Ma belefutottam egy érdekes cikkbe, miszerint manapság egy egész nagy számú botnet azzal foglalkozik, hogy WordPress oldalakat törjön fel. A főleg otthoni gépekből álló hálózat a gyári admin felhasználó jelszavát próbálja kitalálni.

A cikk itt érhető el:  Hackers Point Large Botnet At WordPress…

Mit lehet tenni?

  • Érdemes más felhasználónevet használni. Ehhez létre kell hozni az új felhasználót ( adminisztrátor joggal ), majd azzal bejelentkezve törölni az admin felhasználót.
    • Használjunk hosszú jelszót. Számok, betűk, speciális karakterek, ahogy azt kell.
    • Hibás belépések számának korlátozása a Limit Login Attempts bővítmény telepítésével. Érdekes, hogy ez miért nincs benne alapból…
    • Google Authenticator segítségével egy plusz jelszó megadásával léphetünk be. Ez viszont nem véd xmlrpc-s csatlakozás esetén, de eléggé megnehezíti a behatolást, még ha ki is derülne a jelszó.

Sikeresen megléptem ezeket a dolgokat, egyetlen kis kényelmetlenség, hogy az Authenticator bekapcsolásával az Androidos kliens nem hajlandó csatlakozni. Ezt úgy lehet javítani, hogy bekapcsoljuk az Authenticator beállításai között az “Enable App password”-ot, generálunk egy jelszót és ezt adjuk meg az alkalmazásnak. Nagy hátránya, hogy csak 16 karakter hosszú jelszót generál, ami csak nagybetűket és számokat tartalmaz. Ilyenkor mindenképpen érdemes az előbb említett Limit Login Attempts bővítményt is használni.