με δικαιώματα διαχειριστή σε ευάλωτους λογαριασμούς, με username το καθολικό admin, δοκιμάζοντας προφανή password σε μηδενικό χρόνο.
Οι επιτιθέμενοι φαίνεται ότι έχουν τα μέσα για να εξαπολύσουν την επίθεση, αφού αναφέρεται πως 90.000 διαφορετικές διευθύνσεις IP υπολογιστών έχουν αναλάβει να δοκιμάζουν κωδικούς πρόσβασης με βάση μια λίστα, έως ότου τελικά πετύχουν την πρόσβαση (επίθεση "brute force").
Η επίθεση στο σύστημα διαχείρισης περιεχομένου Wordpress θα μπορούσε να λάβει τεράστιες διαστάσεις, αφού οι τρέχουσες εκτιμήσεις αναφέρουν πως ένας στους έξι δικτυακούς τόπους σήμερα στον Παγκόσμιο Ιστό βασίζεται στην πλατφόρμα του Wordpress.
* Ασφαλές θεωρείται ένα password όταν αποτελείται από 8 τουλάχιστον χαρακτήρες ή περισσότερους, μίγμα πεζών και κεφαλαίων, ανάμεσα στους οποίους υπάρχουν ειδικοί χαρακτήρες όπως !@#$%^&*(). Μπορείτε επίσης, να προσθέσετε κενά διαστήματα. Προτείνεται ακόμα να χρησιμοποιούνται αριθμοί στο μέσο κάθε λέξης-φράσης, όχι στην αρχή ή στο τέλος.
Οι χρήστες καλούνται επίσης να αλλάξουν το login name admin στον λογαριασμό τους, αυτό με υπερεξουσίες, δηλαδή δικαιώματα διαχειριστή. Για να γίνει αυτό, ο χρήστης θα πρέπει πρώτα να δημιουργήσει έναν νέο χρήστη, να του παραχωρήσει πλήρη δικαιώματα διαχειριστή με διαφορετική διεύθυνση e-mail από αυτή του χρήστη με username admin. Έπειτα, θα πρέπει να διαγράψει τον admin και προηγουμένως να παραχωρήσει τις αρμοδιότητές του για όλα τα post στον νέο administrator (Attribute all posts and links to), ο οποίος δεν θα έχει πλέον ούτε προφανές username, ούτε προφανές password.
Πώς θα είστε ασφαλής
Όπως επισημαίνει ο δημιουργός της πλατφόρμας Wordpress, Matt Mullenweg, το σύστημα διαχείρισης περιεχομένου έχει πάψει να αποδίδει εκ προοιμίου το username admin στους νέους λογαριασμούς (Wordpress 3.0). Συνιστά στους χρήστες να αλλάξουν το username admin και το password.
Τέλος, ο Mullenweg συνιστά σε όσους χρησιμοποιούν το WP.com, την ενεργοποίηση της επαλήθευσης των στοιχείων εισόδου σε δύο βήματα. Το λεγόμενο Two Step Authentication περιγράφεται ως εξής: κάθε φορά που ο διαχειριστής επιχειρεί να κάνει log in στον λογαριασμό του στο WordPress.com, του ζητείται ένας μυστικός αριθμός. Για να τον λάβει, πρέπει να έχει στο smartphone του το Google Authenticator App, μια μικροεφαρμογή που δημιουργεί έναν νέο αριθμό κάθε 30 δευτερόλεπτα, καθιστώντας την αναπαραγωγή του αδύνατη. Εναλλακτικά, ο χρήστης μπορεί να ζητήσει να του σταλεί ο μοναδικός αυτός κωδικός με SMS.
Σε διάφορους δικτυακούς τόπους προτείνεται ο περιορισμός των προσπαθειών που μπορούν να γίνουν από το ίδιο μηχάνημα για την είσοδο στο σύστημα, με την χρήση αντίστοιχων plugins. Ωστόσο, ο Matt ξεκαθαρίζει ότι αυτή ή ανάλογη μέθοδος δεν θα ήταν αρκετή, αφού με 90.000 IP στην διάθεση των επιτιθέμενων, θα μπορούσαν να επιχειρούν την πρόσβαση από διαφορετική IP κάθε δευτερόλεπτο, επί 24 ώρες, οπότε το plugin θα ήταν άχρηστο καθώς θα θεωρούσε ότι η προσπάθεια γίνεται από διαφορετικό μηχάνημα.
πηγη