Рекомендации по борьбе

с грубыми силовыми атаками на WordPress-сайт

Ранее я уже писал о простых, но эффективных способах как ограничить нежелательный доступ к служебным файлам сайта на WordPress для повышения его безопасности.

В статье ниже приведены приемы как защитить сайт WordPress от взлома при так называемых «атаках грубой силы» (Brute Force Attacks).

Что такое «грубые силовые атаки» (Brute Force Attacks)

«Атаки грубой силы» — это метод проб и ошибок, используемый для получения информации, такой как имя и пароль пользователя. При грубой силовой атаке атакуемое программное обеспечение автоматически генерирует большое количествао последовательных догадок относительно значения требуемых данных. Программа пробует подобрать имена пользователей и пароли снова и снова, пока не получит доступ к сайту.

Атака такого характера занимает время и вычислительные ресурсы. Успех атаки обычно основывается на используемой вычислительной мощности и количестве комбинаций, а не на гениальном алгоритме.

Рекомендации по борьбе с грубыми силовыми атаками

Поскольку атаки с грубой силой довольно распространены,  то в WordPress Codex  имеются рекомендации для предотвращения Brute Force Attacks. Настоятельно рекомендую ознакомиться с этими рекомендациями и принять их во внимание для защиты сайта на WordPress. Ниже рассмотрим некоторые рекомендации подробнее.

1. Не используй «Admin» в качестве имени пользователя

Это, разумеется, очевидно, но все равно об этом нужно сказать. Не используй слово «admin» в качестве имени пользователя. «Admin» — имя администратора сайта по умолчанию при установке WordPress. При установке WP используй как можно больше других имен (и не связывай его с именем домена или названия веб-сайта).

Если уже есть пользователь с именем «admin» — измени его.   Несмотря на то, что раздел «Редактировать пользователя» сообщает что имени пользователя изменить нелься — это не совсем правда,   имена пользователей изменить можно.   Для этого можно использовать плагин Username Changer или можно отредактировать базу данных WordPress (что проще, чем думаете).

2. Используй сильные пароли

Никогда не используй слово «пароль» в качестве пароля или пароль «123456». Для создания пароля используйте кнопку «Создать пароль» при управлении учетной записью пользоватля.  Или установи плагин Force Strong Password, чтобы все, кто регистрируется на сайте создавали надежные пароли.

Для хранения паролей используйте LastPass или 1Password или программу KeePass Password Safe

3. Перемести вход в систему из папки /wp-admin с помощью плагина

Изменить URL входа в админпанель сайта на Вордпресс можно несколькими способами — но в конечном итоге это сводится или к использованию плагина или к ручному редактированию кода.

По умолчанию вход в админпанель сайта на WordPress размещена по адресу <имя сайта>/wp-admin. Когда дело доходит до атаки «грубой силы» — этот адрес их первый удар.  По сути, перемещая URL-адреса входа из /wp-admin  ты скрываешся от нападающих.

Два из лучших плагинов — это Loginizer и WPS Hide Login. Loginizer обладает гораздо большей функциональностью, чем просто перемещение URL-адреса.

Не рекомендуется использовать адреса для входа /login или /admin. Подумай, что может быть уникальным для сайта,  например, что-то вроде /employees или /staff. Хотя это общие слова, боты вряд ли запрограммированы на то, чтобы поражать эти адреса.

4. перемести вход в систему из папки /wp-admin с помощью кода

Если ты такой пользователь, который предпочитает использовать плагины до минимума — то можешь изменить URL-адрес вручную.  Нужно будет редактировать PHP-файлы, такие как wp-config.php и .htaccess файл.

Существует несколько способов сделать это, например на форуме разработчиков WordPress development здесь или в этой статье на WordPress.org здесь.

5. Ограничь количество попыток входа в систему

Причина, по которой атаки грубой силы настолько эффективны против WordPress, заключается в том, что попытки входа в систему по умолчанию не ограничены.  Вот почему  «атака грубой силы» является эффективным средством получения доступа — если они бьют головой о стену достаточно времени, в конце концов они пробьют в ней дыру.  Ограничивая количество попыток входа в систему  фактически ты предотвращаешь атаку.

Плагин для ограничения попыток: Login LockDown или Limit Login Attempts, или установи соответствующие опции при использовании плагинов WordFence или Loginizer.

6. Удали неиспользуемые установки WordPress

Если ты  установил WordPress на серверах, чтобы просто поиграть с ним, протестировать плагин или какую-то другую одноразовую цель, а затем намерен никогда не трогать этот сайт.  Возможно, он «сидит» в действительно странном, запутанном субдомене основного домена (например, testsajta2018.yourdomain.com).   Но даже если  ты  используешь его, это живой сайт WordPress.

И нападающие охотятся за ним.  Обычно на таком сайте не хватает плагинов безопасности, пароли не являются сильными, а имена пользователей не меняются от значения по умолчанию.  И хотя на таком сайте нет реальной информации, — но он дает хакерам доступ к твоему хосту и серверам, что не есть хорошо.

Поэтому, когда нужен тестовый сайт, удали его позже или используй локальную среду разработки.

Плагины безопасности

Наже приведен перечень лучших плагинов для обеспечения безопасности сайта на WordPress/

  • Loginizer
  • MalCare Security
  • Sucuri
  • WordFence
  • iThemes Security
  • Jetpack (или VaultPress)
  • All-in-One WP Security and Firewall

Поделись в комментариях что ты вы используешь для защиты сайтов WordPress от угрозы нападений?

Александр Коваль