Kdyby se někdy hlasovalo o nejzbytečnějších lidech planety, hlasoval bych pro ty, co se snaží nabourat do cizích systémů. Poslední dobou se rozmohly útoky na WordPress. Očividně jsem se také dostal na nějaký jejich seznam. Na VPS u Wedosu mám hezkou řádku WordPress blogů a posledních pár dnů se dostaly „pod palbu“.
Nejde tak ani o bezpečnostní problém – útok probíhá stylem „bruteforce“ a 16písmenné unikátní heslo tímto způsobem jen tak nezískáte.
Problém je, že tyto pokusy fungují ve velkém jako regulérní DDOS útok. Za poslední týden mi dvakrát složily server.
Na každý WordPress jsem proto nainstaloval tento plugin, vygeneroval nová hesla (doporučuji tento nástroj) a změnil defaultní přihlašovací jméno admin. (Z logů to vypadá, že útočící roboti zkoušejí hlavně „admin“ nebo název domény bez přípony).
Útoky probíhají v náhodných vlnách, takže na hodnocení účinku je ještě brzo. Snad by ale tato opatření měla stačit.