Forleden fik jeg mail fra min webhost. De advarede om, at hackerne er meget aktive for tiden, og det stemmer fint med mine egne observationer.
Efter en periode med stilstand, hamrer hackerne igen på døren til min WordPress blog. Jeg bruger et plugin, Limit Login Attempts, til at give dem karantæne i 9999 timer, men forleden var der en robot, som slap forbi på en eller anden måde, og den prøvede at logge ind mere end 25.000 gange med 2 til 3 forsøg i sekundet.
Der skal væsentligt mere end 25.000 forsøg til at bryde mit password med rå vold, men det er irriterende, fordi det belaster serveren og giver lange svartider.
Fælles for hackerne er, at de bruger WordPress’ default brugernavn ”admin,” når de prøver at bryde ind ad fordøren. Så hvis du har en WordPress blog og bruger ”admin” som brugernavn, kan det stærkt anbefales at skifte det ud. Hvordan det gøres, kan du se her.
Den eneste måde at holde styr på, hvad der foregår, er at holde øje med sine logfiler. Som beskrevet på denne side, ”Program til analyse af websidens access log,” bruger jeg et hjemmestrikket Excel-program til at analysere logfilen og automatisk udtrække de relevante informationer.
Jeg har i dag uploadet en revideret version, hvor jeg har rettet en ubetydelig bug og tilføjet en facilitet, som laver en sorteret liste med antal requests fra de forskellige IP-adresser.
Så kan man straks se, om man er udsat for et brute force-angreb eller fx en robot, som støvsuger hjemmesiden for indhold og belaster serveren. Programmet kan downloades her. Se føromtalte side for beskrivelse.
Sikkerhed skal tages alvorligt. Det lærte jeg på den hårde måde.
Præcisering:
Som beskrevet i indlægget er Limit Login Attempts ikke skudsikkert, ja faktisk er det meget nemt at “smutte forbi”. Derfor bruger jeg nu et andet plugin, Login Security Solution, som er en af flere muligheder.
Jeg bruger efter råd fra dig også Limit ‘Login Attempts’ som nu også begynder at afsløre aktivitet hos mig, dog slet ikke i det omfang som du oplever. Tak for idéen med at sætte karantæneperioden til 9999 timer. Jeg havde den kun på 24 timer. Jeg læste lige din gamle post igen, og den er godt nok til at få sved på panden af. Jeg har ikke din indsigt og vil ikke selv kunne klare mig igennem et hackerangreb, så jeg prøver at klare mig med et miks af råd fra dig og andre, og jeg håber, det er godt nok:
Ikke brugernavn Admin
Et password på XX karakterer, der består af forbogstaverne i en huskesætning, som kun jeg kender.
Altid opdaterede versioner af WordPress, plugins og temaer.
Databasens tabellers præfiks er ikke WordPress eller Wp
Jævnlige backups af databasen.
Jævnlige hentninger til egen pc af alle de filer, jeg har liggende til min blog.
Mere kan jeg ikke finde ud af, og jeg håber, det er godt nok.
Den med databasens præfiks har jeg ikke hørt før, og jeg har ingen anelse om, hvordan jeg ændrer det, og om WP så efterfølgende kan finde noget.
Ellers lyder det såre fornuftigt. Dog bør du ikke offentligt afsløre antallet af karakterer, da det matematisk indsnævrer mulighederne helt enormt, og derfor har jeg overskrevet tallet med “XX”. Det er ikke sandsynligt, at nogen læser med her, men alligevel …
Jeg ved ikke, hvorfor jeg er så “populær,” men lige nu er 93 IP-adresser forhindret i at prøve login i 9999 timer, hvilket er mere end et år. Desværre afholder det dem ikke fra at prøve andre steder.
Du er da også under constant attack, er du ikke? Det er muligt, at jeg også er det – jeg opdager det bare ikke … men jeg har dog aldrig kaldt mig selv for Admin nogen steder – hvilket åbenbart har været fornuftigt nok.
Jo, der er angreb hver dag fra robotter, programmer som systematisk eller målrettet afsøger nettet.
Nogen forsøger at logge ind, nogen (mange) prøver at spamme med kommentarer, og andre igen søger efter plugins eller temaer med sårbarheder. Logfilen viser hver dag livlig og lyssky aktivitet.
Der er slet ingen tvivl om, at mange angribes uden at vide det. Det er godt, du ikke bare valgte WordPress standardbrugernavn, admin. Det gjorde jeg første gang, jeg installerede, for det skulle bare gå hurtigt, og jeg var ikke lige opmærksom på den del.
Samme fornemmelse her. Efter en lille pause er der kommet gang i dem igen 🙁
Tak for skubbet … admin er nu skiftet ud 😉
Godt Per, så er det dobbelt så svært for bæsterne at komme ind den vej.
Jeg har på din foranledning installeret det plugin, og har stort set ingen spam-mail længere. Nu har jeg lige ændret på mine tider, og antal accepterede login’s. Jeg har skam også prøvet at været hacket flere gange, og det er LANGT fra at være sjovt.
Jeg tager sikkerhedskopier så jeg er helt blå i hovedet, og har alle fotos flere steder. Og så prøver jeg selvfølgelig at garderer mig så godt jeg kan. Svært når man ikke er spor teknisk.
Ja, det kan hurtigt blive teknisk, og man må gardere sig, så godt man nu kan. Det med backup er i hvert fald en rigtig god idé.