Последние 2 суток идёт глобальная атака на сайты работающие на WordPress и Joomla. Целью атаки является подбор паролей от административных частей сайтов. При атаках наблюдается падение серверов из-за многочисленных запросов. Сегодня я это ощутил на своих сайтах.)
Атака на сайты WordPress и Joomla

Сегодня наблюдалось падение всех моих сайтов. Сайты работали ужасно медлено или совсем не открывались. При обращении в службу поддержки выяснилось, что на сайты идёт нечто очень похожее на DDoS. Шёл перебор паролей к админ-панели водпрессов. Перебор паролей носил характер DDoSа, так как осуществлялся многопоточно и с разных IP адресов.

До обнаружения проблемы, я получал письмо от другого своего хостера, где также говорилось о DDoS атаке на их сервера. Смысл такой же, подбор паролей к админкам сайта. В основном, атака направлена на бесплатные CMS, преимущественно на WordPress и Joomla. Поговорил с знакомыми и выяснилось, что у некоторых также наблюдалось падение сайтов на WordPress’е.

Для вордпресса запросы идут к скрипту wp-login.php. Наиболее простой, но наверно не совсем правильный вариант решения, отключить скрипт авторизации. Это можно сделать добавив в начало «wp-login.php» строку
exit();
Авторизация при этом работать не будет.

Ещё, чтобы обезопасить сайты от взлома, выбирайте логин отличный от стандартных «admin» и «administrator». Выбирайте надёжный пароль: набор из 20-30 букв в разном регистре, цифр и символов.

Дополнительно хостинг компании рекомендуют

Рекомендации от FastVPS

Для безопасности и стабилизации работы сервера, как один из самых простых и эффективных вариантов, нужно установить http авторизацию на админ-панель Вашего сайта, следуя простой инструкции:

1)Создать файл с названием «.htpasswd» в корне сайта и при помощи сайта http://www.htaccesstools.com/htpasswd-generator/ сгенерировать его содержание, указав желаемый логин и пароль.

2)Для Joomla в файл «.htaccess» в папке /administrator/ добавить следующие строки:
AuthName "Access Denied"
AuthType Basic
AuthUserFile полный_путь_до_корня_сайта/.htpasswd
require valid-user

Для WordPress в файл «.htaccess» в корне сайта добавить следующие строки:

AuthName "Access Denied"
AuthType Basic
AuthUserFile полный_путь_до_корня_сайта/.htpasswd
require valid-user

где «полный_путь_до_корня_сайта» — это абсолютный путь от корня файловой системы.

Например, для ISPManager он будет выглядеть так: /var/www/имя_пользователя/data/www/адрес_сайта/.htpasswd

3)Проверить работу данной конструкции, попробовав зайти в админ-панель сайта.

У меня почему-то способ не сработал.

Рекомендации от BH Group Co. Ltd.

Рекомендуем Вам максимально защитить административные части своих CMS, а именно — установить пароль на папку административной части, установить в .htaccess ограничения доступа по IP, сменить имя пользователя admin на любое другое, сменить пароль на максимально сложный и не словарный.

Если наблюдаете проблемы в работе своих сайтов, обращайтесь в тех. поддержку своего хостера.

Комментарии:
  1. А вот и первые последствия

  2. Атаки продолжаются…
    Вот ещё пару методов защиты, не проверял.
    Wordpress — http://forum.searchengines.ru/showpost.php?p=12014848&postcount=181
    Joomla — http://e-kzn.ru/joomla/dostup-i-bezopasnost/zashchita-adminki-joomla.html

  3. Три дня сплошной муки с этим делом. Итог — хостер завис и панель администрирования хостингом не открывается. Упал 1 сайт из 20, 19 из готорых успел защитить. Жду окончания атаки, потому как добраться до панели администрирования хостинга не могу. Висим. Хостер FirstVDS — единственный на котором упал сайт, отвечают на вопросы поддержки исключительно «на утро» и исключительно «у нас все стабилизировалось». Хер там. Службы вылетают одна за одной. По этой причине съезжаю с него срочно.

  4. ihc тоже вчера падал из-за ддоса

  5. Вот ещё на серче тема с обсуждением проблемы, советами http://forum.searchengines.ru/showthread.php?t=805626

  6. Спасибо огромное за информацию!
    Зашел к себе в админку, вернее попытался, — ошибка 503! Оказывается, хостинг отключил ее во время брутфорс атаки (как мне сказали, была эта: http://www.securelist.com/ru/blog/207764612/Platforma_WordPress_podverglas_masshtabnoy_brut_fors_atake, на взломанные сайты внедряется бекдор).
    Способ защиты: http://mchost.ru/help/47/#h375

Оставьте комментарий