Evite ser hackeado con un ataque de fuerza bruta

5

Durante la última semana, el sitio web de nuestra compañía ha estado bajo una fuerza bruta extraña, este ataque llevó a hackear una cuenta de administrador.

Nuestro sitio web es un sitio de wordpress. El atacante sigue realizando solicitudes POST (sin parar las 24 horas del día) en la página de inicio de sesión de wp (página de autenticación de wordpress). Sin embargo, no es rápido, son 4 solicitudes por minuto y cada una de las 4 nuevas solicitudes se realiza mediante una IP diferente y un agente de usuario diferente.

Instalé algunas herramientas de seguridad y configuré reglas para que cada 3 intentos erróneos hagan que el firewall bloquee al usuario y dificulte la adivinación de la contraseña.

¿Es esto suficiente para este tipo de ataque o hay algo más que deba hacer?

    
pregunta Badr 19.04.2018 - 12:24
fuente

2 respuestas

4

Hay algunas cosas, opciones, configuraciones, etc; que podría configurar para mejorar la aplicación y el fortalecimiento del servidor subyacente. Estas son mis recomendaciones sobre lo que creo que es un buen equilibrio entre la implementación fácil y la efectividad.

Limitar conexiones

El mayor impacto instantáneo, que puede no causar demasiada dificultad de configuración, dependiendo de la opción específica que elija, sería limitar quién puede conectarse a la aplicación.

La lista negra es ciertamente una opción, pero como ha descrito, el atacante está cambiando constantemente las direcciones IP. Te recomendaría que no hagas esto.

Una lista blanca sería una mejor sugerencia y permitir que solo ciertas IP accedan a la aplicación. Esto detendría el ataque en sus pistas.

Podría combinar esto con una VPN, esto significaría que aquellos que trabajan desde su casa (con la mayoría de las IP dinámicas) podrían conectarse fácilmente a la aplicación sin tener que hacer que alguien les dé acceso.

Contraseñas seguras

Si este lento ataque de alguna manera ha resultado en una violación de la cuenta, realmente debes cuestionar tu política de contraseña. Hay muchas referencias en este sitio que dan consejos sobre contraseñas, no profundizaré aquí.

Si tu contraseña vale su sal (jaja), este ataque no debería cambiarte de fase.

Cambiar el nombre de usuario predeterminado

Si puedes, cambia el nombre de usuario predeterminado de admin, lanzarás a mucha gente. Quiero decir, el primer usuario que siempre intento es admin.

¡No!

  • No deshabilite la cuenta después de X intentos, solo está solicitando un DoS.
  • No (o al menos evite) la lista negra tantas , las direcciones IP son probablemente servicios VPN populares, que mucha gente usa mucho.
respondido por el TheHidden 19.04.2018 - 16:59
fuente
1

Ya has hecho dos cosas buenas:

  • Buenas contraseñas forzadas
  • Límite de tarifa en el nombre de usuario

Pero hay más cosas que puedes hacer:

  • Cambie la URL de la página de inicio de sesión y el nombre de usuario predeterminado. Por supuesto, esto es seguridad a través de la oscuridad, pero puede funcionar contra atacantes perezosos.
  • Limita lo que IP: s puede iniciar sesión. Podría tener una lista blanca si sabe desde dónde accederá al backend. O podría bloquear ciertos países en función de la geolocalización.
  • Utilice un CAPTCHA. Claro, se pueden omitir, pero agrega más trabajo para el atacante.
  • Si el bloqueo de las cuentas después de que comiencen a ser activadas da como resultado problemas para iniciar sesión, puede permitir que los usuarios omitan el bloqueo haciendo clic en un enlace enviado a su correo electrónico.
  • Utilice la autenticación de dos factores.

Algunos de estos son fáciles de implementar, otros son más difíciles. Algunos límites de uso son bastante numerosos (por ejemplo, la lista blanca de IP) y solo son factibles si tienes un pequeño grupo de usuarios. Ninguna es una bala de plata que resolverá el problema para siempre.

    
respondido por el Anders 19.04.2018 - 22:04
fuente

Lea otras preguntas en las etiquetas