W styczniu 2014 roku (tak, to już 6 lat minęło), zrobiłem krótkie podsumowanie eksperymentu, podczas którego przez 4 miesiące zapisywałem wszystkie próby logowania do mojego WordPressa. Nieudanych prób było wówczas około 11 000. Aktualizując ostatnio WordPressa zauważyłem, że kod zapisujący wszelkie próby logowania wciąż działa. Zalogowałem się do bazy danych i przygotowałem kilka statystyk :)
Statystyki
Przez ostatnie 6 lat było prawie 1 700 000 (tak, to jest milion siedemset tysięcy) prób nieautoryzowanego logowania do panelu administratora. Prawie 400 000 prób przez przez formularz logowania i 1 300 000 razy korzystając z XML-RPC.
Sposób logowania | Ilość prób |
Przez formularz | 372 064 |
XML-RPC | 1 325 554 |
Włamywacze najczęściej testowali loginy powiązane z nazwą strony, oraz nieśmiertelne admin, administrator, support, test. Ogólnie wypróbowali ponad 14 000 różnych loginów. Poniżej lista tych popularniejszych i ciekawszych.
Login | Ilość prób |
wpsamurai | 747 983 |
admin | 592 348 |
wpsamurai.pl | 117 934 |
administrator | 56 343 |
test | 11 059 |
support | 5 491 |
admin123 | 156 |
wordpress | 72 |
admin@wpsamurai.pl | 43 |
wpsamurai_admin | 35 |
Sprawdziłem też, czy zmieniły się preferencje, co do testowanych haseł. Tutaj mamy zdecydowanie większą różnorodność niż w przypadku loginów. Liczba różnych haseł przekroczyła 210 000. Poniżej zestawienie tych najpopularniejszych.
Hasło | Ilość prób |
admin | 6 728 |
wpsamurai | 3 035 |
wpsamurai.pl | 2 775 |
123456 | 1 347 |
password | 1 156 |
1 | 983 |
admin123 | 906 |
12345 | 901 |
123456789 | 872 |
123123 | 858 |
Wśród pomysłów na pewno warto wyróżnić też pawel, qwerty, adminadmin, qwe123, fuck, penis, kończąc na swojskim dupa.
Podsumowanie
Przez ostatnie 6 lat nic się nie zmieniło. Włamywacze jak próbowali tak próbują zalogować się do strony, przejąć nad nią kontrolę i wykorzystać do swoich celów lub po prostu zniszczyć. Pamiętajcie więc o dobrych praktykach i nie dajcie się :)
Media:
Animowany gif na górze strony jest fragmentem z filmu Bruce Wszechmogący.