коментарів
Поділитися статтею:

Способи захисту сайту на WordPress від Brute-Force атак

08.06.2021 632 на прочитання 5 хвилин

Незалежно від того, чи є ви новачком в WordPress або досвідченим розробником, ви можете бути здивовані тим, наскільки часто ваші сайти піддаються атакам. У більшості випадків зловмисник - це автоматизований бот. І на вас він націлений просто тому, що ви використовуєте систему WordPress. Як найпопулярніша система управління контентом (CMS), вона постійно знаходиться прямо під прицілом зловмисників.

Незважаючи на те, що існує безліч різних атак, методи Brute-Force (грубої сили) є одними з найпопулярніших. Розглянемо, що таке атаки методом перебору, і якими способами краще захистити свій сайт WordPress.brute-force-attack


Що таке атака Brute-Force?

Згідно Вікіпедії, це атака методом перебору «... Складається з того, що зловмисник відправляє безліч паролів або кодових фраз в надії, що в кінцевому підсумку вгадає їх правильно».

У реальному світі це означає, що шкідливий сценарій запускається неодноразово, вводячи імена користувачів і паролі на сторінку входу в WordPress. Таких спроб в день можна побачити сотні і навіть тисячі.

Звичайно, якби все це було абсолютно випадковим чином, було б досить складно успішно увійти на сайт за допомогою такої техніки. Але є дві основні причини, через які ці атаки іноді можуть працювати:

-Використання ненадійних облікових даних для входу, наприклад, використання популярного імені користувача та пароля.

-Використання облікових даних, які раніше були використані в іншому місці.

Якщо існує будь-якої з цих сценаріїв, це збільшує шанси на успішну атаку. І як тільки зловмисник отримає доступ до вашої панелі управління WordPress, він може нанести будь-яку шкоду вашому ресурсу.

Але навіть у разі невдачі підбору пароля, ці атаки можуть виснажувати ресурси сервера. Тому важливо розробити правила, які допоможуть максимально зменшити їх шкоду.

На щастя, є ряд дій, які ви можете зробити, щоб посилити захист сайту WordPress від Brute-Force атак. Найпростіший з них - це заходи безпеки, засновані на здоровому глузді: використання надійних паролів і практично все, крім «admin, administrator, webmaster, superadmin, test, testadmin» в якості імені користувача. Самі по собі ці кроки зроблять ваш сайт більш важким для злому.

Як обмежити доступ до сторінки входу WordPress?

Залежно від налаштувань вашого веб-сервера, ви можете заблокувати доступ до сторінки входу в WordPress для всіх, крім певної групи або діапазону IP-адрес. Наприклад, на сервері Apache це можна зробити за допомогою файлу .htaccess.

Застереження полягає в тому, що ця стратегія залежить від адміністраторів, що мають статичну IP-адресу. У корпоративному середовищі, швидше за все, так і буде. Однак інші сценарії можуть ускладнити цей метод. В офіційній документації WordPress є ще кілька порад, на які варто звернути увагу.

✓ Захист паролем сторінки входу на рівні сервера. Хоча це додає трохи незручностей, але допомагає гарантувати, що тільки авторизовані користувачі отримують доступ до панелі управління. Наприклад, можна встановити пароль на будь-яку директорію за допомогою налаштувань в cPanel або захистити файли і директорії в Apache або Nginx.

✓ Зміна url адреси адміністративної панелі

Це можна зробити вручну за допомогою редагування файлу wp-login.php, або ж використовувати для цього спеціальний плагін WPS Hide Login.

✓ Використовуйте спеціальні плагіни

Існує ряд плагінів WordPress, призначених для забезпечення безпеки, з декількома функціями, призначеними для захисту від атак методом Brute-Force.

Деякі з найбільш популярних варіантів включають:

Функція Jetpack «Protect», яка блокує небажані спроби входу в систему

Wordfence використовує кілька специфічних для входу в систему заходів, таких як двофакторна аутентифікація, reCAPTCHA і захист від перебору. Існує також додатковий плагін, який орієнтований виключно на безпеку входу в систему.

Login LockDown - це плагін, призначений для обмеження спроб перебору. Він автоматично блокує неправильні IP-адреси після певної кількості невдалих спроб входу в систему.

iThemes Security пропонує кілька засобів захисту, пов'язаних з входом в систему, включаючи захист від перебору, двофакторну аутентифікацію і можливість перейменувати папку / wp-admin / для захисту від ботів.

Використання CDN як превентивного заходу від атак

Мережі доставки контенту (CDN) не тільки покращують продуктивність вашого сайту, але і пропонують додаткову перевагу, виступаючи в якості бар'єру між шкідливими ботами і WordPress.

Постачальники CDN часто включають методи блокування доступу IP-адрес або навіть цілих країн до вашого сайту (або, принаймні, до вашої панелі управління). Залежно від служби, яку ви використовуєте, також можуть бути засоби захисту, спеціально націлені на зупинку атак.

CDN виступає в якості бар'єру між шкідливими ботами і WordPress.

Перевага цього підходу в тому, що ви можете значно знизити навантаження на свій веб-сервер. Брандмауер CDN зупиняє зловмисників ще до того, як вони досягнуть вашого сайту. Це схоже на гігантську мухобойку перед вашим будинком, яка відганяє шкідників до того, як вони доберуться до ваших вхідних дверей.

Підключити CDN

Коли справа доходить до безпеки, застосовуйте всі методи. На жаль, нічого не робити для боротьби з підборами входу в систему не є життєздатним варіантом. Ці атаки є повсюдними і безжальними.

Ми повинні вживати превентивних заходів. На щастя, це не так вже й складно. Наведені вище варіанти, хоча і не ідеальні на 100%, їх досить легко реалізувати. І кожен з них значно ускладнює завдання середньостатистичному боту. Крім того, якщо подумати, відносна вартість запобігання цих атак зараз набагато менше, ніж необхідність мати справу зі зламаним сайтом пізніше. Переклад з блогу 1stwebdesigner.com.


Close Screen
Alla Rud
Статей: 1186
Оцініть статтю:


Дякую за відгук
Рейтинг: 5 з 5 Голосів: 1