Як захистити сайт WordPress від атак Brute Force?

20.03.2019
Дізнайтеся як захистити сайт WordPress від атак Brute Force
Автор:

Щодня тисячі веб-сайтів ламаються інтернет-хакерами. Можливо ви думаєте, що ніколи не станете їх ціллю, але будь-яка слабкість сайту є потенційною можливістю для хакерів. Існують спеціальні автоматизовані інструменти, які сканують веб-сайти для пошуку незахищених платформ.

WordPress дуже вразливий до хакерських і бот-атак. Wordfence повідомляє про 90 000 атак на WP-сайти щохвилини. Однією з найпоширеніших вразливостей веб-сайтів WordPress є атака Brute Force.

Команда InternetDevels пояснює що таке атаки Brute Force на WordPress та як захиститися від них. 

Що таке атаки Brute Force на WordPress? 

Атака Brute Force — це метод, який хакери використовують для отримання доступу до веб-сайту WordPress. Замість того, щоб шукати вразливість в програмному забезпеченні, Brute Force намагається отримати доступ, вводячи логін і паролі доти, доки комбінація не буде успішною.

Логіни Brute Force роблять кілька повторних HTTP-запитів і перевантажують пам'ять хостинг-сервера. Навіть якщо хакер не отримав доступ до веб-сайту, перевантаження веб-сервера може призвести до потенційної аварії.

  • найпопулярніші імена користувачів, що атакуються: admin, Admin, administrator, test, root
  • найпопулярніші паролі, що атакуються: password, 12345678, 123admin, 123abc, qwerty

How to stop WordPress brute force attacks?

1. Створіть унікальне ім'я адміністратора.

При створенні облікового запису адміністратора для платформи WordPress ніколи не слід використовувати ім'я користувача "admin" або що-небудь подібне.

Хакери Brute Force використовують список найбільш поширених імен користувачів і паролів, перш ніж перейти до більш складних комбінацій. Щоб захистити себе від атак Brute Force, виберіть випадкове ім'я користувача з символами верхнього та нижнього регістрів разом з номерами. Ім'я користувача настільки ж важливе, як і пароль.

2. Створіть надійний пароль. 

Пароль є ключем для отримання доступу до веб-сайту. Дуже важливо використовувати надійні паролі не тільки для облікового запису користувача WordPress, але й для FTP, панелі керування базами даних і веб-хостингу.

Щоб створити надійний пароль, не слід використовувати окремі словникові слова, їх комбінації або навіть фрази. Надійний пароль — це комбінація цифр, літер та спеціальних символів.

3. Встановіть плагіни Brute Force.

Плагіни Brute Force для WordPress в основному спрямовані на заборону певної IP-адреси після Х спроби отримати доступ до веб-сайту.

Професійні хакери з доступом до тисяч IP-адрес легко долають ці плагіни. Тому не слід покладатися лише на це рішення.

Найкращі плагіни Brute Force для WordPress:

4. Додайте двофакторну аутентифікацію.

Двофакторна аутентифікація додає додатковий рівень безпеки до вашої сторінки входу в WordPress. Користувачам знадобляться мобільні телефони для створення одноразового пароля разом з даними для доступу до адміністративної сторінки WordPress.

Існують спеціальні плагіни двофакторної аутентифікації, які допоможуть вам скористатися цією функцією. Додавання двофакторної аутентифікації ускладнить доступ хакерів до вашого веб-сайту WordPress. 

5. Обмежте доступ до wp-login.php.

Додайте пароль до wp-login.php, щоб обмежити доступ до файлу та підвищити безпеку вашого сайту WordPress.

  • Створіть файл .htpasswds за допомогою сервісу хостингу WordPress за допомогою генератора htpasswd.
  • Завантажте цей файл до загальнодоступної веб-сторінки або кореневої папки.
  • Після завантаження файлу розмістіть цей код у вашому файлі .htaccess:

# Protect wp-login

<Files wp-login.php>

AuthUserFile ~/.htpasswd

AuthName "Private access"

AuthType Basic

require user username

</Files>

Тепер wp-login.php захищений.

6. Обмежте доступ до wp-admin.

Блокування wp-login.php достатньо, але щоб бути на 100% впевненим, ви можете обмежити доступ до всієї папки адміністратора WordPress, створивши .htaccess в папці wp-admin.

  • Створіть звичайний текстовий редактор під назвою .htaccess
  • Додайте до нього цей код:

# Block access to wp-admin.

order deny,allow

allow from x.x.x.x

deny from all

(x.x.x.x ваша IP-адреса)

За допомогою цього методу можна дозволити доступ до багатьох IP-адрес.

  • Збережіть файл і завантажте його в папку wp-admin

7. Оновлення WordPress.

Регулярні оновлення ядра, плагінів та тем у WordPress забезпечують безпеку веб-сайту. Напади Brute Force часто орієнтовані на вразливості у старих версіях WP і найпопулярніших плагінах та темах. Якщо ви не оновлюєте свою CMS, ви ризикуєте стати жертвою Brute Force.

Зверніть увагу, що слід ретельно проводити процес оновлення, беручи до уваги сумісність всіх компонентів веб-сайту. Краще довірити регулярні оновлення сайту розробникам WordPress, які працюють відповідно до найкращих практик.

8. Надійний хостинг-провайдер.

Хороший хостинг-провайдер є ключем до надійності та захисту. Стабільність вашого WordPress веб-сайту безпосередньо впливає на репутацію компанії та задоволеність клієнтів, а також на безпеку. Ви ніколи не знаєте, які ще платформи розділяють хостинг з вами. Однак Google знає і пов'язує вас з ними. На цих веб-сайтах може бути будь-що, від азартних ігор до наркотиків. Якщо одна з платформ на сервері піддається атакам, ваш сайт також стає вразливим також.

Щоб уникнути атак Brute Force з боку вашого хостинг-провайдера, переконайтеся, що у вас є надійна компанія веб-розробки, яка може допомогти у виборі найкращого пакета хостингу.

9. Резервне копіювання вашого сайту WordPress.

Якщо сайт все-таки зламали, резервні копії — це ваша рятувальна шлюпка. Збереження регулярних резервних копій дозволить вам швидко відновити всі пошкоджені дані.

Наша команда в InternetDevels може легко зробити бекап сайту WordPress і відновити весь пошкоджений контент.

Резервне копіювання вашого сайту WordPress

Безпека веб-сайту — це пріоритет для будь-якого власника веб-сайту. Зазначені вище поради допоможуть вам захистити сайт WordPress від атак Brute Force. Не забувайте оновлювати ядро, плагіни та теми WordPress, оскільки будь-які оновлення CMS мають вирішальне значення для добробуту веб-сайту.

Не забувайте, що ви завжди можете покластися на нашу команду підтримки WordPress щодо безпеки вашого веб-сайту. 

Голосів: 1 Рейтинг: 5

Також по темі

1

Сьогодні організації вважають за краще адаптувати DevOps і мігрувати свої програми до хмари. Дізнайтеся, які інструменти DevOps є на Google Cloud.

2

Цільові сторінки створюють для отримання конверсій. Дізнайтеся, як створити цільову сторінку для інтернет-магазину в WordPress і збільшіть обсяги ваших продажів.

3

Що може бути більш захоплюючим, ніж визнання однією з провідних компаній у світі від відомої дослідницької організації? Компанія InternetDevels з гордістю може сказати, що ми потрапили у ще...

4

Використання CI/CD там, де це можливо, — один із ключових принципів DevOps. Він...

5

Якщо ваш сайт побудований на WordPress, або це є у вас в планах — то знайте, що його можна зробити мультимовним. Зокрема, у цьому можуть допомогти чудові WordPress-плагіни для мультимовних сайтів...

Subscribe to our blog updates