Zaščita spletne strani pred Brute Force napadi

Brute Force napadi

Napad z grobo silo (ang. Brute Force Attack) je enostavna, toda kljub temu zelo učinkovita tehnika za ugotavljanje gesel. Poteka tako, da spletni napadalec z uporabo avtomatizirane skripte preizkuša najrazličnejša gesla in na ta način poizkuša vdreti v sistem.

Napad poteka sistematično in zelo hitro, zato se ob nezaščitenem sistemu in izbiri šibkega gesla napadalcu lahko brez večjih težav uspe vpisati v sistem. Pri daljših geslih se pogosto uporabljajo velike zbirke gesel, zato takšne napade označujemo z izrazom slovarski napadi (ang. Dictionary Attacks).

Tarče Brute Force napadov so največkrat spletne strani. Ker je za prijavo v administracijo strani poleg gesla običajno potrebno tudi uporabniško ime, mora napadalec poiskati pravilno kombinacijo obeh komponent. Če mu uporabniško ime ni znano, najprej poizkuša z najpogostejšimi (admin, administrator, user1, demo …). Zelo pomembno torej je, da na svoji spletni strani ne uporabljate privzetega uporabniškega imena.

Ali do Brute Force napadov prihaja pogosto?

Brute Force napadi se dogajajo ves čas. Zelo zgovoren je podatek, da je večina aktivnih spletnih strani deležna več 10 tovrstnih napadov na dan. Veliko pove tudi podatek ekipe Wordfence, ki razvija zelo znan varnostni vtičnik za WordPress: v juliju 2017 je bilo na WordPress spletišča, na katera je nameščen omenjeni vtičnik, izvedenih približno 35 milijonov napadov dnevno.

Wordfence - blokirani Brute Force napadi (julij 2017)

Večina Brute Force napadov je opravljenih prek ruskih, ukrajinskih in ameriških IP naslovov. Najpogostejša gesla, ki jih lastniki spletnih strani uporabljajo za vpis v administracijo, pa naj bi bila naslednja: 123456, 123456789, qwerty, 12345678, 111111, 1234567890, 1234567, password, 123123, 987654321.

Prav vsa našteta gesla veljajo za izjemno šibka, kar spletnim napadalcem omogoča enostaven vdor v spletno stran. Če tudi sami uporabljate tako šibko geslo, ga čim hitreje spremenite. Svetujemo vam, da si ogledate naš prispevek 5 nasvetov za izbiro močnega gesla in nasvete v čim večji meri upoštevate.

Kako pogosto do Brute Force napadov prihaja na vaši spletni strani, lahko preverite tudi sami. Vsak neuspešen poizkus prijave se namreč zabeleži v dnevnik spletnega strežnika (ang. Server Log), ki ga najdete v nadzorni plošči cPanel. Po vpisu v nadzorno ploščo poiščite skupino ikon METRICS in izberite Errors. Tam boste lahko prepoznali znake, ki nakazujejo na Brute Force napade.

Kako hude so posledice uspešnega Brute Force napada?

Razmislite, kaj vse lahko naredite sami, ko se vpišete v svojo spletno stran. Vse to, zaradi naprednega računalniškega znanja pa verjetno še veliko več, bo ob uspešno izvedenem Brute Force napadu zmožen narediti tudi spletni napadalec. Tako bo denimo lahko:

  • na spletno stran dodal neželene vsebine in povezave,
  • ustvaril phishing stran in zlorabil osebne podatke vaših obiskovalcev,
  • prišel do seznama naročnikov na vaša e-poštna obvestila,
  • prišel do informacij vaših kupcev (če imate spletno trgovino),
  • na spletno stran namestil virus,
  • izbrisal posamezne vsebine ali celotno spletno stran.

Pravzaprav smo našteli le nekaj najbolj očitnih možnosti, seveda pa jih je v praksi še veliko več. Dejstvo je, da so posledice uspešnega Brute Force napada lahko zelo velike.

Kako spletno stran zavarovati pred Brute Force napadi?

Najpogostejše žrtve Brute Force napadov so posamezniki, ki uporabljajo privzeta uporabniška imena in šibka gesla. Zelo malo truda je potrebnega, da se pred napadi učinkovito zaščitite. V nadaljevanju vam predstavljamo štiri korake, s pomočjo katerih bo vaša spletna stran ustrezno zaščitena.

1. Namestite varnostni vtičnik

V povezavi s sistemom WordPress je na voljo veliko varnostnih vtičnikov, ki skrbijo za zaščito pred Brute Force napadi. Med najbolj znana sodita Wordfence Security in Sucuri Security, s katerima boste preprečili možnost ponovnega poizkusa vpisa posameznemu IP-ju, če bo prišlo do določenega števila napačnih prijav. Oba vtičnika omogočata še celo vrsto drugih varnostnih funkcij.

Wordfence - zaščita pred Brute Force napadi

Je vaša spletna stran postavljena v sistemu Joomla? Z razširitvijo Brute Force Stop boste varni pred napadi, saj bo razširitev nepooblaščenim osebam in zlonamernim skriptam preprečila možnost več zaporednih poizkusov vpisa in blokirala njihov IP naslov.

2. Prijavni obrazec opremite z reCAPTCHA

reCAPTCHA je varnostni mehanizem, ki avtomatiziranim skriptam onemogoča izpolnjevanje spletnih obrazcev. Več o tem, kako spletno stran zavarovati z reCAPTCHA, si preberite v objavi: Kako preprečiti zlorabo prijavnega obrazca? V prispevku boste našli navodila za uporabo tako v WordPress kot tudi v Joomla sistemu.

3. Spremenite privzeto uporabniško ime

Spletni napadalci bodo s svojimi zlonamernimi skriptami v vašo spletno stran najprej poizkušali vdreti tako, da bodo pri ugibanju uporabniškega imena in gesla uporabili privzeto uporabniško ime. Marsikateri lastnik spletnega mesta namreč ob namestitvi sistema (WordPress, Joomla ipd.) ne zamenja uporabniškega imena, kar je velika napaka.

Tako pri sistemu WordPress kot Joomla je privzeto uporabniško ime “admin“. Ste pravkar ugotovili, da se z omenjenim podatkom v svojo spletno stran prijavljate tudi sami? Ne čakajte predolgo. Kar hitro se vpišite v administracijo in uporabniško ime spremenite.

4. Uporabite močno geslo

Če ste prebrali naš prispevek o izbiri močnega gesla, že veste, kako izbrati geslo, ki ga z Brute Force napadi ne bo mogoče ugotoviti. Naj na kratko ponovimo, na kaj morate še posebej paziti:

  1. Geslo naj bo dovolj dolgo. Priporočamo vam, da je sestavljeno iz najmanj 10 znakov.
  2. Geslo naj vsebuje različne znake. Uporabite male in velike črke, številke in posebne znake.
  3. Gesla naj ne bodo splošne ali osebne narave. Izogibajte se imen svojih kosmatincev, datumov rojstev svojih bližnjih, najljubših barv, blagovnih znamk in podobnega.
  4. Uporabite generator gesel. Na spletu boste našli veliko generatorjev gesel, na primer Bitwarden Password Generator, s katerim boste hitro ustvarili močno geslo.

Vas skrbi, kako si boste zapomnili tako komplicirano geslo? Svetujemo vam uporabo namenskega programa za shranjevanje gesel, kot je denimo KeePass. Vanj boste lahko varno shranili vsa svoja gesla, do njih pa dostopali z uporabo le enega, glavnega gesla. Seveda ne bo odveč, da si izdelate tudi kopijo baze svojih gesel in jo shranite na varno (npr. na zunanji disk).

Morda vas zanima tudi ...

Avtor: Prasicek.si

Smo ponudnik spletnega gostovanja in registrar domen, ki se za najvišjo kakovost storitev trudi že od leta 2010. Nudimo vam poceni registracijo več kot 1000 različnih domen ter varno, zanesljivo in hitro SSD gostovanje.

Dodaj odgovor

Vaš e-naslov ne bo objavljen. * označuje zahtevana polja