90 tisíc blogů na WordPressu doplatilo na uživatelské jméno „admin“

90 tisíc počítačů není sice nějak velký botnet, malý ale rozhodně není také. Hlavně tehdy, když jde o webové servery, na kterých jsou hostována data nejrůznějších nezabezpečených blogů. Jak takový nezabezpečený blog na WordPressu vypadá? Především nemá změněné přednastavené jméno administrátorského účtu „admin“. Pokud se k tomu přičte snadno odhadnutelné heslo, může být problém na světě dřív, než by člověk své 12345 do řádku pro zadání hesla stihl napsat.

Během útoků, které začaly během minulého týdne, již padlo do nepovolaných rukou přes 90 tisíc blogů na WordPressu. Útočníci jednoduše zkouší kombinaci uživatelského jména admin a postupně tisícovky nejpoužívanějších hesel na internetu. Pokud jim některá kombinace u blogu vyjde, jsou následně přes administrátorská práva schopni jej přidat do svého botnetu, a co především, pokud je blog hostován na webovém serveru, mohou z něj útočit na další uživatele.

Zakladatel WordPressu Matt Mullenweg proto všem uživatelům radí, aby si změnili uživatelé jméno z původního admin, pokud tak ještě neučinili. Dalšími kroky, které jejich bezpečnost dále zvýší, je používání sofistikovaného hesla, dvoufázová verifikace při přihlašování a samozřejmě použití aktuální verze systému WordPress.

Via Mashable