В статье ниже приведены приемы как защитить сайт WordPress от взлома при так называемых «атаках грубой силы» (Brute Force Attacks).
Что такое «грубые силовые атаки» (Brute Force Attacks)
«Атаки грубой силы» — это метод проб и ошибок, используемый для получения информации, такой как имя и пароль пользователя.
При грубой силовой атаке атакуемое программное обеспечение автоматически генерирует большое количество последовательных догадок относительно значения требуемых данных. Программа пробует подобрать имена пользователей и пароли снова и снова, пока не получит доступ к сайту.
Атака такого характера занимает время и вычислительные ресурсы. Успех атаки обычно основывается на используемой вычислительной мощности и количестве комбинаций, а не на гениальном алгоритме.
Рекомендации как защитить сайт WordPress в борьбе с грубыми силовыми атаками
Поскольку атаки с грубой силой довольно распространены, то в WordPress Codex имеются рекомендации для предотвращения Brute Force Attacks. Настоятельно рекомендую ознакомиться с этими рекомендациями и принять их во внимание для защиты сайта на WordPress. Ниже рассмотрим некоторые рекомендации подробнее.
1. Не используйте «Admin» в качестве имени пользователя
Это, разумеется, очевидно, но все равно об этом нужно сказать. Не используйте слово «admin» в качестве имени пользователя. «Admin» — имя администратора сайта по умолчанию при установке WordPress. При установке WP используйте как можно больше других имен (и не связывай его с именем домена или названия веб-сайта).
Если уже есть пользователь с именем «admin» — измените его. Несмотря на то, что раздел «Редактировать пользователя» сообщает что имени пользователя изменить нелься — это не совсем правда, имена пользователей изменить можно. Для этого можно использовать плагин Username Changer или можно отредактировать базу данных WordPress (что проще, чем думаете).
2. Используйте сильные пароли
Никогда не используйте слово «пароль» в качестве пароля или пароль «123456». Для создания пароля используйте кнопку «Создать пароль» при управлении учетной записью пользоватля. Или установите плагин Force Strong Password, чтобы все, кто регистрируется на сайте создавали надежные пароли.
Для хранения паролей используйте LastPass или 1Password или программу KeePass Password Safe
3. Переместите вход в систему из папки /wp-admin с помощью плагина
Изменить URL входа в админпанель сайта на Вордпресс можно несколькими способами — но в конечном итоге это сводится или к использованию плагина или к ручному редактированию кода.
По умолчанию вход в админпанель сайта на WordPress размещена по адресу <имя сайта>/wp-admin. Когда дело доходит до атаки «грубой силы» — этот адрес их первый удар. По сути, перемещая URL-адреса входа из /wp-admin вы скрываете вход от нападающих.
Два из лучших плагинов — это Loginizer и WPS Hide Login. Loginizer обладает гораздо большей функциональностью, чем просто перемещение URL-адреса.
Не рекомендуется использовать адреса для входа /login или /admin. Подумайте, что может быть уникальным для сайта, например, что-то вроде /employees или /staff. Хотя это общие слова, боты вряд ли запрограммированы на то, чтобы поражать эти адреса.
4. Переместите вход в систему из папки /wp-admin с помощью кода
Если вы такой пользователь, который предпочитает использовать плагины до минимума — то можете изменить URL-адрес вручную. Нужно будет редактировать PHP-файлы, такие как wp-config.php и .htaccess файл.
Существует несколько способов сделать это, например на форуме разработчиков WordPress development здесь или в этой статье на WordPress.org здесь.
5. Ограничьте количество попыток входа в систему
Причина, по которой атаки грубой силы настолько эффективны против WordPress, заключается в том, что попытки входа в систему по умолчанию не ограничены. Вот почему «атака грубой силы» является эффективным средством получения доступа — если они бьют головой о стену достаточно времени, в конце концов они пробьют в ней дыру.
Ограничивая количество попыток входа в систему фактически вы предотвращаете взлом.
Плагины, в которых есть ограничение попыток входа в систему:
6. Удалите неиспользуемые установки WordPress
Возможно вы установили WordPress на серверах, чтобы просто попробовать его, протестировать плагин или какую-то другую одноразовую цель, а затем намерены никогда не трогать этот сайт.
Возможно, ваш тестовый сайт «сидит» в действительно странном, запутанном субдомене основного домена (например, testsajta2018.yourdomain.com).
Но даже если вы не используете его — это рабочий сайт WordPress.
И нападающие охотятся за ним. Обычно на таком сайте не хватает плагинов безопасности, пароли не являются сильными, а имена пользователей не меняются от значения по умолчанию.
И хотя на таком сайте нет реальной информации, — но он потенциально дает хакерам доступ к вашему хосту и серверам.
Поэтому, когда нужен тестовый сайт, удалите его позже после решения задачи или используйте локальную среду разработки.
Плагины для безопасности сайта WordPress — перечень
Ниже приведен перечень ряда плагинов для обеспечения безопасности сайта на WordPress/
Удачи!
Александр Коваль
Хорошая статья! Спасибо большое
Сам пользуюсь All In One WP Security & Firewall
или же Clearfy Pro от WPShop — это не реклама, там есть и другие настройки и безопасности и SEO