Na semana passada, na segurança op-ed cibernética do presidente no Wall Street Journal, ele implorou americanos para ir além senhas simples e para activar a autenticação de dois fatores ou  celular sign-in .

Uma das coisas que monitoram a Wordfence é o número de ataques de força bruta em sites WordPress. ataques de força bruta são adivinhação de senha ataques, onde um atacante tenta entrar no como você por adivinhar a senha.

Para dar uma idéia do nível de ataques no estado selvagem, reunimos dados sobre ataques de força bruta em todo os locais que protegem dentro de uma janela de 16 horas a partir de domingo até segunda-feira (ontem) em 14:00, hora do Pacífico.

Aqui estão os destaques. Lembre-se, esta é apenas mais uma  janela de 16 horas , que é relativamente curto.

Durante esse tempo, vimos um total de  6,611,909 ataques  visando  72,532 sites individuais . Vimos ataques durante este tempo a partir de 8.941 endereços IP exclusivose o número médio de ataques por website vítima era 6,26 .

O número total de atacar IP da era, na verdade 55.391, mas nós só contados do IP que gerou mais de 10 logins que falharam em todos os sites. Dessa forma, foram excluídos falhas de login acidentais.

Então, onde estão esses ataques provenientes. Os resultados não são o que você esperaria. A tabela abaixo mostra o número total de ataques (tentativas de login força bruta neste caso) ordenados por país:

Os ataques de força bruta por país.

A Ucrânia é o topo agressor , mas há uma razão específica para isso que explicamos a seguir. Os Estados Unidos é o segundo. Nossa hipótese é que este é onde a maioria dos centros de dados são baseados e, portanto, locais mais comprometidos, a partir do qual são lançados ataques, serão baseados nos EUA.

Você vai notar que a Ucrânia está no topo da lista. Mais de 86% desses ataques vêm de apenas dois endereços IP em um provedor de hospedagem ucraniana. Estes dois IP do gerado 2,4 milhões de ataques entre os dois . 

Durante apenas 16 horas, eles visaram 37,454 vítimas únicas. 

Os dois atacantes que analisamos são baseados em um provedor de hospedagem ucraniana. Eles causaram a sua provedor de hospedagem ucraniana para contabilizar mais ataques do que os próximos 19 provedores de hospedagem, combinados.

Atualmente, agregar informações ataque a uma taxa de 114 ataques por segundo.Analisando dados como este em Wordfence nos ajuda a entender a paisagem ataque mudando e como proteger melhor os nossos clientes.

O que você pode fazer para se proteger?

Em primeiro lugar, verifique se você está executando a versão gratuita ou brinde de Wordfence e que você tem o recurso de "rede de segurança Wordfence" habilitado. Ele é ativado fora da caixa em Wordfence. Com esse recurso ativado, se você receber um login falha de um endereço IP, Wordfence entrará em contato com os nossos serviços em nuvem para descobrir se esse IP é um dos atacantes que conhecemos (como os dois acima). Se for, ele será imediatamente bloqueado de iniciar sessão, protegendo o seu site a partir de um ataque de força bruta. O atacante não vai mesmo começar o padrão de 3 ou 5 tentativas antes que eles sejam bloqueados.

Wordfence também fornece  tentativa de login limitando fora da caixa nas versões livres e premium. WordPress não faz isso por padrão, então certifique-se que esta habilitado.

Em seguida, como Obama sugere, permitir login celular para o seu site WordPress . Este recurso está disponível na versão Premium do Wordfence e é fácil de ativar. Você pode aprender mais sobre o sign-in telefone celular em nosso site documentação .

Realizar uma auditoria de senha

Wordfence premium dá-lhe a capacidade de auditar com segurança a força de todas as suas senhas de membros do site , incluindo seus administradores. Para lançar esse recurso no ano passado, nós trabalhamos de perto com nossos parceiros para construir um supercomputador com mais de 40 Terraflops de poder de processamento. Isso é mais rápido do que o computador mais rápido do mundo em 2003.

personalizado construído hardware senha de auditoria do Wordfence está na foto acima.Baseia-se no nosso centro de dados em Lynnwood, Washington e usa de muito alto desempenho GPU para auditar a segurança de suas senhas.

Ao realizar uma auditoria senha com Wordfence, você pode lançar um ataque quebra de senha simuladas em todas as senhas membro local, incluindo os administradores.Wordfence, então, fornecer um relatório de que representa sofrem de senhas fracas.

Senha Auditoria é completamente seguro e usa uma combinação de hashing e criptografia de chave pública para proteger seus dados. Depois de receber os resultados, Wordfence fornece uma maneira para que você possa notificar os usuários que têm uma senha fraca ou para forçar uma alteração de senha.

Se você ainda não completou uma auditoria senha em seu site, atualizar para Wordfence premium e começar uma auditoria hoje.

Vá profundamente na senha de segurança

a segurança da senha é um grande assunto. Para compreender por que razão as senhas fortes são importantes e como os atacantes alvo senhas fracas, você precisa ganhar uma compreensão de hashing, sais de senha e métodos de ataque como tabelas do arco-íris, como sais de trabalho e por isso moderna GPU de dar atacantes uma enorme vantagem.

Como parte do nosso livre WordPress Segurança Learning Center , criamos uma lição abrangente que explica tudo isso e muito mais, incluindo melhorias emergentes em algoritmos de senha . A lição é projetado para ser um lugar que os professores e professores universitários podem enviar os seus estudantes para obter uma cartilha sobre segurança de senha e autenticação de senha.

Se você investir o tempo para ler esta lição, você vai sair com um completo entendimento de muitos conceitos fundamentais de segurança que você irá usar toda a sua carreira como administrador de sistemas.

Esteja avisado, não puxar qualquer socos. Então, se você decidir mergulhar, certifique-se de fazer uma chávena de algo quente e atribuir pelo menos uma hora para ler toda a lição.

Uma vez completo, você terá uma compreensão bem fundamentada da segurança da senha, autenticação de senha e técnicas de ataque modernos. Nós até mesmo jogar em alguma teoria número para ajudá-lo a entender o que torna uma senha forte.

Você pode encontrar a lição completa sobre autenticação de senha e quebra de senha clicando aqui .

Como sempre, por favor, compartilhe seus pensamentos abaixo e obrigado por ser parte de Wordfence e nossa comunidade