Взлом: Кампания агрессивной атаки WordPress на грубую силу началась сегодня, в 3 часа утра по UTC

  1. Возможное объяснение этого нового массового увеличения атак грубой силой
  2. Защищать себя
  3. Распространить слово

Массовая распределенная атака методом грубой силы, нацеленная на сайты WordPress, началась сегодня утром в 3 часа по всемирному времени, в 7 часов по тихоокеанскому времени. Атака широка в том, что она использует большое количество атакующих IP-адресов, а также глубоко в том, что каждый IP генерирует огромное количество атак. Это самая агрессивная кампания, которую мы когда-либо видели, достигнув более 14 миллионов атак в час.

Кампания атаки была настолько серьезной, что нам пришлось масштабировать нашу инфраструктуру ведения журналов, чтобы справиться с объемом, когда он начался, что дает понять, что это самая большая атака, которую мы видели в истории Wordfence, с 2012 года.

Кампания продолжает увеличиваться в объеме в течение последнего часа, когда мы публикуем этот пост. Ниже представлен график количества атак, который показывает количество атак в час и количество атакующих IP-адресов, которые мы видим каждый час.

Ниже представлен график количества атак, который показывает количество атак в час и количество атакующих IP-адресов, которые мы видим каждый час

Наша инфраструктура автоматически занесла в черный список участвующие IP-адреса в режиме реального времени и распределила их нашим клиентам Premium. Все это произошло без присмотра рано утром. Мы продолжаем следить за кампанией и анализируем ее происхождение и кто стоит за ней.

Что мы знаем в это время:

  • Атака достигла своего пика в 14,1 миллиона атак в час.
  • Общее количество вовлеченных IP-адресов на данный момент составляет более 10000.
  • Мы видим до 190 000 сайтов WordPress с таргетингом в час.
  • Это самая агрессивная кампания, которую мы когда-либо видели по объему ежечасной атаки.

Возможное объяснение этого нового массового увеличения атак грубой силой

5 декабря появилась огромная база взломанных учетных данных , Он содержит более 1,4 миллиарда пар имени пользователя и пароля. Приблизительно 14% базы данных содержат учетные данные, которые не были видны ранее. База данных также доступна для поиска и проста в использовании.

Исторически атаки методом перебора на WordPress не были очень успешными. Эта новая база данных предоставляет новые учетные данные, которые при сопоставлении с именем пользователя WordPress могут обеспечить более высокий уровень успеха для злоумышленников, нацеленных на сайты, которые не имеют никакой защиты.

Защищать себя

Если вы этого еще не сделали, немедленно установите Wordfence на свой сайт. Даже бесплатная версия Wordfence обеспечивает превосходную защиту методом перебора, ограничивая попытки входа в систему и скрывая имена пользователей, одновременно используя множество других механизмов для защиты от злоумышленников.

Премиум-версия Wordfence использует черный список IP-адресов в реальном времени, чтобы полностью блокировать злоумышленников. Наш черный список в реальном времени был автоматически обновлен, так как эта атака началась рано утром, чтобы немедленно заблокировать IP-адреса, участвующие в атаке. Как видно из таблицы выше, мы уже отслеживаем более 10 000 уникальных IP-адресов и активно их блокируем.

Мы настоятельно рекомендуем вам обновить до Wordfence Premium воспользоваться функцией черного списка в реальном времени, которая блокирует любой трафик с этих вредоносных IP-адресов.

Распространить слово

Это самая большая атака грубой силы, которую мы когда-либо видели. Он также может использовать новые учетные данные, предоставленные в базе данных, выпущенной 5 декабря, поэтому он может достичь более высокого, чем обычно, успеха. Пожалуйста, распространите информацию среди сообщества WordPress, чтобы привлечь внимание к этой новой угрозе. Вы можете предложить следующие действия своим коллегам-владельцам сайтов WordPress:

  1. Установите брандмауэр, такой как Wordfence, который интеллектуально блокирует атаки методом перебора.
  2. Убедитесь, что у вас есть надежные пароли для всех учетных записей пользователей, особенно для администратора. Wordfence Premium предоставляет аудит паролей возможность.
  3. Измените имя пользователя администратора по умолчанию «admin» на что-то сложнее угадать.
  4. Удалите все неиспользуемые учетные записи, особенно учетные записи администраторов, которые вы не используете. Это уменьшает вашу поверхность атаки.
  5. Включите двухфакторную аутентификацию на всех учетных записях администратора. Wordfence Premium предоставляет два фактора ,
  6. Включите черный список IP-адресов, чтобы заблокировать IP-адреса, участвующие в этой атаке. Wordfence Premium предоставляет в реальном времени черный список IP ,
  7. Отслеживайте попытки входа, настраивая оповещения, когда администратор входит на ваш сайт. Wordfence (бесплатная версия) обеспечивает это ,
  8. Не делайте повторно использовать пароль на нескольких сервисах. Таким образом, если у вас есть пароль от взлома данных в этой новой базе данных, он не будет таким же, как ваш пароль администратора WordPress. Вы можете использовать менеджер паролей, как 1password управлять многими паролями через сервисы.