Як зламати пароль за допомогою брутфорс атаки. Кращі інструменти пен-тестера: брутфорс паролів

1. Методи оптимізації повного перебору
2. Реалізація розпаралелювання
3. Приклад тривалості підбору
4. Мода на мега-брутфорс дійшла і до нас
5. Боротьба з ботами
6. спостереження
7. И вновь продолжается бой
8. Захист від брутфорс атак (перебору паролів) на стороні хостингу
9. Наші клієнти захищені настільки, наскільки це можливо
10. Прості способи захисту адмінки WordPress від злому

всіх можливих рішень завдання. Якщо простір рішень дуже велике, то повний перебір може не дати результатів протягом декількох років або навіть століть.

Будь-яке завдання з класу NP може бути вирішена повним перебором. При цьому, навіть якщо обчислення цільової функції від кожного конкретного можливого рішення задачі може бути здійснена за поліноміальний час, в залежності від кількості всіх можливих рішень повний перебір може зажадати експоненціального часу роботи.

У криптографії на складності повного перебору ґрунтується оцінка криптостойкости шифрів. Зокрема, шифр вважається крипостійкість, якщо не існує методу «злому» істотно більш швидкого ніж повний перебір всіх ключів. Криптографічні атаки, засновані на методі повного перебору, є найбільш універсальними, але і найдовшими.

Методи оптимізації повного перебору

Для збільшення швидкості підбору ключа використовується розпаралелювання обчислень. Відомо два напрямки розпаралелювання.

Реалізація розпаралелювання

Реалізувати розпаралелювання можна по-різному.

• Наприклад, створити вірус для поширення програми-зломщика в глобальній мережі. Він повинен використовувати вільний час процесора для перебору ключів. Рано чи пізно один із заражених комп'ютерів виявить шуканий ключ і сповістить про це зловмисника.

• Існують також більш оригінальні ідеї розпаралелювання обчислень:
  • «Китайська лотерея», створення «криптоаналітичних» водоростей і тварин.
    1. Китайська лотерея передбачає, що в кожен радіоприймач і телевізор вбудована мікросхема, запрограмована на автоматичну перевірку різних множин ключів після отримання по ефіру пари відкритий текст / шифртекст.
    2. З використанням біотехнологій можна зробити криптоаналіз ще ефективніше. Можна створити істоту, що складається з клітин, які вміють тестувати ключі. Якимось чином в клітини передаються пари відкритий текст / шифртекст. Рішення переносяться до органів мови спеціальними клітинами, які подорожують по кровоносній системі істоти. У доісторичні часи середній динозавр складався приблизно з 10 14 клітин (без мікробів). Якщо кожна клітина може виконувати мільйон шифрування в секунду, розтин 56-бітового ключа займе 7 * 10 - 4 сек, а 64-бітового - не більше 0,2 сек.
    3. Ще один спосіб - створення водоростей, які вміють розкривати криптографічні алгоритми методом повного перебору. Водорості можуть покривати великі простори, що теоретично дозволить створити щось на зразок розподіленого комп'ютера з величезним числом процесорів.

Приклад тривалості підбору

Повний час розкриття кріптофайла для окремого випадку (100 000 паролів в секунду; 36 символів в алфавіті (латинські букви + цифри)).

Знаків Кількість варіантів Час перебору 1 36 менше секунди 2 1296 менше секунди 3 46 656 менше секунди 4 1 679 616 17 секунд 5 Пробіг: 60 466 176 10 хвилин, 5 секунд 6 2 176 782 336 6 годин, 2 хвилини 7 78 364 164 096 9 днів, 2 години, 16 хвилин, 26 секунд 8 2,821 109 9x10 12 10 місяців, 23 дні, 52 хвилини, 37 секунд 9 1,015 599 5x10 14 32 року, 3 місяці, 7 днів, 12 годин, 11 хвилин 10 3,656 158 4x10 15 1161 рік, 8 місяців, 26 днів, 18 годин, 33 хвилини, 40 секунд 11 1,316 217 0x10 17 41 822 року, 7 місяців, 20 днів, 6 годин, 44 хвилини, 22 секунди 12 4,738 381 3x10 18 1 505 614 років , 11 місяців, 30 днів, 1 година, 11 хвилин, 45 секунд

(дані отримані за допомогою програми Hacking Time Analizer)

Не секрет, що спроби підбору пароля методом перебору (брутфорс) - постійне явище. Підбирають паролі до серверів і віртуальним машинам , До адмінок сайтів і FTP-акаунтів, до поштових скриньках і соціальним мережам.

Зазвичай брутфорс йде в фоновому режимі і практично не помітний для власників ресурсів, тому що не створює значне навантаження і не заважає роботі сайту, принаймні до тих пір, поки злодії не проникнуть на сервер :)

1 серпня почалася, мабуть, найпотужніша в рунеті брутфорс-атака на сайти, створені за допомогою найпоширеніших безкоштовних CMS: Wordpress, Joomla! та ін.

І ось як це було:

Мода на мега-брутфорс дійшла і до нас

Схожа атака на Wordpress-сайти була зроблена в квітні цього року. Ця атака торкнулася в основному західні ресурси і російські користувачі і хостинг-провайдери її не помітили. На цей раз ботнет спрямований перш за все на злом російськомовних сайтів.

Перші публічні повідомлення про атаку з'явилися 2 серпня. Насправді, аномальна активність в нашій системі моніторингу була помітна ще першого числа. До цього навантаження, створювана ботами , Була не так помітна. Можливо, це були пробні запуски, але ми припускаємо, що активна робота почалася з малої кількості заражених машин. У міру підключення нових учасників, навантаження на інфраструктуру росла і до 2 серпня її відчули на собі всі російські хостинг-провайдери та їхні клієнти.

На графіку вище може здатися, що щось почало відбуватися ще 31 липня, я навіть виділив цей момент червоною лінією. Як показало подальше дослідження, це була локальна аномалія, викликана не початком атаки, а навантаженням на одній з нод. За цим графіком з деталізацією легко виявити джерело аномалії:

Знаючи ноду, можна заглибитися далі і дізнатися, хто саме створює навантаження:

Як бачимо, підвищена активність в одному з клієнтських віртуальних серверів. При цьому у сусідів по серверу все добре і на інших нодах все в нормі. Звідси ми робимо висновок, що випадок не має відношення до досліджуваної атаці, тобто великий брутфорс розпочався 1 серпня.

Боротьба з ботами

Поведінка ботів було стандартним: вони зверталися до типової сторінці авторизації CMS. Наприклад, для WP це сторінка wp-login.php. У першій фазі атаки звернення були досить незграбними: боти відразу робили POST логіна і пароля в форму без попереднього отримання сторінки (GET). Таким чином, на цьому етапі їх було дуже легко відрізнити від справжніх користувачів, які спочатку отримували сторінку, а потім вже вводили логін і пароль.

Використовуючи цю особливість, боти досить швидко були заблоковані. Природно, після цього зловмисники внесли корективи в поведінку ботів. Вони навчилися робити GET-POST і працювати з куками.

Після цього з можливих варіантів прикриття залишилися:
1) перейменування сторінки авторизації;
2) обмеження доступу до адмінській розділу по ip-адресами (білий список, географічний чи інший принцип поділу);
3) подвійна авторизація.

Перейменування сторінки авторизації добре підходить конкретно для Wordpress, тому що в результаті нічого не ламається і можна продовжувати роботу. Але не факт, що цей спосіб добре працює для інших CMS. В системі цілком може бути прив'язка до конкретного назвою скрипта.
Таким чином, цей спосіб не підходив для нас як хостинг-провайдера, тому що ми просто не можемо піти і перейменувати всім клієнтам файли без їх відома. Це може зробити тільки сам клієнт.

Обмеження доступу до адмінки по білому списку ip-адрес підходить далеко не всім, тому що по-перше, практично завжди інтернет-провайдери видають динамічний адресу, який може змінюватися від сесії до сесії, а по-друге, це виключає можливість доступу до адмінки ззовні, наприклад, з мобільного пристрою . Цей варіант також був відзначити, як неробочий.

Обмеження по географічній приналежності ip працює тільки в разі, якщо у ботнету є яскраво виражений «регіон проживання», наприклад, В'єтнам або Індія. Знову-таки для прийняття єдиних заходів на великому хостингу такий спосіб не підходить, тому що одночасно присутні зарубіжні клієнти, які потрапляють під дію цих фільтрів.

Подвійна авторизація - спосіб, який ми в підсумку застосували до сайтів, схильним до атакам на нашому шаред-хостингу. Ми встановили додаткову сторінку авторизації, яка видається при спробі звернення до адмінки без певних кук. Пройшовши нашу додаткову авторизацію один раз, легітимний користувач отримує особливу куку і може спокійно увійти в адмінку CMS. При цьому боти не можуть пройти через сторінку і не тільки не можуть здійснювати підбір пароля до CMS, але і не створюють значного навантаження на сервер.

Судячи з новин хостинг-провайдерів, багато хто скористався схожим методом, але встановили моторошно секретні паролі, дізнатися які клієнт міг тільки за запитом в технічну підтримку або в персональної електронної розсилки.

Ми визнали такий над-секретний підхід надмірною і некоректним по відношенню до клієнтів. Часом доступ в адмінку потрібен терміново, а писати заявку, дзвонити або шукати шукане лист від хостера може бути дуже незручно. Тому дані для додаткової авторизації ми вказали на сторінці в явному вигляді, виходячи з простого припущення, що боти не вміють читати і думати, а вчити їх конкретно для нашого випадку - занадто трудомістке і невдячна злочинницьке заняття.

Приблизно так виглядає сторінка з додатковою авторизацією (вибачте, було не до красивого оформлення сторінки):

Також ми відмовилися від використання класичної http-авторизації через те, що спливаюче вікно із запитом логіна і пароля - не найзручніший спосіб розповісти клієнту що сталося з його CMS і чому він бачить цей запит. Таке вікно блокує браузер, лякає і заважає зорієнтуватися.

спостереження

Крім боротьби з ботами нам було дуже цікаво поспостерігати за тим, як координуються і розподіляються їхні зусилля. Судячи з аналітики з нашої системи, кількість одночасних запитів на 1 хостинговий ip-адреса стійко трималося не більше 30 для кожної CMS, незалежно від кількості атакованих сайтів на цю адресу. Таким чином, якщо на одному ip-адресу було розміщено жодного сайту і на Wordpress, і на Joomla !, то кількість одночасних звернень трималося на рівні 60 штук. Це досить багато для shared-хостингу.

Якщо сайт переставав відповідати - запити до нього миттєво припинялися. Це розумно, тому що зловмисникам вигідніше залишити жертву в живих. Проте, 60 одночасних запитів - досить великий потік, щоб його гарантовано помітили і власники сайтів, і хостинг-провайдери. Є думка, що лиходіям розумніше було б Брутфорс в 3-4 рази меншим потоком запитів. У цьому випадку діяльність ботнету була б набагато менш помітна.

Активна фаза атаки починалася ввечері і тривала всю ніч. Адреси сайтів ботам віддавалися в алфавітному порядку.
Таким чином, ввечері починали страждати сайти на букву А, а ближче до ранку - сайти на Z. Їм в цьому сенсі пощастило трохи більше.

И вновь продолжается бой

Зараз атака все ще триває, хоча і в значно зниженому темпі. Нам вдалося мінімізувати збиток від атаки для користувачів shared-хостингу. У зоні ризику залишаються користувачі виділених фізичних і віртуальних серверів, тому що централізовано прикрити доступ до адмінки CMS в цьому випадку не можна і заходи щодо захисту повинні бути прийняті адміністратором сервера.

Дякую за увагу! :)

Всім успіхів у боротьбі з ботами. способи для самостійного захисту озвучені вище. Якщо у вас є класний готовий рецепт - прошу в коменти!

Що таке злом облікового запису за допомогою атаки brute force (метод послідовного перебору) і як можна захистити співробітників і додатки в своїй компанії від цих атак?

Brute force login атака є найбільш поширеною (і найменш витонченими) атакою, використовуваної проти веб-додатків.

Мета даної атаки - отримати доступ до акаунтів користувачів шляхом багаторазових спроб вгадати пароль користувача або групи користувачів. Якщо веб-додатки не мають ніяких захисних заходів проти цього типу атак, то зловмиснику досить просто зламати систему, засновану на парольної аутентифікації, здійснивши сотню спроб введення пароля за допомогою автоматизованих програмок, легкодоступних в Інтернеті. Brute force login атаки можуть бути використані в ряді випадків. Якщо відома довжина пароля, то може бути випробувана кожна комбінація цифр, букв і символів, поки не будуть знайдені збіги.

Однак процес цей довгий, особливо в міру збільшення довжини пароля (ось чому довгі паролі більш надійні). Альтернативний підхід - використання списку загальновживаних слів, так звана словникова атака. Загальний сенс цієї атаки зводиться до того, що будуть послідовно підставлятися все слова зі словника, з можливістю додавати цифри і подвоювати слово як потенційний пароль. В цьому випадку набагато менше комбінацій можна спробувати, але все ж шанс підібрати пароль досить високий.

Є зворотний метод, замість спроби підібрати пароль до одного аккаунту, можна спробувати один пароль до безлічі акаунтів. Це відомо як reverse brute force атака. Дана техніка, варто зауважити, не спрацьовує там, де є політика блокування облікового запису. Reverse brute force атака є менш поширеною ще й тому, що атакуючому часто складно скласти досить великий обсяг імен для цієї атаки.

Є ряд методів для запобігання brute force атак. Перший полягає у використанні політик блокування облікового запису. Наприклад, після трьох невдалих спроб входу в систему, обліковий запис блокується до тих пір, поки її не розблокує адміністратор. Недоліком цього методу є блокування відразу безлічі акаунтів користувачів в результаті атаки одного зловмисника, на адміністратора падає відразу багато роботи, тому що велика кількість користувачів-жертв залишилося без доступу до своїх акаунтів.

Кращий, хоча і більш складний метод - progressive delays (прогресивні затримки). Суть його в тому, що облікові записи блокуються на деякий час після кількох невдалих спроб входу. Час блокування зростає з кожною новою невдалою спробою. Це захищає від автоматизованих засобів, які проводять brute force атаки, і фактично робить недоцільним проведення даних атак.

Інший метод полягає в використанні тесту запиту-відповіді на сторінці входу в систему для запобігання автоматизованих уявлень. такі безкоштовні утиліти як reCAPTCHA можуть бути використані для того, щоб попросити користувача ввести слово або вирішити просту задачку, тим самим довівши, що це не робот. Цей метод є ефективним, але створює деякі незручності при користуванні сайтом.

Будь-яке веб-додаток повинен забезпечувати використання надійних паролів. Так, наприклад, вимога від користувача вибирати паролі довжиною вісім і більше символів з використанням літер і цифр або спеціальних символів відмінний захист від brute force атаки, особливо в поєднанні з одним з вищеописаних методів.

Так само може бути корисно використовувати утиліти, які автоматично зчитують журнали інтернет-подій і оповіщає адміністратора про неодноразові спроби виходять від одного IP адреси. Однак, зловмисник також просто може використовувати різні інструменти, щоб регулярно автоматично змінювати свій IP адреса.

Щоб користувачі могли довіряти вашої компанії свої особисті дані, дуже важливо переконатися в тому, що в веб-додатку використовується хоча б один з методів захисту проти brute force атаки. Використання методів, описаних в цій статті, має забезпечити надійний захист від цих поширених атак.

Привіт, друзі! За останній час в інтернеті відбулося кілька цікавих подій: Яндекс запустив бета-версію Островів і змінив інтерфейс Вордстат, ЦОП Profit-Partner почав чергову акцію з подарунками, стартувало кілька нових конкурсів. Але, мабуть, найбільш резонансна, це масові Brute Force атаки на сайти, яким піддалися хостинги по всьому світу в кінці липня. Небезпеки злому схильні в основному сайти на CMS WordPress і Joomla. У разі успішного злому, сайт стає частиною ботнету і використовується для нових атак.

Якщо ви до цих пір про це не чули, це не означає, що воно вас не стосується. За допомогою технології брутфорс підбирається логін і пароль для входу на сайт за стандартним для WordPress адресою wp-login.php шляхом перебору символів. В результаті до сайту йде дуже велика кількість запитів, що може створювати підвищене навантаження на сервер. Так що, якщо у вас спостерігаються проблеми з навантаженням, треба бути особливо уважним.

Захист від брутфорс атак (перебору паролів) на стороні хостингу

Багато хостинги своєчасно відреагували на дії хакерів, але, мабуть, не всі. У всякому разі, я помітив активні дії з боку Бегета, Спрінтхост і Макхост. ТаймВеб і 1gb.ua ніяких видимих ​​рухів не справляли, за інших сказати не можу.

Не пам'ятаю точно, коли я перший раз почув про ці спроби масових підбирань паролів, але тоді відразу задав питання в тех.підтримку Макхост, де знаходиться мій основний блог, і отримав відповідь, що про проблему їм відомо і все під контролем.

Через деякий час доступ в адмінку був відкритий. Сподіваюся, на Бегета тримають ситуацію під контролем, але, про всяк випадок, я змінив адресу входу в панель адміністратора.

При спробі входу в адмін.панель блогу на хостингу sprinthost.ru мене досі зустрічає така сторінка:

На mchost.ru аналогічна картина:

Чесно Сказати, я намагались буті в курсі подій и періодічно спілкуюся зі співробітнікамі хостингу на предмет цієї Загроза. А сегодня решил поставити кілька запитань керівнику відділу розвитку хостингу Ігорю Бєлову, з Яким Вже много хто Знайомий з минулим моєї Публікації про перенесення сайту на Макхост. Вийшла Своєрідне інтерв'ю. Сподіваюся, ця інформація буде вам корисна, тим більше що це реальна загроза для наших блогів, яку не можна недооцінювати.

Наші клієнти захищені настільки, наскільки це можливо

Ігор, опишіть, будь ласка, коротко ситуацію, що склалася. Атаки йдуть по всьому світу і тривають вже досить довго, невже нікому, крім хостингів і вебмайстрів, до цього немає діла?

Перші атаки були ще в травні, але вони були не настільки помітними, хоча в інтернет-новинах відзначилися. Лабораторія Касперського робила заяви з цього приводу, наскільки я пам'ятаю.

В інтернеті завжди були бот-мережі. Бот-мережі - це група заражених комп'ютерів, зазвичай комп'ютерів звичайних користувачів. Комп'ютер може бути в бот мережі роками, і користувач не знатиме про це. Більшість людей нехтує питаннями безпеки. Бот-мережі створюються різними групами зловмисників і створюються по-різному. Є маленькі мережі, є величезні. Ці мережі зловмисники можуть використовувати самі або здавати їх в оренду для різних цілей. Наприклад, якщо потрібно зробити так, щоб якийсь сайт не працював, то замовляється атака на цей сайт. Комп'ютери бот-мережі отримують сигнал з командою входити на цей сайт через певний проміжок часу. В результаті на сайт обрушується велика кількість запитів.

Тут потрібно враховувати, що замовник цих атак платить за розмір мережі і тривалість, тому вічної атаки бути не може, тому що чим більше атака, тим дорожче. Крім цього, з дуже сильними атаками борються магістральні провайдери.

По суті, бот-мережі можуть виконувати будь-які команди. Тому, можна дати їм команду по підбору паролів, ось, мабуть, хтось і додумався до цього :-). Суть в тому, що, знаючи пароль, можна додати на сайт посилання, заразити вірусом (для розширення бот-мережі або інших способів отримання доходу) і т.д. Іншими словами, можна витягти з цього невелику, але вигоду. Так як для отримання значимої прибутку потрібні мільйони таких сайтів, то все це робиться автоматизовано.

До речі, я спеціально не використав слово "хакер", тому що дуже часто хакери знаходять уразливість або розробляють хакі, але не використовують їх самі, а продають. А покупці, зазвичай не хакери, вже спеціалізуються на отриманні доходу.

Російські органи пошуком подібних зловмисників не займаються, за рідкісним винятком, наприклад, коли була атака на сайт Аерофлоту. Кажуть, що немає тех.средств для цього. У США ФБР займається тільки великими групами і мережами і, звичайно, коли справи пов'язані з крадіжкою банківської інформації або зломом сайтів великих компаній. Але за великим рахунком боротьба з цим завжди була на кінцевих споживачах.

Наскільки масштабні ці атаки і які сайти їм схильні?

на Сейчас атакам піддаються сайти на WordPress і Joomla. Вони досить масштабні, як за силою, так і за обсягом. Всі хостинг-компанії, у яких є значна кількість сайтів, фіксують ці атаки, тому що вони йдуть цілодобово. Атаки не хостинг-компанію, а саме сайти і не має значення, на якому хостингу він знаходиться. Є велика база сайтів і боти атакуючих ходять по цим сайтам з метою підбору паролів, якщо там стоїть WP або Joomla. Складність тут полягає в тому, що звернення йдуть з мільйонів різних IP-адрес (мабуть, використовуються різні бот-мережі), тому блокування не працюють. Спочатку творці цих атак допустили невелику технічну помилку, про яку не буду згадувати, що дозволило нам відразу запустити мінімальний захист і за кілька днів довести її до максимальної.

Тут є ще один важливий момент. Відразу помітно зросло навантаження на сервери, тому що помітно збільшилася кількість запитів до сайтів.

Чого домагаються хакери і навіщо їм це треба?

Зловмисники домагаються отримання доступу до адмінки сайту, а далі вже можна це використовувати по-різному - від розміщення посилань з рекламою до зараження вірусом. Крім захисту від атак, у нас працює антивірусний захист, тому якщо вона виявляє зараження сайту, то на пошту надсилається звіт із зазначенням деталей і заражених файлів.

Для нас, як для хостинг-компанії, підбір паролів - це щоденна ситуація. Тому ми навчилися з нею боротися, але не завжди можливо звернутися до наших клієнтів з цим. Наприклад, коли ми додали в панель функцію, яка забороняє ставити легкі паролі (11111111, password і інші), то були скарги на це :-). Люди думають, що злом їх сайту нікому не потрібен, але вони не розуміють, що ці зломи робляться ботами на автоматі, а люди лише контролюють процес. І якщо зломщик запрацює з злому їх сайту всього 10 рублів, наприклад, за розміщення реклами на кілька днів або редиректу на інший сайт, то з мільйона зламаних сайтів вже буде 10 мільйонів. А є клієнти, які не помічають злому місяцями.

Які уразливості, перш за все, можуть використовувати і що робити звичайним вебмайстрам, особливо новачкам?

Після початку атак ми оперативно подбали про захист і зараз наші клієнти захищені настільки, наскільки це можливо з боку хостингу. Більш того, ми підготували резервний механізм захисту на той випадок, якщо тип атаки зміниться. З приводу рекомендацій. По-перше, потрібно мати надійний пароль . По-друге, змінити адресу входу в адмінку. Але найкраще, це закрити доступ в адмінку для всіх IP-адрес, крім ваших. Це можна зробити через файл.htaccess, але, на жаль, останнє не всім сайтам підходить. Адже у багатьох динамічний IP і доведеться при кожному вході в адмін.панель правити файл.htaccess.

Ви сказали, що Макхост, своєчасно подбав про своїх клієнтів і встановив додатковий захист. Наскільки це надійно і стежать співробітники хостингу за ситуацією, адже хакери можуть міняти тактику нападу, використовуючи інші шляхи?

Поточна захист надійна настільки, наскільки це можливо. Але ми підготували і резервний варіант - більш комплексна і серйозна захист, яку, по суті вже не оминути такими атаками. Ми її приймемо, якщо тактика атаки зміниться, так як поточна захист і так добре справляється.

Були на Вашій пам'яті подібні атаки, і як часто це відбувається? Або це сама великомасштабна акція за останній час?

Атаки на CMS були постійно, але не було такої широкої і потужною. Зазвичай атакуючі боти були розраховані на якісь уразливості самих CMS, тому зачіпали трохи сайтів. Потрібно лише вчасно оновлювати CMS. Підбір паролів для FTP, на жаль, теж був завжди, але знову ж таки в невеликих масштабах. Зазвичай зламували ті сайти, які самі нехтували своєю безпекою, наприклад, ставлячи самі прості паролі . Зараз ситуація відрізняється тим, що йде дуже сильний перебір паролів.

На жаль, в цих CMS немає простого механізму захисту від підбору. Наприклад, затримки на вхід при неправильному паролі. Про захист повинні дбати самі вебмастера, встановлюючи додаткові скрипти і плагіни. Зі свого боку ми зробимо все можливе, щоб вони могли спати спокійно, не боячись втратити сайт. Повірте, наші фахівці володіють достатніми для цього можливостями.

Спасибі Ігорю за це бліц-інтерв'ю і змістовні відповіді!

Прості способи захисту адмінки WordPress від злому

У будь-якому випадку, самому треба теж подбати про безпеку сайту і використовувати хоча б такі прості дії для захисту від підбору паролів:

• не використовувати стандартний логін admin і встановити складний пароль для входу в адмінку WordPress (докладніше);
• обмежити число спроб входу в адмін.панель, наприклад, за допомогою плагінів або Limit Login Attempts;
• якщо у вас статичний IP, то можна дозволити вхід тільки йому через файл.htaccess;
• змінити стандартний адреса входу /wp-login.php і / wp-admin, наприклад, за допомогою простого плагіна або більш потужного Better WP Security;
• не використовувати віджет "Мета", так як в ньому є пряме посилання "Увійти".

Ось така інформація. А як у вас справи, чи відчули ви на своїх сайтах силу брутфорс атак?

PS Кого цікавлять промо-коди на 3 місяці безкоштовного хостингу за тарифом "Профі" від Макхост, звертайтеся, поділюся.

Brutus A2 - одна з користуються визнанням програм для підбору паролів. забутий пароль - зовсім рідкісна проблема в сучасному комп'ютерному світі. Пошта, архіви з важливими фотографіями, вхід на свою сторінку в популярних СОЦІАЛЬНИХ МЕРЕЖ , А також на інші сайти, що вимагають реєстрації - все це приклади використання парольного захисту. Даремно сподіватимемося на свою пам'ять або забувши записати заповітні цифри і букви, ми ризикуємо втратити цінну інформацію. Ось в таких випадках і можуть стати в нагоді програми брутфорс (метод грубої сили) злому паролів методом підбору. Завантажити brutus безкоштовно російською мовою ви можете прямо з цієї сторінки нашого сайту.
У більшості випадків людина вибирає не дуже складні паролі , Тому для підбору секретного слова дуже корисно використовувати спеціальні списки слів. Словники для Брутус А2 безкоштовні, можна скачати в мережі, а можна використовувати і свої, що корисніше, якщо мета - ваш особистий пароль. Щоб програму злому паролів brutus a2 скачати безкоштовно тут, просто натисніть на кнопку зліва під картинкою замку. Підбір паролів методом перебору вимагає досить багато часу, зате дуже простий, і якщо ви не програміст або хакер, то цей метод для вас.