπεριλάβετε την αρχική σελίδα σύνδεσης στο αρχείο robots.txt, καθώς μπορεί  να χρησιμοποιηθεί κάθε πληροφορία από αυτό το αρχείο για μία ενδεχόμενη επίθεση στον ιστότοπο ή στο διακομιστή σας.

Πως σας προστατεύουμε εμείς στις hosting υπηρεσίες μας ;

Είστε ήδη προστατευμένοι χάρη στους κανόνες WAF του bitninja firewall το οποίο προστατεύει όλους τους πελάτες webhosting (ειδικά στους κανόνες WordPress & Joomla) αλλά και τους hosting resellers και managed servers πελατών μας.
Το SenseLog module, το οποίο έχει δημιουργηθεί για τη δική σας ασφάλεια είναι πλήρως integrated με τα log files του apache / nginx / mysql και σε πραγματικό χρόνο αποτρέπει κακόβουλες ενέργειες.

Δες και το προηγούμενο άρθρο:

Περιορισμός πρόσβασης στο wp-admin μόνο από την ip σου