Under måndagen 18 december 2017 inleddes en massiv och mycket aggressiv brute-force attack mot WordPress sajter.

Uppdaterad 2017-12-21 00:03

Djupare analyser av säkerhetsföretaget Wordfence har visat att angriparen utjyttjar sofistikerad skadlig kod för att styra kompromitterade WordPress-servrar på distans. Servrarna används för att både attackera andra WordPress-webbplatser och att gräva efter Monero, en cryptovaluta liknande Bitcoin som effektivt kan brytas med hjälp av webbserverhårdvara. Angriparen har tjänat nästan 100 000 dollar från gruvdrift redan och sannolikt ganska mycket mer.

På morgonen den 20 december uppstod ytterligare en topp av angreppsförsök och denna gav indikation om att angriparens botnet delar sitt arbete mellan att infektera webbplatser och att gräva efter Monero. Med andra ord så kan volymen av angrepp komma att överstiga den tidigare oöverträffade volymen.

Omfattningen av attacken mot WordPress

attack mot WordPress

Källa: Wordfence

Ca. 15:00 UTC inleddes en hitintills oöverträffad brute-force attack mot WordPress sajter:

  • Ca. 19:00 UTC toppades attacken med 15.392.628 (över 15 miljoner!) attackförsök per timme
  • Över 10.000 IP-adresser var engagerade i attacken
  • Över 190.000 WordPress sajter attackerades per timme

En tänkbar orsak till attacken

En tänkbar orsak till attacken som rapporteras av företaget Medium den 5 december 2017 kan vara att det plötsligt fanns en databas tillgänglig på darknet vilken innehöll 1.400.553.869 användar-ID och lösenord i klartext!

Databasen verkar bestå utav användar-ID/lösenord både från tidigare lösenords läckage men även nya opublicerade uppgifter existerar. Medium klassificerar detta som det största lösenordsläckaget hittills.

Hur skyddar Du WordPress från attacken?

Förslag på åtgärder som Du kan göra själv:

  1. Installera en brandvägg som förhindrar brute-force attacker
  2. Försäkra Dig om att ni har starka, unika lösenord – speciellt för administratörer
  3. Ändra administratörs namnet från det som skapas vid installationen, ”admin”, till något annat
  4. Ta bort användarkonton som inte används, speciellt administratörs konton
  5. Implementera ”two-factor” (2FA) inloggning på alla administratörskonton, ungefär som hur Mobilt-ID eller Bank-ID fungerar
  6. Eventuellt ”svartlista” de IP-adresser som är inblandade i attacken. Detta kan dock vara ett trubbigt verktyg då många attackerande datorer ofta byter IP-adress
  7. Bevaka inloggningsförsök av administratörer för att försäkra om att ingen attack har lyckats
  8. Använd inte samma lösenord på flera olika servrar/tjänster

Det är med andra ord inte en fråga OM er WordPress webbplats kommer att attackeras utan snarare HUR framgångsrik attacken blir.

Ett mycket enklare sätt att skydda er webbplats är med vår tjänst ”WordPress Säkerhet”. I denna ingår även tjänsten ”WordPress Underhåll” – vi bjuder på 30 dagar ”prova-på” av denna.
Inga förpliktelser! Ingen bindningstid! Ingen kostnad!