Твит

Многие веб мастера имеющие свои сайты на WordPress не так давно узнали о том, что производится массовый подбор паролей к скрипту авторизации wp-login.php, а некоторые даже стали жертвами злоумышленников.

Когда я только развернул свой блог на WordPress то сразу исключил такую возможность для злоумышленников, и сделал это с помощью HTTP аутентификации для доступа к скрипту wp-login.php

Но и здесь все не так гладко. Существует объект XMLHttpRequest который относится к API и является доступным скриптовым языкам которые используются браузерами. На основе объекта XMLHttpRequest и языка javascript злоумышленнику ничего не помешает написать полноценный брутфорс, который будет получать статусы ответа веб сервера при попытке авторизации.

Твит

Всё началось с того, что 1 августа 2013 года у многих пользователей начали сначала сильно тормозить сайты, а вскоре и вовсе отключились, ввиду огромной нагрузки на сервер, вызванной множественными подборами паролей. На всех популярных форумах десятками стали появляться темы о том, что у людей взламывают сайты или они просто переставали работать. При этом тех поддержка многих хостинговых компаний не отвечала - как выяснилось позже, они были очень загружены тысячами поступавших сообщений о неработоспособности сайтов, поэтому не смогли ответить всем вовремя.

Твит

Что такое Brute Force Attack и какие почтовые ящики больше всего уязвимы перед брутом?
Как происходит взлом пароля почтового ящика.
Ну и конечно же, какие почтовые сервисы являются наиболее защищенными от Brute Force.
Лично мне достаточно часто приходится восстанавливать пароли к своим второстепенным почтовым ящикам, и специально для этого я когда-то еще в 2004 году разработал утилиту перебора паролей на Delphi, она конечно претерпела достаточно большие изменения, но даже тот, самый первый брут отлично справляется с восстановление паролей на mail и yandex.ру.
Но оговорюсь сразу, что мой словарь паролей не такой большой, и содержит все возможные именно мои пароли, которые я иногда меняю и потом просто забываю об этом.