Как защитить WordPress от брутфорс атак?

В последнее время наблюдается крупная атака ботов на WordPress-сайты. Злоумышленники с помощью большого ботнета пытаются подобрать пароли к администраторским панелям с помощью метода брутфорса. Некоторые серверы не выдерживают нагрузки. Многие хостеры принимают различные меры по фильтрации ботов. В связи с этим я решил поделиться с вами как защитить WordPress от брутфорс атак.

Brute force или брутфорс (полный перебор, метод грубой силы) — это метод решения математических задач. Относится к классу методов поиска решения исчерпыванием всевозможных вариантов. Сложность полного перебора зависит от количества всех возможных решений задачи. Если пространство решений очень велико, то полный перебор может не дать результатов в течение нескольких лет или даже столетий.

Первым делом убедитесь, что ваш пароль устойчив к подбору. Вам следует использовать пароли в которых содержатся различные спецсимволы, разный регистр букв и пароль не должен содержать слова и фразы, которые могут быть в словаре или распространённые комбинации символов. Ещё следует уделить внимание количеству символов в пароле, советую чтобы их было не меньше восьми. Несмотря на то, что все и везде предупреждают о важности использования сложных паролей — большинство пользователей пренебрегает этими рекомендациями а потом удивляются почему их взломали.

После того как вы поменяли пароль на более сложный или убедились, что ваш пароль итак достаточно надёжен — необходимо изменить логин администратора сайта. Вместо «admin» использовать какой-либо другой, но не использовать популярные имена пользователей наподобие «administrator», «root» и прочие.

Эти два способа помогут вам практически со стопроцентной гарантией устоять при брутфорс атаке. Но возникают и другие сложности при атаках, например, повышается нагрузка на ваш сервер, что может негативно сказаться на работе сайта. Поэтому я приведу небольшой список плагинов, которые могут вам помочь.

Limit Login Attempts — по умолчанию WordPress разрешает использовать неограниченное количество попыток для логина в панель администратора. Этот плагин устраняет недочёт и позволяет вам установить количество попыток для авторизации. Ещё с помощью этого плагина вы можете разрешить доступ к странице авторизации только определённому IP-адресу. Это сильно осложняет брутфорс атаку или делает её невозможной.

Protected wp-login — очень небольшой и легкий плагин, который позволяет вам создать секретный ключ для доступа к панели администратора. В итоге url доступа к странице авторизации будет выглядеть примерно так «http://example.com/wp-login.php?sk=my_secure_key», что не позволит провести брутфорс атаку на ваш сайт.

Wordfence Security, All In One WP Security & Firewall, Better WP Security — это три мощных плагина для защиты вашего WordPress не только от брутфорс атак но и от других возможных угроз. Расскажу подробней о них в своих следующих записях, но советую обратить на них внимание, т.к. они позволяют подойти к защите вашего сайта на WordPress комплексно.

Это далеко не все плагины и способы борьбы с брутфорс атаками для WordPress, это лишь небольшая часть, но они помогут защитить ваш сайт.

Добавить комментарий

Ваш email не будет опубликован. Пожалуйста, введите ваше имя, email и комментарий.