Képzeld el, hogy valaki percenként ezrével próbálgatja a lakásod zárját különböző kulcsokkal – csak azért, hogy egyszer bejusson. Pontosan ez történik a weboldaladdal is, ha nincs megfelelő brute force védelem rajta.
A brute force támadás egyike a legegyszerűbb, mégis leghatékonyabb hackelési módszereknek. Nem kell hozzá különleges tudás, csak egy script és idő – a kettőből pedig sajnos bőven van a támadóknak. Ha WordPress-t használsz (és nagy valószínűséggel igen, ha itt olvasol), akkor ez a téma is közvetlenül érint téged.
Lássuk, miről is van szó pontosan, és mit tehetsz ellene!
Mi az a brute force támadás?
A brute force (nyers erő) támadás lényege brutálisan egyszerű: a támadó automatizált eszközökkel próbálgatja a lehetséges jelszó-kombinációkat, amíg meg nem találja a helyeset. Gondolj rá úgy, mint egy digitális lakat-feltörőre, amelyik nem okos, csak kitartó.
A modern botok másodpercenként több száz kombinációt is ki tudnak próbálni. Egy egyszerű, 6 karakteres jelszót percek alatt feltörhetnek. Egy bonyolultabb, 10 karaktereset már napokig tartana – de a legtöbb támadó nem véletlenszerű kombinációkkal kezd, hanem szótárból dolgozik. Ez az úgynevezett dictionary attack, ami a leggyakoribb jelszavakkal és szólistákkal operál.
WordPress esetén a támadások döntő többsége a /wp-login.php és a /xmlrpc.php fájlokat veszi célba – ezek az alapértelmezett belépési pontok.
Miért komoly fenyegetés ez valójában?
Az alapgondolata általában ez szokott lenni mindnekinek: „Miért pont az én weboldalamra ki lenne kíváncsi? Ugyan miért törnék fel?” Ez az egyik legveszélyesebb tévhit az online biztonság területén. A támadók nem célzottan keresnek téged – automatizált botok pásztázzák az internetet, és minden sebezhető oldalt megtalálnak, mérettől és témától függetlenül.
Ha egy brute force támadás sikerrel jár, a következmények súlyosak lehetnek:
- Adatlopás – ügyféladatok, e-mail listák, rendelési adatok kerülhetnek illetéktelen kezekbe
- Malware telepítése – a hacker hátsó ajtót nyithat, amit később újra felhasználhat
- Spam küldés – a szerveredet levelezési célokra használhatják, amitől feketelistára kerülhetsz
- LinkSPAM – rendkívűl sok kimenő linkeket helyeznek el a weboldalat bejegyzéseiben általában 6-8 db azonos témakörű (szerencsejáték, felnőtt témájú oldalak, stb.) oldalra fókuszálva.
- SEO-rombolás – rosszindulatú átirányítások tönkretehetik az évek alatt felépített keresőpozíciódat
- Teljes leállás – a weboldal elérhetetlenné válhat a legrosszabb esetben
És akkor még nem is szóltam arról, hogy a folyamatos bejelentkezési kísérletektől a szervered lelassul, ami a felhasználói élményt és az oldal sebességét is rontja – ez pedig közvetlenül hat az SEO-ra.
Igen, már találkoztam ilyen weboldallal, amit brute force módszerrel törtek fel. Ez volt egyébként az ok is, amiért hozzám fordult az ügyfél. A feltörést követően rengeteg kimenő hivatkozást és temérdek új spam bejegyzésekkel árasztották el az oldalát. A lognapló alapján derültek ki az előzmények is, melynek egyik meghatározó eleme az igazán gyenge jelszó és tiltott „admin” felhasználónév használata volt.
Miért nem elég az erős jelszó?
Ide figyelj, mert ezt sokan félreértik. Az erős jelszó szükséges, de nem elégséges feltétel. Miért? Mert egy bot korlátlan ideig próbálkozhat, ha semmi nem állítja meg. Ha nincs limitálva a bejelentkezési kísérletek száma, akkor idő kérdése csupán, hogy feltörjék a fiókodat – legyen a jelszó bármilyen bonyolult.
Ráadásul az emberek – és ez alól én sem vagyok kivétel – hajlamosak ugyanazt a jelszót több helyen is használni. Ha egy másik platformon kiszivárog az adatod (és ez sajnos rendszeresen megtörténik), a támadók azonnal kipróbálják azt a te weboldaladnál is. Ezt hívják credential stuffing-nek.
Hogyan védekezz a brute force támadások ellen?
Ne bonyolítsuk túl! Lépésről lépésre megnézem, mit tehetsz WordPress esetén.
1. Korlátozd a bejelentkezési kísérleteket
Ez az első és legfontosabb lépés. Telepíts egy olyan bővítményt, ami blokkolja az IP-címet, ha valaki meghatározott számú alkalommal hibásan próbál belépni. Ilyen például a Limit Login Attempts Reloaded vagy a WP Cerber Security. Ezek ingyenesek és nagyon hatékonyak.
2. Változtasd meg az alapértelmezett belépési URL-t
A WordPress alapból a /wp-admin és /wp-login.php címeken érhető el. A botok pontosan ezeket keresik. Ha átnevezed (pl. /belepes vagy valami egyedi névre), máris kizárod a legtöbb automatizált támadást. A WPS Hide Login bővítmény ezt pár kattintással megoldja.
3. Kapcsolj be kétfaktoros hitelesítést (2FA)
A kétfaktoros hitelesítés azt jelenti, hogy a jelszó mellett egy második azonosítóra is szükség van – például egy telefonra küldött kódra. Még ha a jelszavadat meg is szerzik, a második faktor nélkül nem tudnak belépni. A Two Factor Authentication vagy a Google Authenticator bővítmény tökéletesen megfelel erre a célra.
4. Tiltsd le az XML-RPC-t, ha nem használod
Az xmlrpc.php fájl egy régi API, amelyet a legtöbb modern WordPress oldal nem használ – viszont a támadók előszeretettel célozzák meg. Ha nem szükséges (pl. nem kezeled az oldaladat mobilappból), egyszerűen tiltsd le. Egy soros kóddal megoldható, vagy ismét egy bővítménnyel, mint a Disable XML-RPC.
5. Használj tűzfalat (WAF)
Egy webalkalmazás-tűzfal (WAF) a rossz kéréseket még azelőtt kiszűri, hogy azok elérnék az oldaladat. A Wordfence vagy a Cloudflare ingyenes szintje is tartalmaz ilyen védelmet. Ez az egyik legjobb befektetés, amit a weboldalad biztonságáért tehetsz.
A brute force támadások lehetnek nagyon intenzívek is. Egyik ügyfelem honlapját negyedévente, kb 6 hétig folyamatosan elárasztották a feltörési kísérletek. Egy ilyen időszakban 6-10 ezer feltörési próbálkozás is érkezett botnet-ről. Végső megoldást a Cloudflare nyújtotta, mert jelezte az akkori tárhelyszolgáltató, hogy a felállított tűzfal erősen fogja a szerver kapacitást.
6. Tartsd naprakészen a WordPress-t, a témákat és a bővítményeket
Ez nem közvetlenül brute force elleni védekezés, de szorosan kapcsolódik hozzá. Az elavult szoftverek ismert sérülékenységeket tartalmaznak, amelyeket a támadók kihasználnak – sokszor épp azért, hogy könnyebb legyen a brute force támadás is. A frissítés az egyik legolcsóbb (ingyenes!) biztonsági intézkedés.
Melyik megoldást válaszd?
Ha most kezdesz el foglalkozni a biztonsággal, ne akarj egyszerre mindent bevezetni. Javaslom ezt a sorrendet:
- Bejelentkezési kísérletek korlátozása (azonnal, ingyenesen megoldható)
- Belépési URL megváltoztatása
- Kétfaktoros hitelesítés bekapcsolása
- XML-RPC letiltása
- Tűzfal aktiválása
Ha ezeket sorban végigcsinálod, a weboldalad védelme drasztikusan javul – és az egész folyamat nem tart tovább 1-2 óránál.
Összegzés: ne várd meg, amíg baj lesz
A brute force elleni védelem alapkövetelmény – különösen, ha WordPress-t üzemeltetsz! A jó hír az, hogy a védekezés nem bonyolult és nem is drága. Néhány okos bővítmény és beállítás elegendő ahhoz, hogy a botok 99%-a továbblépjen a te oldaladról, és könnyebb prédát keressen.
Az interneten sajnos nincs 100%-os biztonság – ezt őszintén be kell vallani. De te nem a tökéletes védelmet keresed, hanem azt, hogy ne te legyél a legkönnyebb célpont. Legyen az oldalad az a lakat, amit nem éri meg feltörni.
Ha bizonytalan vagy abban, hogy a te weboldalad mennyire védett, szívesen segítek egy gyors biztonsági átvizsgálásban. Mert az a legjobb, ha a problémát még azelőtt találjuk meg, hogy a támadók megteszik helyettünk.