Na moją stronę próbowano włamać się już 1,7 mln razy!

W styczniu 2014 roku (tak, to już 6 lat minęło), zrobiłem krótkie podsumowanie eksperymentu, podczas którego przez 4 miesiące zapisywałem wszystkie próby logowania do mojego WordPressa. Nieudanych prób było wówczas około 11 000. Aktualizując ostatnio WordPressa zauważyłem, że kod zapisujący wszelkie próby logowania wciąż działa. Zalogowałem się do bazy danych i przygotowałem kilka statystyk :)

Statystyki

Przez ostatnie 6 lat było prawie 1 700 000 (tak, to jest milion siedemset tysięcy) prób nieautoryzowanego logowania do panelu administratora. Prawie 400 000 prób przez przez formularz logowania i 1 300 000 razy korzystając z XML-RPC.

Sposób logowaniaIlość prób
Przez formularz372 064
XML-RPC1 325 554

Włamywacze najczęściej testowali loginy powiązane z nazwą strony, oraz nieśmiertelne admin, administrator, support, test. Ogólnie wypróbowali ponad 14 000 różnych loginów. Poniżej lista tych popularniejszych i ciekawszych.

LoginIlość prób
wpsamurai747 983
admin592 348
wpsamurai.pl117 934
administrator56 343
test11 059
support5 491
admin123156
wordpress72
admin@wpsamurai.pl43
wpsamurai_admin35

Sprawdziłem też, czy zmieniły się preferencje, co do testowanych haseł. Tutaj mamy zdecydowanie większą różnorodność niż w przypadku loginów. Liczba różnych haseł przekroczyła 210 000. Poniżej zestawienie tych najpopularniejszych.

HasłoIlość prób
admin6 728
wpsamurai3 035
wpsamurai.pl2 775
1234561 347
password1 156
1983
admin123906
12345901
123456789872
123123858

Wśród pomysłów na pewno warto wyróżnić też pawel, qwerty, adminadmin, qwe123, fuck, penis, kończąc na swojskim dupa.

Podsumowanie

Przez ostatnie 6 lat nic się nie zmieniło. Włamywacze jak próbowali tak próbują zalogować się do strony, przejąć nad nią kontrolę i wykorzystać do swoich celów lub po prostu zniszczyć. Pamiętajcie więc o dobrych praktykach i nie dajcie się :)

Media:
Animowany gif na górze strony jest fragmentem z filmu Bruce Wszechmogący
.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *