Jednym z najprostszych sposobów by zabezpieczyć naszą stronę internetową którą zbudowaliśmy na silniku Joomla lub Wordpress przed Atakiem BRUTE FORCE jest utworzenie dodatkowego zabezpieczenia dla katalogu /administrator lub /wp-admin przez dodanie hasła www.
Wyjaśnijmy najpierw po krótko czym jest ten Atak Brute Force i na czym tak naprawdę polega. W praktyce a dokładniej w dziedzinie bezpieczeństwa internetowego jest to próba złamania zabezpieczeń danego systemu/aplikacji polegająca najczęściej na próbie odgadnięcia hasła i loginu do zaplecza naszej strony przez zgadywanie możliwych kombinacji znaków. Atak dokonywany jest przez samego hakera ale najczęściej przez napisany przez niego program.
Ta prymitywna metoda łamania zabezpieczeń w dzisiejszych czasach gdy administratorami stron bardzo często są zwykli użytkownicy którzy nie posiadają dużego doświadczenia w administrowaniu stronami internetowymi i co najważniejsze a zarazem najgorsze w tego rodzaju atakach używają krótkich i prostych haseł jest niestety skuteczna. Tą metodą można praktycznie złamać każde hasło a krótkie hasło daje hakerowi zielone światło i bardzo dużą szansę powodzenia ataku.
Jest również inne bardzo ważne zagrożenie dla naszej strony internetowej a może raczej serwera na którym stoi wynikające z ataku Brute Force a mianowicie obciążenie jakie takie zapytania/próby zgadywania generują. W przypadku skryptu który będzie dokonywał takiego ataku na naszą stronę takich zapytań może być kilka set na minutę jak nie więcej co w 100% wyssie nam limity na serwerze a co za tym idzie strona się wysypie lub nasz operator bądź działające w jego infrastrukturze narzędzia monitorujące/limitujące obciążenie zablokują do niej dostęp. Dlatego warto zabezpieczyć się przed tego rodzajem atakami, w końcu nie kosztuje to nas dużo i lepiej dmuchać na zimne.
Prostym i skutecznym zabezpieczeniem jest ograniczenie prób logowania w określonym czasie niestety takie zabezpieczenie wymaga wiedzy programistycznej lub zainstalowania dodatkowej wtyczki która taką funkcję/zabezpieczenie aktywuje w sekcji logowania. Tutaj przychodzi nam z pomocą bardzo znana prosta i skuteczna metoda: nałożenie dodatkowego hasła do panelu logowania. Aby aktywować takie dodatkowe hasło należy skorzystać/utworzyć dwa pliki:
Kropki w nazwach są bardzo istotne ! W pliku .htaccess należy umieścić poniższy kod:
AuthName to tekst w oknie logowania a AuthUserFile lokalizacja pliku z naszym hasłem. Do utworzenia poprawnego pliku .htpasswd zachęcam skorzystać z dostępnych w sieci generatorów online. Gdy już będziemy mieli oba pliki wystarczy wgrać je na nasz serwer FTP do katalogu /administrator (Joomla) lub /wp-admin (Wordpress).
Wiele hostingów posiada w narzędziu zarządzania nim wbudowaną funkcję dodawania tego rodzaju zabezpieczeń, więc sprawa jest banalnie prosta.
Wyjaśnijmy najpierw po krótko czym jest ten Atak Brute Force i na czym tak naprawdę polega. W praktyce a dokładniej w dziedzinie bezpieczeństwa internetowego jest to próba złamania zabezpieczeń danego systemu/aplikacji polegająca najczęściej na próbie odgadnięcia hasła i loginu do zaplecza naszej strony przez zgadywanie możliwych kombinacji znaków. Atak dokonywany jest przez samego hakera ale najczęściej przez napisany przez niego program.
Ta prymitywna metoda łamania zabezpieczeń w dzisiejszych czasach gdy administratorami stron bardzo często są zwykli użytkownicy którzy nie posiadają dużego doświadczenia w administrowaniu stronami internetowymi i co najważniejsze a zarazem najgorsze w tego rodzaju atakach używają krótkich i prostych haseł jest niestety skuteczna. Tą metodą można praktycznie złamać każde hasło a krótkie hasło daje hakerowi zielone światło i bardzo dużą szansę powodzenia ataku.
Jest również inne bardzo ważne zagrożenie dla naszej strony internetowej a może raczej serwera na którym stoi wynikające z ataku Brute Force a mianowicie obciążenie jakie takie zapytania/próby zgadywania generują. W przypadku skryptu który będzie dokonywał takiego ataku na naszą stronę takich zapytań może być kilka set na minutę jak nie więcej co w 100% wyssie nam limity na serwerze a co za tym idzie strona się wysypie lub nasz operator bądź działające w jego infrastrukturze narzędzia monitorujące/limitujące obciążenie zablokują do niej dostęp. Dlatego warto zabezpieczyć się przed tego rodzajem atakami, w końcu nie kosztuje to nas dużo i lepiej dmuchać na zimne.
Prostym i skutecznym zabezpieczeniem jest ograniczenie prób logowania w określonym czasie niestety takie zabezpieczenie wymaga wiedzy programistycznej lub zainstalowania dodatkowej wtyczki która taką funkcję/zabezpieczenie aktywuje w sekcji logowania. Tutaj przychodzi nam z pomocą bardzo znana prosta i skuteczna metoda: nałożenie dodatkowego hasła do panelu logowania. Aby aktywować takie dodatkowe hasło należy skorzystać/utworzyć dwa pliki:
- .htpasswd
- .htaccess
Kropki w nazwach są bardzo istotne ! W pliku .htaccess należy umieścić poniższy kod:
AuthType Basic AuthName "Logowanie do zaplecza."
AuthUserFile /public_html/nazwa_katalogu/.htpasswd
require valid-user
AuthName to tekst w oknie logowania a AuthUserFile lokalizacja pliku z naszym hasłem. Do utworzenia poprawnego pliku .htpasswd zachęcam skorzystać z dostępnych w sieci generatorów online. Gdy już będziemy mieli oba pliki wystarczy wgrać je na nasz serwer FTP do katalogu /administrator (Joomla) lub /wp-admin (Wordpress).
Wiele hostingów posiada w narzędziu zarządzania nim wbudowaną funkcję dodawania tego rodzaju zabezpieczeń, więc sprawa jest banalnie prosta.