Способы защиты сайта на WordPress от Brute-Force атак

Независимо от того, являетесь ли вы новичком в WordPress или опытным разработчиком, вы можете быть удивлены тем, насколько часто ваши сайты подвергаются атакам.  В большинстве случаев злоумышленник - это автоматизированный бот. И на вас он нацелен просто потому, что вы используете систему WordPress. Как самая популярная система управления контентом (CMS), она постоянно находится прямо под прицелом злоумышленников.

Несмотря на то, что существует множество различных атак, методы Brute-Force (грубой силы) являются одними из самых популярных. Рассмотрим, что такое атаки методом перебора и какими способами лучше защитить свой сайт WordPress.

Что такое атака Brute-Force?

Согласно Википедии, это атака методом перебора «… Состоит из того, что злоумышленник отправляет множество паролей или кодовых фраз в надежде, что в конечном итоге угадает их правильно».

В реальном мире это означает, что вредоносный сценарий запускается неоднократно, вводя имена пользователей и пароли на страницу входа в WordPress. Таких попыток в день можно увидеть сотни и даже тысячи.

Конечно, если бы все это было совершенно случайным образом, было бы довольно сложно успешно войти на сайт с помощью такой техники. Но есть две основные причины, по которым эти атаки иногда могут работать:

• Использование не надежных учетных данных для входа, например, использование популярного имени пользователя и пароля.
• Использование учетных данных, которые ранее были использованы в другом месте.

Если существует какой-либо из этих сценариев, это увеличивает шансы на успешную атаку. И как только злоумышленник получит доступ к вашей панели управления WordPress, он может нанести любой ущерб вашему ресурсу.

Но даже в случае неудачи подбора пароля эти атаки могут истощать ресурсы сервера. Поэтому важно разработать правила, которые помогут максимально уменьшить их ущерб.

Но даже в случае неудачи подбора пароля эти атаки могут истощать ресурсы сервера.

К счастью, есть ряд действий, которые вы можете сделать, чтобы усилить защиту сайта WordPress от Brute-Force атак. Самый простой из них - это принятие мер безопасности, основанных на здравом смысле, таких как использование надежных паролей и практически всего, кроме «admin, administrator, webmaster, superadmin, test, testadmin» в качестве имени пользователя. Сами по себе эти шаги сделают ваш сайт более трудным для взлома.

Однако вы можете предпринять еще более серьезные действия, в том числе:

Как ограничить доступ к странице входа WordPress?

В зависимости от настроек вашего веб-сервера вы можете заблокировать доступ к странице входа в WordPress для всех, кроме определенной группы или диапазона IP-адресов. Например, на сервере Apache это можно сделать с помощью файла .htaccess.

Предостережение заключается в том, что эта стратегия зависит от администраторов, имеющих статический IP-адрес. В корпоративной среде, скорее всего, так и будет. Однако другие сценарии могут усложнить этот метод. В официальной документации WordPress есть еще несколько советов, на которые стоит обратить внимание.

✓ Защита паролем страницы входа на уровне сервера. Хотя это добавляет немного неудобств, но помогает гарантировать, что только авторизованные пользователи получают доступ к панели управления. Например, можно установить пароль на любую директорию с помощью настроек в cPanel или защитить файлы и директории в Apache или Nginx. 

✓ Смена url адреса административной панели

Это можно сделать вручную с помощью редактирования файла wp-login.php, или же использовать для этого специальный плагин WPS Hide Login. 

✓ Используйте специальные плагины

Существует ряд плагинов WordPress, предназначенных для обеспечения безопасности, с несколькими функциями, предназначенными для защиты от атак методом Brute-Force. Некоторые из наиболее популярных вариантов включают:

• Функция Jetpack «Protect», которая блокирует нежелательные попытки входа в систему.
• Wordfence использует несколько специфичных для входа в систему мер, таких как двухфакторная аутентификация, reCAPTCHA и защита от перебора. Существует также дополнительный плагин, который ориентирован исключительно на безопасность входа в систему.
• Login LockDown - это плагин, предназначенный для ограничения попыток перебора. Он автоматически блокирует неправильные IP-адреса после определенного количества неудачных попыток входа в систему.
• iThemes Security предлагает несколько средств защиты, связанных с входом в систему, включая защиту от перебора, двухфакторную аутентификацию и возможность переименовать папку / wp-admin / для защиты от ботов.

Использование CDN как привентивной меры от атак

Сети доставки контента (CDN) не только улучшают производительность вашего сайта, но и предлагают дополнительное преимущество, выступая в качестве барьера между вредоносными ботами и WordPress.

Поставщики CDN часто включают методы блокировки доступа IP-адресов или даже целых стран к вашему сайту (или, по крайней мере, к вашей панели управления). В зависимости от службы, которую вы используете, также могут быть средства защиты, специально нацеленные на остановку атак.

Купить CDN

Преимущество этого подхода в том, что вы можете значительно снизить нагрузку на свой веб-сервер. Брандмауэр CDN останавливает злоумышленников еще до того, как они достигнут вашего сайта. Это похоже на гигантскую мухобойку перед вашим домом, которая отгоняет вредителей до того, как они доберутся до вашей входной двери.

CDN выступает в качестве барьера между вредоносными ботами и WordPress. 

Когда дело доходит до безопасности, примените все методы. К сожалению, ничего не предпринимать для борьбы с подборами входа в систему не является жизнеспособным вариантом. Эти атаки являются повсеместными и безжалостными.

Мы должны принимать превентивные меры. К счастью, это не так уж и сложно. Приведенные выше варианты, хотя и не идеальны на 100%, их довольно легко реализовать. И каждый из них значительно усложняет задачу среднестатистическому боту. Кроме того, если подумать, относительная стоимость предотвращения этих атак сейчас намного меньше, чем необходимость иметь дело со взломанным сайтом позже.  Перевод с блога 1stwebdesigner.com.