O que é um ataque de força bruta?
Fundamentalmente, um ataque de força bruta é exatamente o que parece: um meio de entrar no back-end de um site com tentativas sucessivas implacáveis. Com um ataque de força bruta nos sites do WordPress, um hacker tentará entrar na área de administração do seu site por meio de tentativas e erros, usando milhares de possíveis combinações de nome de usuário / senha. Isso geralmente é realizado com um software automatizado projetado especificamente para gerar e, em seguida, tentar inúmeras combinações um após o outro, uma e outra vez, com o objetivo de encontrar uma combinação de agulha-em-um-palheiro que os deixará entrar na sua área de administração do WordPress. A partir daí, eles podem causar estragos no a vontade em seu site.
Como os hackers usam ataques de força bruta contra sites?
Os ataques de força bruta são difíceis, se não impossíveis, de realizar manualmente. Em vez disso, os hackers escrevem scripts simples, chamados de bots, que realizam milhares dessas tentativas de invasão contra sites no piloto automático. Normalmente, esses bots são personalizados pelos atacantes e projetados para serem facilmente distribuídos em muitas máquinas pirateadas. Esses grupos de bots, ou botnets, trabalham em conjunto com outras ferramentas comumente acessíveis que geram milhares de senhas ou usam uma lista de palavras. O último é muitas vezes referido como um ataque de dicionário, devido à sua dependência de “dicionários” ou longas listas de palavras para tentar como uma lista de senhas e / ou nomes de usuários em seu site. Essas listas podem ser reutilizadas por vários hackers repetidas vezes.
Escrever este tipo de código é uma programação de nível de entrada muito simples, por isso é bastante acessível para praticamente qualquer um que possa querer tentar a escrita de códigos maliciosos. As tarefas que o bot deve realizar são muito básicas desde uma perspectiva de programação: eles devem configurar alguns parâmetros (por exemplo, acessar o formulário de login do seu site), realizar uma solicitação (tente uma combinação de nome de usuário / senha) e verifique a resposta (se funcionou Para iniciar sessão no administrador do WordPress) – e depois configurar para repetir até que seja bem sucedido.
Os ataques de força bruta no seu site podem continuar indefinidamente, até que o bot descubra uma combinação de nome de usuário / senha que permita ao atacante entrar no back end do seu site, ou o bot ficar sem senhas para verificar.
Por que os hackers fazem isso?
Uma vez que os invasores tenham obtido acesso ao seu site, eles podem usar seus arquivos e o servidor host para causar uma grande variedade de danos através de comportamentos maliciosos, incluindo:
- defeacement: o seu site pode exibir conteúdo indesejável e às vezes malicioso, seu próprio conteúdo pode ser excluído e seu site pode ser retirado completamente;
- Distribuição de malware: as páginas do seu site podem infectar seus visitantes com malware, ransomware e vírus;
- Spam: seu site pode exibir conteúdo de spam e / ou links para sites de spam;
- Redirecionamento: acessar seu nome de domínio pode fazer com que seus visitantes sejam redirecionados para sites mal-intencionados ou para páginas que contenham links de afiliados e ganhem dinheiro com os hackers;
- Roubar recursos do sistema: usando os recursos do seu servidor web, os invasores estão realizando tarefas como campanhas de e-mail e entrega de conteúdo no seu servidor;
- Diversão: pode ser difícil para algumas pessoas imaginarem, mas alguns atacantes, particularmente os mais jovens, estão simplesmente entediados e acham o ato de piratear os sites dos estrangeiros divertidos, particularmente no caso de ataques de força bruta, que são relativamente simples de aprender E realizar.
Como eu protejo meu site?
A primeira e a melhor linha de defesa contra ataques de força bruta é ter uma combinação de nome de usuário e senha muito forte. Não use “admin” ou um nome de usuário fácil de adivinhar, como o URL do seu site ou “webmaster”.
Exclua todas as contas do nível do administrador que você não precisa. Isso remove contas que podem ser comprometidas.
Porque muitos ataques de força bruta funcionam com uma lista predefinida de palavras de dicionário como uma lista de senhas, o objetivo crucial e principal é ter uma senha que não seja fácil de adivinhar. Use um gerador de senha para criar senhas longas, fortes e aleatórias para suas contas de administrador do WordPress e, em seguida, altere essas senhas regularmente – por exemplo, a cada 60-90 dias.
Habilitar a autenticação de dois fatores em todas as suas contas de administrador é uma excelente maneira de evitar ataques de força bruta porque, mesmo que um atacante adivinhe sua senha, eles não possuem seu dispositivo móvel, então eles não podem fazer login. Vale a pena notar que, se você tiver o XMLRPC habilitado, os invasores podem ignorar sua autenticação de 2 fatores porque a plataforma WordPress não oferece uma maneira de suportar 2 fatores via XMLRPC no momento.
Uma boa forma de ver se seu site está seguro é fazendo um scaneamento através do Gravity Scan www.gravityscan.com. O site lhe fornecerá os resultados do scaneamento em seu servidor e CMS (Joomla, Wordpress, etc)
Caso precise de ajuda entre em contato conosco pelo chat da página.