Τρεις εταιρείες (HostGator, CloudFlare, ResellerClub) που φιλοξενούν στους διακομιστές τους εκατομμύρια ιστολόγια που γράφονται με το εξαιρετικά δημοφιλές σύστημα διαχείρισης περιεχομένου Wordpress, γνωστοποιούν πως, άγνωστοι, εισβολείς επιχειρούν να αποκτήσουν πρόσβαση με δικαιώματα διαχειριστή σε ευάλωτους λογαριασμούς, με username το καθολικό admin, δοκιμάζοντας προφανή password σε μηδενικό χρόνο.
Οι επιτιθέμενοι φαίνεται ότι έχουν τα μέσα για να εξαπολύσουν την επίθεση, αφού αναφέρεται πως 90.000 διαφορετικές διευθύνσεις IP υπολογιστών έχουν αναλάβει να δοκιμάζουν κωδικούς πρόσβασης με βάση μια λίστα, έως ότου τελικά πετύχουν την πρόσβαση (επίθεση "brute force").
Η επίθεση στο σύστημα διαχείρισης περιεχομένου Wordpress θα μπορούσε να λάβει τεράστιες διαστάσεις, αφού οι τρέχουσες εκτιμήσεις αναφέρουν πως ένας στους έξι δικτυακούς τόπους σήμερα στον Παγκόσμιο Ιστό βασίζεται στην πλατφόρμα του Wordpress.
Τέλος, ο Mullenweg συνιστά σε όσους χρησιμοποιούν το WP.com, την ενεργοποίηση της επαλήθευσης των στοιχείων εισόδου σε δύο βήματα. Το λεγόμενο Two Step Authentication περιγράφεται ως εξής: κάθε φορά που ο διαχειριστής επιχειρεί να κάνει log in στον λογαριασμό του στο WordPress.com, του ζητείται ένας μυστικός αριθμός. Για να τον λάβει, πρέπει να έχει στο smartphone του το Google Authenticator App, μια μικροεφαρμογή που δημιουργεί έναν νέο αριθμό κάθε 30 δευτερόλεπτα, καθιστώντας την αναπαραγωγή του αδύνατη. Εναλλακτικά, ο χρήστης μπορεί να ζητήσει να του σταλεί ο μοναδικός αυτός κωδικός με SMS.
Σε διάφορους δικτυακούς τόπους προτείνεται ο περιορισμός των προσπαθειών που μπορούν να γίνουν από το ίδιο μηχάνημα για την είσοδο στο σύστημα, με την χρήση αντίστοιχων plugins. Ωστόσο, ο Matt ξεκαθαρίζει ότι αυτή ή ανάλογη μέθοδος δεν θα ήταν αρκετή, αφού με 90.000 IP στην διάθεση των επιτιθέμενων, θα μπορούσαν να επιχειρούν την πρόσβαση από διαφορετική IP κάθε δευτερόλεπτο, επί 24 ώρες, οπότε το plugin θα ήταν άχρηστο καθώς θα θεωρούσε ότι η προσπάθεια γίνεται από διαφορετικό μηχάνημα.
Οι επιτιθέμενοι φαίνεται ότι έχουν τα μέσα για να εξαπολύσουν την επίθεση, αφού αναφέρεται πως 90.000 διαφορετικές διευθύνσεις IP υπολογιστών έχουν αναλάβει να δοκιμάζουν κωδικούς πρόσβασης με βάση μια λίστα, έως ότου τελικά πετύχουν την πρόσβαση (επίθεση "brute force").
Η επίθεση στο σύστημα διαχείρισης περιεχομένου Wordpress θα μπορούσε να λάβει τεράστιες διαστάσεις, αφού οι τρέχουσες εκτιμήσεις αναφέρουν πως ένας στους έξι δικτυακούς τόπους σήμερα στον Παγκόσμιο Ιστό βασίζεται στην πλατφόρμα του Wordpress.
- Ασφαλές θεωρείται ένα password όταν αποτελείται από 8 τουλάχιστον χαρακτήρες ή περισσότερους, μίγμα πεζών και κεφαλαίων, ανάμεσα στους οποίους υπάρχουν ειδικοί χαρακτήρες όπως !@#$%^&*(). Μπορείτε επίσης, να προσθέσετε κενά διαστήματα. Προτείνεται ακόμα να χρησιμοποιούνται αριθμοί στο μέσο κάθε λέξης-φράσης, όχι στην αρχή ή στο τέλος.
- Τι εστί botnet; Είναι το PC μου Zόμπι;Ο υπολογιστής σας μπορεί να είναι ήδη μαριονέτα στα χέρια επίδοξων ληστών χωρίς να το έχετε αντιληφθεί. Πώς όμως μπορεί να συμβεί κάτι τέτοιο; Οι Γερμανοί ειδικοί της G Data εξηγούν τι εστί botnet.
Πώς θα είστε ασφαλής, εξηγεί ο δημιουργός του Wordpress
Όπως επισημαίνει ο δημιουργός της πλατφόρμας Wordpress, Matt Mullenweg,το σύστημα διαχείρισης περιεχομένου έχει πάψει να αποδίδει εκ προοιμίου το username admin στους νέους λογαριασμούς (Wordpress 3.0). Συνιστά στους χρήστες να αλλάξουν το username admin και το password.Τέλος, ο Mullenweg συνιστά σε όσους χρησιμοποιούν το WP.com, την ενεργοποίηση της επαλήθευσης των στοιχείων εισόδου σε δύο βήματα. Το λεγόμενο Two Step Authentication περιγράφεται ως εξής: κάθε φορά που ο διαχειριστής επιχειρεί να κάνει log in στον λογαριασμό του στο WordPress.com, του ζητείται ένας μυστικός αριθμός. Για να τον λάβει, πρέπει να έχει στο smartphone του το Google Authenticator App, μια μικροεφαρμογή που δημιουργεί έναν νέο αριθμό κάθε 30 δευτερόλεπτα, καθιστώντας την αναπαραγωγή του αδύνατη. Εναλλακτικά, ο χρήστης μπορεί να ζητήσει να του σταλεί ο μοναδικός αυτός κωδικός με SMS.
Σε διάφορους δικτυακούς τόπους προτείνεται ο περιορισμός των προσπαθειών που μπορούν να γίνουν από το ίδιο μηχάνημα για την είσοδο στο σύστημα, με την χρήση αντίστοιχων plugins. Ωστόσο, ο Matt ξεκαθαρίζει ότι αυτή ή ανάλογη μέθοδος δεν θα ήταν αρκετή, αφού με 90.000 IP στην διάθεση των επιτιθέμενων, θα μπορούσαν να επιχειρούν την πρόσβαση από διαφορετική IP κάθε δευτερόλεπτο, επί 24 ώρες, οπότε το plugin θα ήταν άχρηστο καθώς θα θεωρούσε ότι η προσπάθεια γίνεται από διαφορετικό μηχάνημα.
Ανθή Παναγιωτάκη
@techingr
@techingr
Δεν υπάρχουν σχόλια:
Δημοσίευση σχολίου
Ας είμαστε ευγενείς στο σχολιασμό.