Depuis ce matin, de nombreuses attaques ciblées ont lieu sur certains sites gérés par ASIP, sur le serveur, mais également sur des sites hébergés hors ASIP. C’est « mondial ». L’attaque se limite à de la recherche de mot de passe sur 3 identifiants: admin, administrator et « nomdusite ». L’attaque est intelligente: pas plus d’un essai par IP par minute, afin de passer les protections par défaut.
ASIP a une politique relativement ferme sur le sujet:
- interdiction d’utiliser les identifiants « admin » et « adminsitrator », donc aucun risque que les pirates trouvent les mots de passe, ces comptes n’existent pas.
- ban immédiat de l’IP en cas d’utilisation d’un identifiant inconnu
- ban de l’IP en cas d’erreurs de mots de passe sur un identifiant connu, sur 60 minutes. Pour ceux qui avaient une tolérance à 3 erreurs en 60 minutes, elle est temporairement ramenée à 1 le temps de l’attaque.
Ces mesures bloquent l’attaque actuelle de manière très efficace. La surveillance restera active sur l’ensemble des sites géré le temps de l’attaque.
Edit: Cette attaque est différente des précédentes. En général, lors d’une attaque, un petit groupe de machines teste des mots de passe en boucle sur une cible. Dans le cas présent, chaque machine ne teste qu’un ou deux mot de passe, puis passe à un autre site. Cela limite l’efficacité des protections (en dehors, comme chez ASIP, d’une absence de compte « admin » qui rend l’attaque totalement vaine). Face a ce constat, une idée est apparue: la mutualisation des ban. Actuellement, chaque site hébergé par ASIP est totalement indépendant des autres. Chacun est enfermé dans sa bulle sécurisée, chaque site gère sa sécurité. En accord avec nos clients les plus populaires (et donc les plus ciblés), nous allons mutualiser les ban. Une IP bannie par UN site sera bannie aussi des autres sites. Il y a un petit risque qu’une IP légitime soit bannie, mais en comparaison des avantages, le risque, nous le prenons. L’un des avantages de cette mutualisation, c’est que l’IP sera bannie au niveau serveur, et non plus au niveau application.
Edit #2 (11/03/2017): L’attaque se poursuit, toujours en vain. Une nouvelle protection a été activée sur la plupart des sites gérés, à savoir le changement de nom de la page de connexion. Nous n’avions pas activé cette fonction par défaut, car elle empêche l’administration de WordPress depuis un logiciel externe, que certains clients utilisent. Mais la sécurité prime sur le confort, les url /wp-admin et /login.php ne sont plus disponibles et donc les pirates reçoivent une erreur 404.