Расход процессорного времени сайтом или Что бывает, когда кто-то подбирает к вам пароль

Сегодня речь пойдет о взломе сайта, сразу оговорюсь — пока что неудачном.

Я говорю о сайте, на котором и размещена эта статья. Все указывало на то, что на сайт пытался проникнуть некто извне. Дальше о том, как мне удалось это обнаружить.

Как-то раз…

Итак, все началось с одного моего клиента, сайт которого взломали. Сайт был на WordPress. Я помогал чинить, а сам перебирал в голове насколько сложным будет взломать мой собственный сайт.

Сразу же после этого я сделал небольшой поиск и обзавелся полезнейшим плагином Limit Login Attempts — плагин для блокировки повторяющихся безуспешных попыток входа на ваш сайт. Плагин полезный и рабочий не смотря на то, что не обновлялся уже более двух лет.

Этот плагин из разряда must-have, и я буду использовать подобные решения на всех моих будущих сайтах.

А если вы считаете, что ваш пароль достаточно сложный для подбора, то возможно вы оперируете устаревшими данными. Компьютерная техника совершенствуется очень быстро. Современные персональные компьютеры сравнимы по мощности с мейнфреймами прошлого. А с целой сетью таких машин можно сделать очень и очень много, и зловредного в том числе.

Вы уверены, что все в порядке?

Я конечно немного параноик, но тем не менее. Если вы уверены, в собственном пароле, вы можете в один клик проверить, насколько он стойкий к подбору на промо-сайте от Intel — https://www-ssl.intel.com/content/www/us/en/forms/passwordwin.html Они, как и я просят вас не тестировать там реальные пароли в целях вашей же безопасности.

Началось

На момент, когда начались неполадки с моим сайтом, Limit Login Attempts уже был установлен. И собственно благодаря email-уведомлению с темой «Превышен максимальный лимит попыток авторизации» от этого плагина я и заподозрил неладное — исходя из моих настроек это значило, что кто-то попытался подобрать 40 различных паролей, после чего был заблокирован плагином на сутки.

Я был уверен, что все в порядке, но зайдя в лог плагина на его странице настроек, я увидел, что подбор велся не стандартным логинам типа root или admin, а по моему кастомному логину. Это мне не понравилось, я решил сменить логин.

Сменить логин

Как вы можете знать, сменить логин штатными средствами WordPress нельзя. Тем не менее при возникновении такой надобности это сделать несложно и не несет за собой (насколько мне известно) никаких последствий для вашего WordPress-сайта.

Вы можете сменить его через phpMyAdmin, как в этом случае сделал я.

Если вы не знаете, как это сделать — вы можете сменить его через плагин Username Changer (не тестировал).

В конце концов, всегда остается вариант создать нового админа и оставить посты старого админа ему в наследство.

Нагрузка

Я сменил логин. Но пока я заходил в cPanel, чтобы оттуда попасть в phpMyAdmin, я заметил, что расход серверных ресурсов просто огромен. Расход процессорного времени (CPU Usage) держался на уровне 90%.

Я зашел в cPanel -> Журналы -> Resource Usage и увидел сообщение о том, что использование ресурсов было ограничено для моего сайта.

Я бегло посмотрел статистику и подумал, что самое время обзавестись кеш-плагином. Я поставил Lite Cache, нагрузка на память упала, нагрузка на процессор осталась на том же уровне.

Подождал — нагрузка не упала.

Тогда я добрался до статистики Webalizer (cPanel -> Журналы -> Статистика Webalizer), посмотрел, что нехорошие дела с моим сайтом начались около трех часов назад, а спустившись ниже, нашел и саму цель в разделе «Top 30 … URLS» — /wp-login.php

/wp-login.php

Итак я получил 8596 запросов на адрес /wp-login.php и меня такая популярность технической страницы не порадовала. Я исправил это быстро и «с плеча». Переименовал файл wp-login.php в wp-super-secret-login.php и изменил упоминания «wp-login.php» в самом файле на «wp-super-secret-login.php».

После этого нагрузка на процессор упала до 1%.

Немногим позже я нашел плагин Rename wp-login.php. Я не тестировал его, но принцип его работы схож с тем, что сделал я.

Из минусов переименования то, что при переходе в /wp-admin, вас перенаправит на несуществующий более wp-login.php и вам вручную нужно будет изменить адрес.

Кстати, мои подборщики использовали хосты sd-22274.dedibox.fr и donau039.server4you.de.

Напоследок

Держите голову в холоде, пароль — в секрете, а плагины — обновленными до свежих версий. И не попадайтесь.

 

Полезно(6)Бесполезно(0)

One Response to “ Расход процессорного времени сайтом или Что бывает, когда кто-то подбирает к вам пароль ”

  1. Елена Петрова

    Спасибо, за подсказки. Будем знать, откуда начинать

    Полезно(0)Бесполезно(0)
Комментарии закрыты.