Thousands of Wordpress blogs compromised to perform DDOS attack
nepřeložíme jako
Tisíce blogů běžících na Wordpressu bylo kompromitováno DDoS útokem
ale jako:
Tisíce blogů běžících na Wordpressu bylo kompromitováno za účelem vedení DDoS útoků.
Imho podle definice DDOS je, lze službu tímto způsobem zahltit, ale nikoli kompromitovat. A pak dává celá zpráva smysl, tedy, že majitelé blogů umožňují zneužití svých webů špatným zabezpečením.
Abych jenom nepindal, tak si myslím, že nápravu stavu by mohl(i) zařídit vývojář(i) Wordpress, naprogramováním vynucení nastavení administrátorského hesla. Tj. vyměnit vyšší bezpečnost výměnou za pohodlí uživatelů -> méně uživatelů. :)
Myslím si, že musí existovat free implementace rozumné politiky hesel, jde pouze o to ji vzít a použít.
Ovšem jak říkám, uživatelé jsou pohodlní a na tuto změnu budou nadávat.
Uzivatele stim maji malo co docineni ... muzu ti povedet, jak to chodilo v jedne bance.... Meli nastavene politiky tak, ze vsichni si museli hesla menit co 14 dnu, system si pamatoval historii 2 roky, samo delka minimalne asi 12 znaku, maly veky, cisla, ruzny znaky ... a navic kontrolovali, jestli si to lidi nepisou na papirky.
Vysledek? Vsichni meli porad stejna hesla ... kterym jen menili nejakou cast podle aktualniho data. Takze slo defakto naprosto bez problemu urcit aktualni heslo z libovolneho historickeho. A samo, naprosto s klidem pouzivali stejne heslo (nebo tu nemennou cast) kdekoli jinde - klidne i na prihlasovani kamkoli na web.
Když zjistím heslo jednoho majitele webblogu a ovládnu jeho web, je to jen jeho problém.
Když ale dokážu zadáním admin/admin ovládnout velké množství počítačů, takže jsou použitelné pro DDOS útok, je to problém vícero lidí a i těch, kteří z tím heslem nemají vůbec nic společné. Věřím, že jednoduchá kontrola, zda heslo splňuje politiku, při přihlašování by tomuto problému mohlo zabránit.
Nevím jak je to ve WP, ale dokážu si představit hlášku: OK, heslo se shoduje s konfiguračním souborem, ale nesplňuje politiku, ...
