Σε εξέλιξη «κτηνώδης» επίθεση σε λογαριασμούς admin στο WordPress
Δημοσιεύθηκε από SecNews την Τετάρτη Απρ 17, 2013Οι επιτιθέμενοι φαίνεται ότι έχουν τα μέσα για να εξαπολύσουν την επίθεση, αφού αναφέρεται πως 90.000 διαφορετικές διευθύνσεις IP υπολογιστών έχουν αναλάβει να δοκιμάζουν κωδικούς πρόσβασης με βάση μια λίστα,<…>
έως ότου τελικά πετύχουν την πρόσβαση (επίθεση “brute force”).
Η επίθεση στο σύστημα διαχείρισης περιεχομένου WordPress θα μπορούσε να λάβει τεράστιες διαστάσεις, αφού οι τρέχουσες εκτιμήσεις αναφέρουν πως ένας στους έξι δικτυακούς τόπους σήμερα στον Παγκόσμιο Ιστό βασίζεται στην πλατφόρμα του WordPress.
- Ασφαλές θεωρείται ένα password όταν αποτελείται από 8 τουλάχιστον χαρακτήρες ή περισσότερους, μίγμα πεζών και κεφαλαίων, ανάμεσα στους οποίους υπάρχουν ειδικοί χαρακτήρες όπως !@#$%^&*(). Μπορείτε επίσης, να προσθέσετε κενά διαστήματα. Προτείνεται ακόμα να χρησιμοποιούνται αριθμοί στο μέσο κάθε λέξης-φράσης, όχι στην αρχή ή στο τέλος.
- Τι εστί botnet; Είναι το PC μου Zόμπι;Ο υπολογιστής σας μπορεί να είναι ήδη μαριονέτα στα χέρια επίδοξων ληστών χωρίς να το έχετε αντιληφθεί. Πώς όμως μπορεί να συμβεί κάτι τέτοιο; Οι Γερμανοί ειδικοί της G Data εξηγούν τι εστί botnet.
Πώς θα είστε ασφαλής, εξηγεί ο δημιουργός του WordPress
Όπως επισημαίνει ο δημιουργός της πλατφόρμας WordPress, Matt Mullenweg, το σύστημα διαχείρισης περιεχομένου έχει πάψει να αποδίδει εκ προοιμίου το username admin στους νέους λογαριασμούς (WordPress 3.0). Συνιστά στους χρήστες να αλλάξουν το username admin και το password.Τέλος, ο Mullenweg συνιστά σε όσους χρησιμοποιούν το WP.com, την ενεργοποίηση της επαλήθευσης των στοιχείων εισόδου σε δύο βήματα. Το λεγόμενο Two Step Authentication περιγράφεται ως εξής: κάθε φορά που ο διαχειριστής επιχειρεί να κάνει log in στον λογαριασμό του στο WordPress.com, του ζητείται ένας μυστικός αριθμός. Για να τον λάβει, πρέπει να έχει στο smartphone του το Google Authenticator App, μια μικροεφαρμογή που δημιουργεί έναν νέο αριθμό κάθε 30 δευτερόλεπτα, καθιστώντας την αναπαραγωγή του αδύνατη. Εναλλακτικά, ο χρήστης μπορεί να ζητήσει να του σταλεί ο μοναδικός αυτός κωδικός με SMS.
Σε διάφορους δικτυακούς τόπους προτείνεται ο περιορισμός των προσπαθειών που μπορούν να γίνουν από το ίδιο μηχάνημα για την είσοδο στο σύστημα, με την χρήση αντίστοιχων plugins. Ωστόσο, ο Matt ξεκαθαρίζει ότι αυτή ή ανάλογη μέθοδος δεν θα ήταν αρκετή, αφού με 90.000 IP στην διάθεση των επιτιθέμενων, θα μπορούσαν να επιχειρούν την πρόσβαση από διαφορετική IP κάθε δευτερόλεπτο, επί 24 ώρες, οπότε το plugin θα ήταν άχρηστο καθώς θα θεωρούσε ότι η προσπάθεια γίνεται από διαφορετικό μηχάνημα.
Πηγή: tech.in.gr
ειδαμε στο>>>http://www.secnews.gr/archives/61250?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+secnewsgr+%28SecNews+-+IT+Security+News%29
Δεν υπάρχουν σχόλια:
Δημοσίευση σχολίου