大規模針對 WordPress 脆弱密碼的攻擊

在互聯網上近日出現有組織性地使用「暴力密碼破解攻擊」的方法，嘗試強行登入 WordPress 的網頁使用者帳號，方法是利用常用的使用者名稱及密碼的資料庫來進行「暴力密碼破解攻擊」。以下是相關的報導：

1. WordPress blogs and more under global attack - check your passwords now! [nakedsecurity]
2. Brute Force Attacks Build WordPress Botnet [KrebsonSecurity]

誰人要留意

1. 利用 WordPress 建立網頁的用戶
2. 提供 WordPress 網頁寄存服務的公司 

建議

偵測及修復

如發現 WordPress 中出現不知明的管理員的帳號，可能你的系統已被入侵，你可以執行以下的步驟：

1. 登入管理員平台，刪除所有不明的管理員。
2. 更改所有管理員的密碼 (請使用強健的密碼)。
3. 更改在 WordPress 內的密匙。［詳細方法］
4. 或重新安裝 WordPress 或恢復到已知及安全的備份。

預防步驟

這事故反映很多 WordPress 系統管理員沒有對系統進行妥善的保安管理，以下的一些可增強安全性的措施。

1. 個人用戶
   如本身的密碼已使用包含大小寫數字、特別字符 (^%$#&@*) 及多於十個字符，可以不需要更改，但如果所使用的密碼較為普通，我們建議你需要更改。

2. 網頁寄存服務公司
   建議客戶使用包含大小寫數字、特別字符 (^%$#&@*) 及多於十個字符的密碼，或利用規則來限制客戶必需更改強健的密碼。也可以設定密碼錯誤的上限，使攻擊難於執行。

3. 無論個人用戶或網頁寄存服務公司，在安裝 WordPress 的時候，可考慮修改出廠設定，包括管理員帳戶、管理網址和登入網址，防止被攻擊程式掃描。

4. WordPress 本身也是網絡應用程式，會受到相關的攻擊，同戶可以在伺服器前端加安應用程式防火牆，過濾所有不正常的使用。

5. WordPress 及附加插件已經提供了不同方面的保安設定，可供系統管理員使用，以下是一些例子：
   • 使用雙重認證的插件
     WordPress 2-step verification
     此插件可在 WordPress 上加入多一層認證層，它能夠支援 Google 2-step verification。
   • 設定密碼錯誤的上限插件
     Limit Login Attempts
     此插件可限制存取登入網頁當發現過多的錯誤登入。
   • 隱藏登入網頁
     Stealth Login Page
     此插件可更改並隱藏預設的登入網頁。
   • 加入伺服器端對 /wp-admin/ 的密加保護
     http://codex.wordpress.org/Hardening_WordPress#Securing_wp-admin
     官方的方法，在網頁伺候器上加入對特定網頁的認證請求。
   • 記錄登入資訊
     Simple Login Log
     此插件可幫助你記錄登錄的動作。
   • 檔案修改監控
     WordPress File Monitor Plus
     此插件可監控檔案修改動作及向管理員發出警告電郵。
   • 限制檔案存取權
     http://codex.wordpress.org/Hardening_WordPress#File_Permissions
     官方的方法，建議不同系統資料夾的存取權。
   • 關閉檔案修改
     http://codex.wordpress.org/Hardening_WordPress#Disable_File_Editing
     官方設定方法，可停止所有的檔案修改功能。
   • 防火牆和防惡意程式
     Wordfence Security
     此插件包含防火牆，防惡意程式及包含地理位置的即時連線數據。