Co to jest naruszenie hasła?
Opublikowany: 2022-06-10Co to jest złamanie hasła? Jakie kroki należy podjąć, aby zapobiec wystąpieniu takiego zdarzenia w witrynie WordPress?
Odkąd pojawiły się formularze logowania do Internetu i witryn internetowych, wszyscy nauczono nas używać bezpiecznych, niemożliwych do złamania haseł, aby chronić naszą prywatność w Internecie. Ale dla właściciela witryny WordPress jest to jeszcze ważniejsze niż kiedykolwiek. Ze względu na ciągłe zagrożenia cyberbezpieczeństwa musisz podjąć kroki, aby uniknąć naruszeń haseł, które mogą doprowadzić do przejęcia Twojej witryny przez hakera.
W tym przewodniku zagłębimy się w ryzyko naruszeń haseł oraz w jaki sposób są one wykorzystywane do przejęcia pełnej kontroli nad witryną WordPress. Pokażemy Ci również dokładnie, co musisz zrobić, aby chronić swoją witrynę przed naruszeniem hasła. Spójrzmy.
Co to jest naruszenie hasła?
Krótko mówiąc, złamanie hasła ma miejsce, gdy ktoś ma dostęp do Twojego hasła bez Twojej zgody. Naruszenia haseł często zdarzają się na dużą skalę, ponieważ zagrożone są duże zestawy kombinacji nazw użytkowników i haseł. Naruszenia haseł często powodują wycieki i zrzuty bazy danych. Te zrzuty baz danych są ujawniane w ciemnej sieci lub nawet sprzedawane.
Naruszenia haseł stanowią ogromny problem z wielu powodów. Po pierwsze, haker może oczywiście uzyskać dostęp do Twoich kont internetowych. Gdy Twoje hasło zostanie uwzględnione w przypadku naruszenia danych, Twoje bezpieczeństwo w Internecie zostanie znacznie zmniejszone.
Co gorsza, jeśli ponownie używasz hasła do wielu kont, wszystkie te konta zostaną następnie przejęte. Według niedawnego raportu Verizon Data Breach Investigations, ponad 70% pracowników ponownie używa haseł w swoich miejscach pracy. Ale najważniejszą statystyką z raportu Verizon jest to, że 81% naruszeń związanych z hakowaniem wykorzystywało skradzione lub słabe hasła.

Co to jest atak typu Man-In-the-Middle (MITM)?
Jeśli chodzi o naruszenia haseł, ważne jest, aby zrozumieć ataki MITM, czyli Man-In-the-Middle. Ataki typu Man in the Middle to ogólne określenie każdego cyberataku, w którym hakerzy ustawiają się w pozycji pośredniej między nadawcą a odbiorcą informacji lub danych.
Przykładem może być sytuacja, w której haker znajduje się między przeglądarką użytkownika a witryną, którą aktualnie odwiedza. Ustawiając się pośrodku, umożliwia atakującym podsłuchiwanie i, w wielu przypadkach, modyfikowanie docelowej zawartości w trakcie jej wysyłania i odbierania między dwoma różnymi lokalizacjami.
Gdy haker jest w stanie przechwycić dane logowania użytkownika witryny, może czasami wykorzystać te informacje, aby uzyskać uprzywilejowany dostęp do witryny WordPress. A jeśli uda im się przechwycić poświadczenia administratora Twojej witryny, będą mogli zrobić z nią wszystko, co tylko zechcą, w tym przekierować ją do zupełnie innej lokalizacji.
Jak hakerzy kradną hasła i poświadczenia do logowania?
Hakerzy używają wielu technik do kradzieży haseł, w tym phishingu, kradzieży plików cookie uwierzytelniania i obserwowania niezabezpieczonych lub niezaszyfrowanych połączeń.
Aby w pełni zrozumieć, w jaki sposób dochodzi do naruszenia hasła i jak można ukraść poświadczenia, musisz najpierw przyjrzeć się niezabezpieczonemu żądaniu HTTP, które zawiera poświadczenia przesłane za pomocą wbudowanych w przeglądarkę narzędzi programistycznych.
Należy pamiętać, że nie jest to atak typu Man-In-the-Middle, ale mimo to jest to naruszenie hasła. Te informacje pomogą zilustrować to, czego będziesz musiał szukać nieco później w tym procesie.

Teraz musimy przyjrzeć się temu, co widzi haker, gdy sprawdza ruch HTTP, który nie jest zaszyfrowany. W tym przykładzie używamy narzędzia o nazwie Wireshare. Jest to popularne i bezpłatne narzędzie do analizy sieci, z którego może korzystać każdy. Złośliwy użytkownik, który jest w tej samej sieci Wi-Fi, co Ty, może użyć takiego narzędzia do uzyskania poufnych informacji, które nie są szyfrowane przez HTTPS.

Jak dokładnie pliki cookie odnoszą się do uwierzytelniania witryny?
Poza zwykłą kradzieżą danych logowania i haseł, doświadczony haker może również ukraść plik cookie uwierzytelniający i użyć go do pełnego podszycia się pod Ciebie w Twojej witrynie.
Ważne jest, aby zrozumieć, że HTTP jest tak zwanym protokołem bezstanowym. Innymi słowy, w HTTP serwer nie przypisuje żadnego indywidualnego znaczenia do żądań przychodzących przez identyczne gniazdo TCP.
Oznacza to, że jeśli nie chcesz wpisywać pełnego hasła za każdym razem, gdy odwiedzasz witrynę, przeglądarka musi przechowywać tymczasowy token, który podąża za Tobą podczas przeglądania witryny.
Ten token jest nazywany tokenem sesji. A przeglądarka automatycznie wysyła ten token z każdym żądaniem, które wyślesz na stronie. Na szczęście przeglądarki internetowe mają mechanizm wbudowany w tę właśnie funkcję. A mechanizm to ciasteczka.
Dlatego, gdy usuniesz wszystkie pliki cookie zapisane w przeglądarce, zostaniesz wylogowany ze wszystkich witryn, na których byłeś wcześniej zalogowany.
To informuje nas, że hakerzy i złośliwi napastnicy nie muszą nawet znać Twojego hasła, aby złamać hasło i podszywać się pod Ciebie. Wszystko, co muszą zrobić, to zdobyć token sesji i zalogować się bezpośrednio do Twojej witryny.

Podobnie jak w naszym poprzednim przykładzie naruszenia hasła WordPress, zobaczysz, że te same identyczne informacje są teraz dostępne dla atakującego korzystającego z Wireshark.

Następnie, korzystając z całkowicie bezpłatnego rozszerzenia przeglądarki, takiego jak Edytor plików cookie, haker będzie mógł z łatwością wykorzystać wartość ukradzione przez siebie pliku cookie w swojej przeglądarce internetowej i rozpocząć nawigację po panelu administracyjnym WordPressa, tak jak Ty. I nic dobrego nie wyniknie z tego dla Ciebie lub Twojej witryny.
Jak chronić się przed naruszeniami hasła?
Należy pamiętać, że niektóre rodzaje ataków polegających na złamaniu hasła są niezwykle łatwe do wykonania przez wykwalifikowanego hakera. Dotyczy to zwłaszcza słabo zabezpieczonych lub publicznych sieci, takich jak publiczne lokalizacje Wi-Fi.

Na szczęście ochrona witryny WordPress przed naruszeniami haseł jest niezwykle prosta. I jest to coś, na czym każdy odpowiedzialny właściciel witryny WordPress musi się od razu skupić, aby uniknąć ataku, który mógłby zrujnować całą witrynę.
Przede wszystkim upewnij się, że włączyłeś i wymuszasz HTTPS we wszystkich zarządzanych witrynach WordPress. Jest to absolutny wymóg dla każdego typu witryny WordPress, zarówno małej, jak i dużej — nawet jeśli Twoi użytkownicy nie mają pozwolenia na zalogowanie się do witryny.
Mówiąc najprościej, HTTPS szyfruje cały ruch między przeglądarkami a serwerem Twojej witryny. Jeśli atakujący spróbuje odczytać zawartość ruchu zaszyfrowanego za pomocą protokołu HTTPS, zobaczy tylko zniekształcony, bezsensowny zaszyfrowany tekst.

Twoje hasła będą bezpieczne.
Oczywiście musisz mieć certyfikat bezpieczeństwa SSL, aby móc wymusić HTTPS w swojej witrynie. Obecnie wielu hostów WordPress oferuje bezpłatne certyfikaty SSL, co sprawia, że jest to oczywiste.
Korzystanie z wtyczki iThemes Security Pro w celu uniknięcia złamania hasła w witrynie WordPress
Podobnie jak w przypadku wszystkich innych aplikacji internetowych, które zawierają formularze logowania, system zarządzania treścią WordPress przesyła nazwy użytkownika i hasła w ramach żądania HTTP, gdy logujesz się Ty lub inny użytkownik. Jak zapewne wiesz, HTTP nie jest protokołem szyfrowanym.
Oznacza to, że jeśli nie korzystasz ze swojej witryny w bezpieczny sposób przy użyciu protokołu HTTPS, cała komunikacja między użytkownikami a serwerem internetowym jest podatna na podsłuchiwanie przez hakerów i złośliwych napastników.
Hakerzy są wtedy w stanie łatwo przechwycić, a następnie zmodyfikować nieszyfrowany ruch HTTP w witrynie WordPress. I oczywiście najcenniejszą informacją, jakiej będzie szukał haker, są dane logowania administratora witryny, w tym hasło. Dlatego tak ważne jest, aby zawsze używać protokołu HTTPS w witrynie WordPress. Oto krótki przewodnik na temat znaczenia HTTP vs HTTPS.
Jeśli masz witrynę WordPress, jedną z najlepszych linii obrony jest wtyczka iThemes Security Pro. iThemes Security to potężna wtyczka bezpieczeństwa WordPress z funkcjami zaprojektowanymi do zabezpieczania kont użytkowników i wzmacniania WordPressa.
Na przykład funkcja wymagań dotyczących hasła w iThemes Security Pro to nie tylko polityka haseł, ale także narzędzie do egzekwowania haseł.
Korzystając z funkcji Wymaganie hasła, możesz łatwo zmusić członków dowolnej grupy użytkowników WordPress na swoim pulpicie nawigacyjnym do:
- Używaj silnych haseł
- Wybierz przydzielony czas wygaśnięcia haseł i ich zresetowania przez użytkowników w każdej grupie
- Odrzucaj hasła, które zostały naruszone (zmusza to użytkowników do używania haseł, które nie pojawiły się w przypadku naruszeń haseł śledzonych przez Have I Been Pwned)
- Wymuś zmianę hasła w całej witrynie, aby upewnić się, że wszyscy w witrynie przestrzegają wdrażanej przez Ciebie nowej polityki silnych haseł.
Funkcja wymagań dotyczących hasła iThemes Security Pro będzie działać w celu zabezpieczenia danych logowania do WordPressa przed atakami złamania hasła, które właśnie omówiliśmy w tym przewodniku, i nie tylko.
W rzeczywistości jest to pełny pakiet zabezpieczeń WordPress, bez którego żaden właściciel witryny WordPress nie powinien się obejść, jeśli zabezpieczenie witryny przed wszelkiego rodzaju złośliwymi atakami jest dla Ciebie ważne.
Ponadto daje możliwość wyegzekwowania polityki haseł jednym kliknięciem przycisku. Prawda jest taka, że większość ludzi woli podążać ścieżką najmniejszego oporu. Usuwając opcję używania słabych lub złamanych haseł, pomagasz sobie i wszystkim użytkownikom Twojej witryny w pełni chronić swoje konta przed uszkodzeniem w wyniku naruszenia hasła.
Dodatkowe środki ostrożności dotyczące hasła
Chociaż nie ma wątpliwości, że musisz natychmiast włączyć HTTPS w swojej witrynie WordPress, a następnie zainstalować pakiet zabezpieczeń, aby chronić ją przed atakami złamania hasła, istnieją również dodatkowe środki, które chcesz podjąć, które dotyczą bezpieczeństwa i wzmocnienia WordPressa:
- Dodaj 2FA (uwierzytelnianie dwuskładnikowe), aby zwiększyć bezpieczeństwo mechanizmu uwierzytelniania witryny WordPress. Pomoże Ci w tym wtyczka iThemes Security Pro.
- Ogranicz nieudane próby logowania w swojej witrynie, aby pomóc udaremnić próby włamań, takie jak ataki polegające na odgadywaniu hasła i ataki DDoS, dzięki ochronie przed brute force iThemes Security.
- Włącz rejestrowanie zabezpieczeń, aby monitorować nieautoryzowany dostęp do pulpitu administracyjnego WordPress.
- Pamiętaj, aby aktywować wykrywanie zmian plików w witrynie WordPress, aby wykryć wszelkie nieautoryzowane lub podejrzane zmiany plików.
Podsumowanie: unikanie złamania hasła w witrynie WordPress
Udane naruszenie hasła to jedna z najbardziej niszczycielskich rzeczy, które mogą przytrafić się właścicielowi witryny WordPress. A nawet największe strony internetowe na świecie nie są odporne na ich niebezpieczeństwa.
Jednak po przestudiowaniu tego przewodnika masz teraz narzędzia do zastosowania w swojej witrynie, które pomogą Ci trzymać się z dala od tego niszczycielskiego ciosu.
Za pomocą odpowiednich narzędzi, o których mowa w niniejszym dokumencie, będziesz na dobrej drodze do prowadzenia bezpieczniejszej witryny WordPress.
Najlepsza wtyczka bezpieczeństwa WordPress do zabezpieczania i ochrony WordPressa
WordPress obsługuje obecnie ponad 40% wszystkich stron internetowych, więc stał się łatwym celem dla hakerów o złych zamiarach. Wtyczka iThemes Security Pro eliminuje zgadywanie z zabezpieczeń WordPress, aby ułatwić zabezpieczanie i ochronę witryny WordPress. To tak, jakby zatrudniać pełnoetatowego eksperta ds. bezpieczeństwa, który stale monitoruje i chroni Twoją witrynę WordPress.
Kristen pisze samouczki, które pomagają użytkownikom WordPressa od 2011 roku. Jako dyrektor ds. marketingu w iThemes, poświęca się pomaganiu w znalezieniu najlepszych sposobów tworzenia, zarządzania i utrzymywania skutecznych witryn WordPress. Kristen lubi też prowadzić dzienniki (sprawdź jej projekt poboczny, The Transformation Year !), wędrować i biwakować, stepować aerobik, gotować i codzienne przygody z rodziną, mając nadzieję na bardziej obecne życie.