در هفته گذشته از دوتا IP در چین تلاش هایی بود برای حدس زدن پسورد وبلاگم. این IP ها بلاک شدن. اینجا هم میذارم که شما هم پیش دستی کنید و بلاکشون کنید.

بعد از این حملات به فکر افتادم یه جستجویی بکنم که آیا حمله مشابهی این روزها صورت گرفته یا نه. چون خیلی بعید به نظر می رسه که یک هکر از چین به صورت مشخص بخواد وبلاگ من رو هک کنه پس به این نتیجه رسیدم که احتمالا حمله ای کور و فقط بر اساس CMS ای است که استفاده می کنم.

اوایل امثال بود که سرویس دهنده ixwebhosting اعلام کرد سایت های وردپرسی که روی سرورهای این سرویس دهنده اند تحت حملات Brute Force (حدس زدن پسورد) قرار گرفته اند.
طبق اطلاعات اعلام شده این سرویس دهنده و بررسی هایی که آن زمان انجام شد مشخص گشت که هکرها با استفاده از سرورهایی که پیشتر هک کرده بودند و به کاربردن یک ربات، این حملات گسترده را علیه میلیون ها سایت تدارک دیده اند. در این حمله بیش از ۹۰ هزار سرور هک شده شرکت داشتند. به دلیل تعدد IP ها دفاع کمی سخت شد.
یکی از روش هایی که من در وبلاگم به کاربردم برای جلوگیری از بروت فورس، استفاده از پلاگین هایی نظیر better-wp-security برای محدود کردن تعداد دفعاتیست که هر IP می تونه پسورد اشتباه برای لاگین امتحان کنه. وقتی هکر ۱۰۰ هزار IP داشته باشه عملا این دفاع رو از کار میندازه. و نکته منفی هم اینجاست که وقتی سایت ها رو هک می کنه، ابزارش گسترده تر می شه و می تونه سرعت حملات رو بالاتر ببره.
در این حمله که گفتم، تعداد دفعات بروت فورس در شروع حملات ۳۰ تا ۴۰ هزار بار در روز بوده که پس از مدتی این تعداد به طور ناگهانی به ۱۰۰ هزارتا می رسه.

هم اکنون نیز یک حمله گسترده علیه وب سایت های وردپرسی در جریانه. مطابق اطلاعات جمع آوری شده از IP هایی که در این حملات شرکت کرده اند، هکر ها از تعداد بسیار زیادی سایت های وردپرسی هک شده استفاده می کنند.
آنالیز این اطلاعات نشون می ده که هکر می تونه طی ۲۶ ثانیه از ۵۶۹ سایت هک شده به هدف حمله کنه، سایت هایی نظیر:

حمله کننده از تعداد زیادی سرورهای پرقدرت استفاده می کنه برای به دست گرفتن سرورهای دیگه و گسترش ابزار هک.

این هک به صورت وسیعی در جریانه و محدود به کشور خاص و یا سرویس دهنده خاصی نیست. با توجه وسیع بودن دامنه حمله و محوده جغرافیایی HP های شرکت کننده در آن، جلوگیری از هک کمی سخته.

من برای راحتی کار شما، لیستی از این IP ها آماده کردم که بتونید تا پایان یافتن حمله جاری اونها رو بلاک کنید.

طبق آماری که به تازگی ارائه شده از مجموع ۴۲۱۰۶ وب سایت وردپرسی که در جمع یک میلیون وبسایت برتر آلکسا قراردارند، ۳۰۸۲۳ وب سایت معادل ۷۳.۲% از نسخه های قدیمی وردپرس استفاده می کنند که ضعف های امنیتی شناخته شده دارند و به راحتی توسط ابزار های رایگان قابل شناسایی اند.

لیستی از نسخه های پرکاربرد

حدود ۲ در صد از این سایت ها همچنان از نسخه های پایه ۲ استفاده می کنند.

اگر وبسایتی با استفاده از وردپرس دارید این موارد را رعایت کنید:

وردپرس را به آخرین نسخه به روز کنید
تمامی پلاگین ها و تم ها را به روز کنید
از نام کاربری غیر از admin استفاده کنید
پسورد خود را تغییر داده و از پسوردی با حداقل ۸ کاراکتر شامل حروف کوچک و بزرگ، اعداد و کاراکترهای خاص مثل^%$#&@* استفاده کنید
آدرس صفحه لاگین را تغییر دهید

منبع ، منبع و منبع

چرا کوزه شکسته؟ چون در این حدود یک هفته که وبلاگ راه افتاده ۲ روز به خاطر حمله دیداس به سرور در دسترس نبود و یک روز هم به خاطر هک شدن سرور.

استفاده از سرور های ارزان و البته مشترک که به درستی هم کانفیگ نشده باشه غیر از این هم نتیجه ای نداره. روزی که این سرور رو برای استفاده انتخاب کردم به این قسمتش هم فکر کرده بودم. ولی فکر نمی کردم به این زودی دچارش بشم 🙂

اینکه چرا به این انتخاب رسیدم هم بماند

اما چکار میشه کرد برای کمتر آسیب دیدن؟ اول اینکه دسترسی های فولدرای مهم رو تغیر دادم (در پست دیگه ای در مورد پرمیشن های فولدر ها در لینوکس توضیح میدم). دوم اینکه با استفاده از یک پلاگین به صورت روزانه از وبلاگ بکاپ می گیرم و البته این بکاپ باید کامل باشد، شامل فایل ها و پلاگین ها و دیتابیس و نیز جایی غیر از سرور خود وبلاگ نگاه داری بشه که من دراپباکس رو انتخاب کردم.

دراپباکس یه سرویس رایگان با حجمی مناسب است که پشتیبانی خوبی داره و البته پلاگین های وردپرسی مناسبی هم برای کانکت به اون وجود داره. من از BackWPup استفاده میکنم.

حالا من بکاپ تا ۱ ماه گذاشته وبلاگم رو با همه فایل ها و حتی پوسته اون دارم که اگه مشکلی برای سرور پیش بیاد و ادمین هم پشتیبانی خوبی نداشته باشه، من چیزی رو از دست ندم و بتونم کوله ام رو بردارم برم یه سرور دیگه.

هفته گذشته “ارتش الکترونیک سوریه” وابسته به حکومت اسد، دو شکار بزرگ داشت: وبسایت‌های Truecaller.com و tango.me سایت نرم‌افزار تانگو.

این گروه در اکانت توییتر خود اعلام کرد سایت تروکالر رو هک کرده و به دیتابیس هاش دسترسی داره. طبق ادعای این گروه، پسوردها به صورت متن ساده ذخیره شده بودند.

در مورد تانگو هم ادعا شده که اطلاعات تماس و ایمیل و شماره تلفن میلیون ها کاربر را به دست آورده و همچنین عکسی از فایل های لاگ این نرم‌افزار رو ارائه کرده.

و اما نکته تاسف برانگیز اینه که این دو سایت که سرمایه خوبی هم داشتند و می تونستند پشتیبانی بهتری از سایتشون داشته باشند از سیستم مدیریت wordpress استفاده می کردند که به‌روز نشده بود و هکرها با استفاده از ضعف ‌های امنیتی وردپرس (که برخی از اونها رو با یک جستجو می تونید پیدا کنید و نیازی به تلاش آنچنانی نداره) تونستند که به اطلاعات حیاتی کاربران دسترسی داشته باشند.

عکس‌های زیر که وسیله این گروه ارائه شده نشون می‌ده که غیر از هسته وردپرس، حداقل ۱۰ پلاگین هم آپدیت نشده‌اند. پلاگین آپدیت نشده در وردپرس یعنی در باز و خونه خالی برای دزدها.

متاسفانه سهل انگاری این سایت ها باعث به خطر افتادن اطلاعات کاربران می‌شه که در کشورهایی مثل سوریه این نشت اطلاعات می‌تونه عواقب بدتری رو برای افراد به دنبال داشته باشه.

چند نکته در استفاده امن از وردپرس وجود داره که اولیش آپدیت به موقع است. استفاده از پلاگین های شناخته شده تر و با پشتیبانی بهتر. ترجیحا استفاده هرچه کمتر از پلاگین ها. پاک کردن پلاگین ها و پوسته هایی که استفاده نمی کنید. نصب نکردن پوسته های متفرقه و البته استفاده از پلاگین هایی که امنیت وردپرس رو بالا می برند مثلا پلاگین TAC که پوسته های نصب شده رو چک می کنه و در صورت وجود کدهای مشکوک، به شما اطلاع می ده.

خوشحال می شم اگر ایده هایی برای بالاتر بردن امنیت سایت هایی که از وردپرس استفاده می کنن در کامنت ها بگید تا در متن وارد بشه ویا لینک به مطالب خودتون بدید که دیگران استفاده کنند.