Sikkerhedsfejl i WordPress

WordPress er i sikkerhedsbranchen kendt som en blanding af et mareridt og en syg joke, primært fordi at WordPress er enten direkte eller indirekte skyld i at rigtig mange websites bliver hacket.

Meget af det skyldtes godtnok temaer, plugins og dovne admins, men det her er altså et eksempel på en hjerneblødning fra udviklernes side.

WordPress’ login rutine lækker information, navnligt kan du bruge den til at gætte brugernavne med, idet fejlbeskeden varierer alt afhængig af om du har tastet brugernavn eller password forkert, som du kan se herover.

Det betyder at du kan starte med at prøve en lang liste af brugernavne, hvor af “admin”, “administrator” osv. typisk vil være det første, men at køre en liste over alle danske navne igennem vil f.eks. ikke tage længere end en dags tid. En af konsekvenserne heraf er at WordPress rigtig ofte er udsat for såkaldte bruteforce angreb, dvs. angreb hvor en angriber simpelthen prøver samtlige ord i ordbogen som passwords.

Hvordan løser vi det så?

Jo jeg har fundet et plugin, WordPress Login LockDown ( https://wordpress.org/plugins/login-lockdown/ ), og ved et hurtigt gennemsyn opfylder det mine minimumskrav til plugins:

* Det virker 😉
* Det er aktivt udviklet, i skrivende stund er sidste opdatering 3mdr gammel, og den er testet med den aktuelle WordPress version.
* Der tigges ikke om penge eller donationer på upassende måder, der indsættes et link på login siden, men dette kan dog slåes fra.
* Kildekoden er letlæseligt og der er ikke umiddelbart gjort forsøg på at skjule noget. (Ja jeg har læst kildekoden.)

Opsætningen er nem, jeg anbefaler disse 3 tjekbokse udover default indstillingerne:

Grunden til at jeg skjuler credit-link er at jeg ikke ønsker at fortælle en potentiel angriber hvilke plugins jeg kører, da det er en viden der af en potentiel angriber kan misbruges.

Derudover får du beskyttelsen mod bruteforce-angreb, hvis du er god til at glemme dine kode kan du roligt sætte tallet lidt op, jeg vil foreslå max 10 forsøg.

Herefter ser et ugyldig login, uanset om det er brugernavn eller password der er forkert, således ud:

Nok snak … se så at få det installeret! 🙂

Dette indlæg blev udgivet i Knowledge Base, Old Base, Wordpress. Bogmærk permalinket.

Skriv et svar