Ads 468x60px

maanantai 15. huhtikuuta 2013

Laaja hyökkäys WordPress-alustaa vastaan

Viime päivinä on internetissä ollut laajamittainen hyökkäys WordPress-alustoja vastaan. Arvioiden mukaan yli 90 000 IP-osoitteesta yritetään väkisin arvata WordPress-alustojen oletuspääkäyttäjän (admin) salasanaa [1]. Hyökkäyksen motiivi ei ole varma, mutta mahdollisesti murrettuja alustoja on tarkoitus käyttää osana suurempaa hyökkäysverkkoa (Botnet).

Mikäli käytössäsi on WordPress-alusta, niin varmista ainakin seuraavat (pohjautuen Forbesin artikkeliin [2]):

  1. Varmista, että admin-käyttäjän salasana ei ole helposti arvattava. Suositus on, että pääkäyttäjän salasana olisi vähintään 12 merkkiä ja että siinä olisi pieniä ja isoja kirjaimia, erikoismerkkejä ja numeroita. Oheisen linkin takaa löytyy WordPressin omat ohjeet vahvalle salasanalle: http://en.support.wordpress.com/selecting-a-strong-password/. Jos vahvojen salasanojen generointi tuntuu hankalalta, niin apuna voi käyttää esimerkiksi http://strongpasswordgenerator.com/ palvelua.
  2. Jos mahdollista, niin luo uusi käyttäjä, jolle annat pääkäyttäjän oikeudet ja poista admin-käyttäjä.
  3. Jos käytät WordPress:iä WP.com kautta, niin ota kaksi-osainen tunnistauminen käyttöön [3].
  4. Varmista, että käytössäsi on ajan tasalla oleva versio WordPressistä.

Edellä mainittujen lisäksi Forbesin artikkelissa suositeltiin erilaisten turvallisuutta parantavien lisäosien käyttöönottoa (kuten Better WP Security [4], Limit Login Attempts [5] tms) tai kokonaan erillisen operaattoritason suojautumisen hankkimista. Kaikki mainitut tavat ovat varmasti tehokkaita oikein viritettynä. Kuitenkin, koska hyökkääjät näyttävät menevä siitä mistä aita on matalin, niin kolmea ensimmäistä ohjetta seuraamalla pystyy jo merkittävästi pienentämään todennäköisyyttä joutua onnistuneen hyökkäyksen uhriksi.

Terveisin Antti

Ei kommentteja:

Lähetä kommentti