Більше результатів...

Загальні селектори
Тільки точні збіги
Шукати у заголовках
Шукати у контенті
Вибір типів постів
Фільтрувати за категоріями
FAQ
Hostenko
Натхнення
Відео уроки
Новини
Плагіни
теми
Уроки
Хакі

Brute-force (груба сила) атаки є реальною і дуже страшною загрозою для користувачів WordPress. Ці атаки ґрунтуються на різних методах підбору пароля. Якщо комусь вдасться з'ясувати ваше ім'я користувача та пароль, ваш сайт може бути пошкоджений або весь його контент буде миттєво видалено. Якщо ви також втратите доступ до своєї електронної пошти, ви не зможете повернутися до свого облікового запису, щоб відновити свій веб-сайт.
Існує кілька способів заблокувати ваш сайт і зробити його більш стійким до потенційних атак.

Краще вжити заходів безпеки зараз, ніж чекати, поки ви не втратите доступ до свого облікового запису. За правильної тактики можна зупинити успішні brute-force атаки або взагалі запобігти більшості спроб.

inet.ws - Powerful VPS Hosting в США, Canada, UK та DE!

Що таке brute-force атака?

Є багато способів зламати чийсь обліковий запис: знайти вразливість на веб-сайті, обманом змусити когось відмовитися від свого пароля або встановити кейлоггер на комп'ютер і вкрасти дані. Проблема в тому, що всі ці дії потребують багато витрат.

Натомість зловмисники зазвичай вдаються до набагато простішого методу: вгадування. І ви будете вражені, наскільки ефективно це може бути; у багатьох людей є імена користувачів та паролі, які дуже легко вгадати.

у багатьох людей є імена користувачів та паролі, які дуже легко вгадати
Вгадування – стомлюючий процес, тому зловмисники зазвичай використовують автоматизовані програми, які можуть вгадати сотні комбінацій за одну секунду. Ці програми запускаються через список спільних паролів. Якщо спроба не вдалася, вони або рухаються далі, або вдаються до випадкових комбінацій слів, літер та символів, доки не отримають правильне рішення. Слабкий пароль може зламати лише за 29 мілісекунд.

Важлива відмінність між атаками методом "грубою сили" та іншими формами крадіжки паролів полягає в тому, що вони не включають шпигунське ПЗ, соціальну інженерію або маніпулювання вразливістю на вашому сайті. Вручну або з програмою, вони просто намагаються і намагаються підбирати логіни та паролі, поки вони не прорвуться.

Що робить WordPress уразливим?

WordPress працює на 37,6% всіх веб-сайту. Багато в чому це благо – активна спільнота робить його найбільш доступною CMS. На жаль, це робить його доступним і для зловмисників, які бажають скористатися його поширенням.

Уразливості безпеки WordPress універсальні – вони застосовуються до всіх веб-сайтів, на яких він працює. Одна крихітна діра в системі може торкнутися мільйонів. Все, що зловмисникам потрібно зробити, це вгадати ім'я користувача та пароль, і вони мають доступ до всього контенту.

За промовчанням WordPress має кілька недоліків у своїй безпеці:

  • Екран входу адміністратора завжди знаходиться в тому самому місці.
  • У старих установках WordPress використовувалося ім'я користувача за промовчанням "admin", що означає, що хакерам потрібно було лише вгадати пароль.
  • Будь-хто може спробувати увійти до системи стільки разів, скільки захоче.
  • Якщо хтось з нової IP-адреси входить до вашого облікового запису, ви не отримуєте повідомлення, і для цього не потрібен код.
  • Декілька користувачів з правами адміністратора означають кілька потенційних способів зламати ваш бекенд і щось зіпсувати.
  • За промовчанням WordPress не постачається з брандмауером. Багато хто навіть не знає, що їм це потрібно.

Все, що потрібно зробити, це з'ясувати, чи використовуєте ви WordPress (що тривіально: є сайт, що визначає WordPress), і ви можете стати жертвою будь-якої з цих уразливостей.

Захист вашого сайту WordPress від brute-force атак

Використання WordPress може зробити вам додаткову увагу з боку хакерів, але ви не зовсім вразливі. Платформа постачається з деякими заходами безпеки для вашого захисту. Зробіть кілька додаткових кроків і ви відобразите основний удар цих атак.

Важко перешкодити комусь визначитися з доступом до вашого облікового запису, оскільки вони вже знають усі ці прийоми. Нема гарантії, що вони не знайдуть вихід. Але краще щось робити, ніж нічого, і більшість хакерів здаються, коли стикаються з будь-якими суттєвими перешкодами.

1. Використовуйте надійне ім'я користувача та пароль

81% хаків використовують вкрадені чи слабкі паролі. Вони спробують найпоширеніші облікові дані та перейдуть до легшої мети.

Надійне ім'я користувача та пароль зупинять більшість атак. Ось кілька порад щодо їх вибору:

  • Довжина не менше 6 символів, в ідеалі більше 15, чим довша, тим краще.
  • Використовуйте поєднання великих та малих літер, цифр та символів.
  • Не використовуйте один і той же пароль на декількох веб-сайтах – якщо один з них буде зламаний, інший також може збагнути його долю.
  • Уникайте спільних паролів, таких як parol, abc123, qwerty або простих слів. Уникайте імен користувачів, таких як "user", "username" або "admin".
  • Не вводіть особисту інформацію, таку як ваше ім'я, адресу або навіть ім'я вашого вихованця. Це буде перше, що зловмисники можуть спробувати.
  • Gibberish (тарабращина, безглузда мова) паролі важко запам'ятати, але вони безпечні. Спробуйте використати менеджер паролів для відстеження.

Щоб змінити пароль, перейдіть на сторінку «Користувачі»> «Ваш профіль». Прокрутіть вниз і натисніть «Створити пароль". Ви можете зберегти або ввести новий, а потім натиснути «Оновити профіль».

оновити профіль
На жаль, зміна вашого імені користувача за замовчуванням неможлива. Якщо вам потрібний безпечніший, ви можете спробувати плагін Зміна імені користувача або створити нового адміністратора та видалити старого. Ви також можете змінити ім'я безпосередньо в базі даних за допомогою phpMyAdmin.

2. Безпечні облікові записи інших користувачів

Хоча ваш обліковий запис адміністратора, безумовно, є найважливішим для блокування, він не є єдиним входом. Якщо інший користувач з правами редагування буде зламаний, ваш сайт може бути видалено або пошкоджено.

Неможливо перевірити будь-які поточні паролі ваших користувачів, оскільки WordPress шифрує їх. Але ви можете змінити їх самостійно, щоб забезпечити їхню безпеку.

Просто зайдіть в Користувачі> Всі користувачі і знайдіть обліковий запис, який потрібно змінити. Прокрутіть вниз, щоб згенерувати пароль. Введіть свій власний чи використовуйте випадковий, який генерує WordPress. Обов'язково повідомите користувача, що його старі облікові дані не працюватимуть.

Знову ж таки, зміна імені користувача неможлива без редагування бази даних або плагіна. Якщо ви хочете змінити його без цих методів, створіть новий обліковий запис користувача та видаліть старий. Обов'язково перенесіть його статті до нового облікового запису.

Обов'язково перенесіть його статті до нового облікового запису

Дивіться також:

Як забезпечити вашому бізнес-сайту WordPress безпека.

3. Встановіть брандмауер

Будь-який сайт без брандмауера вразливий не тільки для грубих атак, але й для інших форм злому, які використовують дірки у вашій безпеці.

Брандмауер сам по собі не може повністю зупинити brute-force атаки методом, але він може виявляти шкідливий трафік, а також надає інструменти для блокування підозрілих IP-адрес. Інші корисні функції можуть включати застосування надійних паролів, додавання CAPTCHA та геоблокування для країн, які зазвичай беруть участь в інцидентах атак хакерів.

Він також може мати чорний список IP-адрес, про які відомо, що вони пов'язані з підозрілою активністю. Встановлення брандмауерної веб-програми може вплинути на кількість атак.

Встановлення брандмауерної веб-програми може вплинути на кількість атак.

Wordfence – це добре відомий плагін безпеки, який постачається з брандмауером та може захищати від атак методом перебору.

Sucuri - Ще один чудовий варіант, хоча його брандмауер не безкоштовний.

Все в одному WP Безпека та брандмауер/, який на 100% безкоштовний і має захист від перебору, а також багато інших функцій.

4. Увімкніть двофакторну аутентифікацію (2FA)

У той час як надійний пароль – ваш найкращий захист, а брандмауер – відмінний інструмент для забезпечення безпеки, впровадження двофакторної автентифікації – це наступний важливий крок, який робить вас несприйнятливим до втрати облікового запису.

2FA додає додатковий крок для входу до системи. Один із варіантів: просто ставить секретне питання. Хоча це може допомогти, але найкраще рішення – відправити код на вашу електронну пошту чи телефон. Без коду ніхто не зможе увійти.

Без коду ніхто не зможе увійти
Залучення іншого пристрою, наприклад телефону, є найкращим способом запобігання грубому примусу. Отримайте код, надісланий вам, і якщо у вас немає шкідливого програмного забезпечення на вашому телефоні або хтось фізично не заволодів вашим телефоном, ваш обліковий запис значною мірою захищений.

Але, як і будь-який інший спосіб захисту, він не на 100% надійний. Іноді є способи маніпулювати сервером, щоб пробитися через 2FA і ви завжди можете стати жертвою соціальної інженерії.

Також може дратувати необхідність відкривати електронну пошту або заглядати в телефон щоразу під час входу до системи. Але переваги набагато переважують цю невелику незручність.

Серед інших функцій безпеки плагін Wordfence включає двофакторну автентифікацію. Якщо ви шукаєте щось більш сфокусоване, спробуйте Google Authenticator, який працює з популярним додатком 2FA або Двофакторний.

5. Обмежити спроби входу

Атаки brute-force покладаються на здатність якнайшвидше тестувати десятки або навіть сотні комбінацій імені користувача та пароля. У чистій установці WordPress єдине, що зупиняє це – ємність вашого сервера.

При обмеженні спроб входу в систему будь-хто, хто використовує неправильний пароль кілька разів поспіль, буде заблоковано. Якщо зловмисники отримають лише кілька спроб, шанси правильно вгадати вкрай малі.

Як захистити ваш сайт WordPress від brute-force атак
Недолік: він вкусить вас, якщо ви забудете свій власний пароль, і це дратує законних користувачів. У вас завжди можуть бути менш суворі налаштування з меншим часом блокування та посилення безпеки, коли ви помічаєте підозрілу поведінку з певного IP.

Спроби обмеження входу перезавантажені и Спроби обмеження WP для входу добре справляються зі своїм завданням. Ці плагіни не є надійними. Якщо хакери використовують VPN, скидають свою IP-адресу або використовують програму, яка атакує кількома IP-адресами, вони зможуть легко обійти це. Ось чому важливо додати кілька рівнів безпеки.

6. Сховати сторінку входу

Одна велика проблема з WordPress полягає в тому, що так легко знайти сторінку входу в систему та почати виконувати скрипт злому пароля. Просто додайте /login,/admin або /wp-login.php до будь-якої адреси сайту WordPress, і ви отримаєте запрошення для входу до системи.

Зміна розташування не обдурить усіх, оскільки є інші способи виявлення, але це може зупинити кілька атак або затримати їх.

WPS Hide Login дозволяє вам просто змінити URL-адресу сторінки входу в систему. Ніхто не зможе отримати доступ до звичайних сторінок входу. Хоча існують обхідні шляхи, але зміна сторінки входу покладе край більшості спроб злому.

7. Оновлювати WordPress

У 2018 році 44% зломів WordPress відбувалося під час використання застарілого програмного забезпечення. Bbrute-force атаки зазвичай не використовує такі вразливості, але варто згадати, як важливо підтримувати WordPress в актуальному стані. Перейдіть до Dashboard> Updates прямо зараз і переконайтеся, що ви використовуєте останню версію WordPress.

ви використовуєте останню версію WordPress
Ви також повинні зробити резервну копію вашого сайту, вручну або за допомогою плагіна, такого як UpdraftPlus. Якщо комусь вдасться увійти, він зможе видаляти статті та сторінки, змінювати їх, вставляючи непотрібні зображення та текст, або навіть вводити шкідливий код у вашу тему.

За допомогою резервної копії можна просто натиснути кнопку і відновити все до нормального стану. Не маючи такої копії, вам доведеться вручну пройтися по всьому сайту і виправити все, що вони могли зламати. Все віддалене буде втрачено назавжди.

Зупиніть brute-force атаки у WordPress

Якщо ваш сайт зламали, процес відновлення може тривати кілька днів чи тижнів. Зловмисники можуть видаляти статті, видаляти користувачів, псувати домашню сторінку або вставляти шкідливі програми на ваш сайт, що дуже важко виправити. А якщо ваша електронна пошта буде зламана, ви можете втратити все.

Створення хорошого пароля – найкращий спосіб запобігти зламу, але є й інші, більш технічні методи, які ви можете спробувати заблокувати вхід. Установка модуля безпеки або брандмауера, включення двофакторної аутентифікації і обмеження спроб входу в систему дасть вам найкращий шанс вижити при атаці методом brute-force або взагалі запобігти її.

Тепер давайте послухаємо вашу історію у коментарях: Ваш сайт WordPress був зламаний? Що сталося і як вам вдалося відновити доступ?

Джерело: torquemag.io

inet.ws - Powerful VPS Hosting в США, Canada, UK та DE!
Олексій Шевченко
редактор wpcafe
Вивчає сайтобудування з 2008 року. Практикуючий вебмайстер, який спеціалізується на створенні сайтів на WordPress. Задати питання Олексію можна на https://profiles.wordpress.org/wpthemeus/

Коментарі до запису: 0

Додати коментар або відгук