Theme free và vấn đề Brute force attack

Hôm nay ngồi rảnh check server thấy có gì đó sai sai, thấy server khá bận bịu cho một website chẳng có ai truy cập. Mò đọc log thì thấy đoạn này.

Như bạn thấy, có khá nhiều request vào đường dẫn domain/wp-login.php trong một thời gian ngắn, đến từ cùng 1 ip. Rõ ràng có ai đó đang cố gắng dò password website bằng cách thử đăng nhập rất nhiều lần liên tiếp vào website.

Theo wiki, kiểu tấn công brute force là kiểu tấn công được dùng cho tất cả các loại mã hóa. Brute force hoạt động bằng cách thử tất cả các chuỗi mật khẩu có thể để tìm ra mật khẩu. Vì thế nên thời gian cần rất lâu, tùy theo độ dài của mật khẩu nhưng khả năng để tìm ra là luôn luôn nếu không giới hạn thời gian. Brute force chỉ được dùng khi các phương pháp khác đều không có hiệu quả.

Mình có 2 web cài theme free, cả 2 web này đều bị tấn công Brute force, ngày trước có nhiều lần mình không hiểu lý do tại sao web mình bị cài shell mặc dù VPS mình kiểm soát hoàn toàn, không chung đụng với ai. Hóa ra, những web trước đó đã bị dò mật khẩu theo cách này. Cơ chế khá đơn giản, khi cài theme free, trong theme thường có một vài thứ mình không muốn: đó thường là những đoạn script ngấm ngầm gửi thông tin về server của hacker. "Chúng nó" sẽ dùng thông tin này để tấn công website của bạn bằng nhiều cách khác nhau.

Biết nguyên nhân rồi, giờ phòng tránh thế nào.

Không sử dụng username là 'admin'.

Phần lớn các scripts chạy brute force giả định rằng tên user chính của website (administrator) là 'admin'. Scripts này chỉ cần giữ nguyên username và thử với các mật khẩu thông dụng khác nhau. Chẳng may mật khẩu của bạn dễ, thế là xong đời website. Nếu bạn vẫn đang để user chính là admin thì có thể tạo 1 user khác, gán quyền đầy đủ và chuyển toàn bộ bài viết của admin cho user mới này, sau đó chuyển user admin thành subcriber (hoặc là xóa luôn cho lành).

Sử dụng mật khẩu mạnh

Ngày trước có một khách hàng gọi điện cho mình phàn nàn là website của anh bị hack, bọn em code web bảo mật kém. Hỏi anh để mật khẩu thế nào, ông ấy hồn nhiên trả lời là thì vẫn mật khẩu 123456 em đưa cho anh từ năm ngoái, anh vội nên chưa kịp đổi. Kiểu brute force attack sẽ thử mọi mật khẩu, bắt đầu từ những mật khẩu phổ thông trước. Nếu bạn đang để mật khẩu đơn giản, hãy thay đổi ngay hôm nay. Nếu không biết cách tạo một mật khẩu mạnh thì vào đây.

Sử dụng plugins

Bản thân mình không phải là người ưa dùng plugin lắm, quá nhiều plugin làm chậm tốc độ website. Tuy nhiên, plugin giúp bảo vệ site là cần thiết. Một trong số những plugin chuyên để trị Brute force attack là SiteGuard. Một vài chức năng của plugin này:

• Lọc các kết nối đến wp-admin.
• Thay đổi đường dẫn admin page, không còn wp-admin nữa.
• Capcha.
• Giới hạn login sai, khả nghi thì block luôn ip.
• Fail once: chức năng này đôi lúc gây bực nhưng cũng hay lắm, tức là lần đầu login dù nhập đúng hết thông tin nó cũng báo sai, lần thứ 2 login thì vào được. Ngày trước login vào http://www.gettyimages.com/ không biết có chức năng này, login vào cứ thấy nó báo sai, tưởng là mình change mật khẩu xong rồi mình quên. Về sau biết kiểu của nó rồi thì cứ login lần 2 là được.
• ...

Hạn chế sử dụng theme free

Mình cũng không hô hào các bạn phải bỏ tiền ra trả phí cho theme xịn. Nhưng cố gắng hạn chế tối đa theme free. Ở trên mạng chả tin được thằng nào, nó cứ nói là theme sạch nhưng bên trong có đầy scripts độc hại.