WordPress (WP) je nepochybne najrozšírenejší opensource projekt pre webové stránky, ktorý je založený na skriptovacom jazyku PHP. Je využiteľný takmer na akúkoľvek web prezentáciu, či už sa jedna o firemné stránky, eshopy, blogy, osobne stránky, spravodajské weby atď. WP beží aj na mojom Apache2 servery a dnes som sa rozhodol, že netbotom trocha sťažím prácu.
Ako je známe, tak WP používa defaultne pre administračné rozhranie url /wp-login.php, prip. /wp-admin, ktory smeruje na /wp-login.php. To znamená, že ak poznáme nejaký web, ktorý beží na WP, tak do admin rozhrania sa vieme dostať pomocou url, jednoduchým zadaním
www.nejaky-web.sk/wp.login.php
www.nejaky-web.sk/wp-admin
www.nejaky-web.sk/login
www.nejaky-web.sk/admin
Ak web nemá presmerované admin rozhranie na inú adresu, tak by sa nám mal zobraziť následujúci formulár na prihlásenie sa do admin rozhrania
Teraz môžeme skúšať, rôzne prihlasovacie mená a heslá až sa nám to možno podarí a získame úplnú kontrolu nad webom. NetBoti, takto skenujú internet a keď nájdu web, kde sa im zobrazí takýto formulár, tak začnú testovať rôzne mená a heslá. NetBot to samozrejme nerobí ako človek, ale je naprogramovaný tak, že skúša mená a heslá z rôznych databáz v ktorých sú uložené najčastejšie mená a heslá, alebo skúsi login prelomiť hrubou silou. NetBoti sú sofistikovaný a dokážu sa maskovať za rôzne IP adresy, takže nejaký plugin, ktorý zabraňuje určitému počtu pokusov o prihlásenie z jednej IP adresy nám veľmi nepomôže. Určite existujú aj iné pluginy, ktoré dokážu NetBotom znemožniť použitie hrubej sily, ale mi si ukážeme ako vôbec predísť aby sa NetBot vôbec k prihlasovaciemu formuláru dostal.
Pluginov na zmenu url prihlasovacej stránky je určite viac. Ja som siahol po jednoduchom plugine zvanom WPS Hide Login. Inštalácia a nastavenie pluginu je veľmi jednoduché. V administračnom rozhraní klikneme na
Pluginy -> Pridať nový
Do poľa Kľúčové slovo napíšeme WPS Hide Login, následne klikneme na button Nainštalovať a po inštalácii klikneme na Aktivovať
Plugin sa nám pridá k už aktivovaným pluginom a potom môžeme kliknúť na nastavenia pluginu. Pri nastavovaní pluginu nemáme veľa možnosti. Do prvého poľa zadáme novú url, ktorou sa budeme prihlasovať do admin rozhrania a do druhého poľa zadáme url, kde budú presmerovaný tý, ktorí by sa chceli na web prihlásiť neoprávnene.
Čiže do prvého poľa môžeme dať čo uznáme za vhodné. Nezisťoval som, či plugin akceptuje rôzne znaky, ale klasické alfa numerické znaky by mu nemali robiť problém. Skúsil som použiť znak „+“ ale tento znak nebol povolený. Plugin nevypísal žiadnu chybu, ale po uložení znak „+“ bol z url odstránený Čo sa týka druhého poľa, tak odporúčam nechať v poli hodnotu 404 To je odkaz na chybovú stránku, ktorá sa zobrazí ak sa na webe požadovaná stánka nenašla. Každý WP, alebo WP šablóna obsahuje chybovú stránku 404, takže ju nemusíme vytvárať ručne.
Záver
Je dobré zapamätať si akú url používame pre prihlásenie sa do admin rozhrania. Ak to zabudneme, tak môže nastať problém a my sa do web administrácie nedostaneme. Samozrejme, že je možne sa k tomu dopátrať napr. cez mySQL databázu a položku whl_page v tabuľke _options. Hodnota je zapísaná v plain texte, takže nebude problém ju vyčítať, alebo zmeniť. Apropo dnes sme si predstavili jednoduchý plugin, ktorý aspoň z časti zabráni NetBotom pristupovať k logovaciemu formuláru. Ak by sa náhodou nejaký hacker dostal do web rozhrania nášho WP a znemožnil nám prístup do administrácie, tak silne predpokladám, že každý správny web admin, WP zálohuje aspoň 1x denne, príp. po každej zmene, ktorú na webe urobí.