• +48 535 291 234
  • Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript.
  • Pon - Piąt 9:00 - 17:00

Blog

Atak Brute Force - Joomla - Wordpress

Jak zabezpieczyć się przed atakiem BRUTE FORCE

Jednym z najprostszych sposobów by zabezpieczyć naszą stronę internetową którą zbudowaliśmy na silniku Joomla lub Wordpress przed Atakiem BRUTE FORCE jest utworzenie dodatkowego zabezpieczenia dla katalogu /administrator lub /wp-admin przez dodanie hasła www.
 
Wyjaśnijmy najpierw po krótko czym jest ten Atak Brute Force i na czym tak naprawdę polega. W praktyce a dokładniej w dziedzinie bezpieczeństwa internetowego jest to próba złamania zabezpieczeń danego systemu/aplikacji polegająca najczęściej na próbie odgadnięcia hasła i loginu do zaplecza naszej strony przez zgadywanie możliwych kombinacji znaków. Atak dokonywany jest przez samego hakera ale najczęściej przez napisany przez niego program.
 
Ta prymitywna metoda łamania zabezpieczeń w dzisiejszych czasach gdy administratorami stron bardzo często są zwykli użytkownicy którzy nie posiadają dużego doświadczenia w administrowaniu stronami internetowymi i co najważniejsze a zarazem najgorsze w tego rodzaju atakach używają krótkich i prostych haseł jest niestety skuteczna. Tą metodą można praktycznie złamać każde hasło a krótkie hasło daje hakerowi zielone światło i bardzo dużą szansę powodzenia ataku.
 
Jest również inne bardzo ważne zagrożenie dla naszej strony internetowej a może raczej serwera na którym stoi wynikające z ataku Brute Force a mianowicie obciążenie jakie takie zapytania/próby zgadywania generują. W przypadku skryptu który będzie dokonywał takiego ataku na naszą stronę takich zapytań może być kilka set na minutę jak nie więcej co w 100% wyssie nam limity na serwerze a co za tym idzie strona się wysypie lub nasz operator bądź działające w jego infrastrukturze narzędzia monitorujące/limitujące obciążenie zablokują do niej dostęp. Dlatego warto zabezpieczyć się przed tego rodzajem atakami, w końcu nie kosztuje to nas dużo i lepiej dmuchać na zimne.
 
Prostym i skutecznym zabezpieczeniem jest ograniczenie prób logowania w określonym czasie niestety takie zabezpieczenie wymaga wiedzy programistycznej lub zainstalowania dodatkowej wtyczki która taką funkcję/zabezpieczenie aktywuje w sekcji logowania. Tutaj przychodzi nam z pomocą bardzo znana prosta i skuteczna metoda: nałożenie dodatkowego hasła do panelu logowania. Aby aktywować takie dodatkowe hasło należy skorzystać/utworzyć dwa pliki:
 
  • .htpasswd
  • .htaccess
 
Kropki w nazwach są bardzo istotne ! W pliku .htaccess należy umieścić poniższy kod:
 

AuthType Basic
AuthName "Logowanie do zaplecza."
AuthUserFile /public_html/nazwa_katalogu/.htpasswd
require valid-user
 
AuthName to tekst w oknie logowania a AuthUserFile lokalizacja pliku z naszym hasłem. Do utworzenia poprawnego pliku .htpasswd zachęcam skorzystać z dostępnych w sieci generatorów online. Gdy już będziemy mieli oba pliki wystarczy wgrać je na nasz serwer FTP do katalogu /administrator (Joomla) lub /wp-admin (Wordpress).
 
Oferowany na mojej stronie hosting posiada w narzędziu zarządzania nim wbudowaną funkcję dodawania tego rodzaju zabezpieczeń, więc sprawa jest banalnie prosta.
 

© 2017 webm@z All Rights Reserved.