Защита сайта WP от взлома через подбор пароля и логина (bruteforce) рассмотрена в этой статье.
Одним из самых распространенных методов взлома сайта является атака bruteforce. Bruteforce переводится, как грубая сила. Метод заключается в подборе пароля с помощью специальных программ. Рассмотрим и проанализируем средства для защиты от этого вида атак.
Методы защиты от bruteforce.
Блокировка страницы входа в админ панель по IP адресу.
Вы можете в файле .htaccess прописать свой IP адрес, после чего все попытки попасть на страницу wp-admin Вашего сайта с других IP адресов будут пресекаться.
+: Пожалуй, самый эффективный метод защиты входа в админ панель путем подбора пароля.
— :Метод подходит только для обладателей статических (белых) IP адресов. Большинство пользователей имеет динамические IP адреса. За статические IP необходимо ежемесячно платить. Выходом из данной ситуации является использование IP одного из прокси серверов. Благо, сейчас много программ для смены IP, таких, как Hideman, Spotflux и т.п.
Смена адреса страницы входа в админ панель.
Существует ряд плагинов для сокрытия входа в админку.
— : Адреса реальных страниц для входа в админ панель можно вычислить тем же методом bruteforce. И тогда злоумышленники опять начнут подбирать пароль к Вашему сайту, а Вы об этом ничего не узнаете.
Использование плагинов, ограничивающих число неудачных попыток входа в админ панель.
К таким плагинам относятся, например, LockDown и Limit Login Attempts.
+: Плагины выдают четкую информацию о том, с какого IP пытались к Вам вломиться и под каким логином. Последняя информация очень важна, т.к. разумные пользователи меняют логин admin. Но, логины также легко подбираются методом bruteforce. И важно вовремя узнать, что Ваш логин скомпрометирован и срочно поменять его.
-: В последнее время многие обладатели таких плагинов заметили, что происходят постоянные попытки войти на сайт под логином admin. Причем блокировка IP злоумышленников даже на длительное время не останавливала шквал атак. Обычно для взлома используют IP доступных всем прокси серверов для сокрытия реального IP злоумышленника. Но число публичных прокси серверов ограничено. В этих же атаках создавалось впечатление, что количество прокси серверов возросло многократно. Свет на данную ситуацию пролила статья BBC , рассказавшая о том, что сайты WordPress подверглись атакам со стороны botnet ( сети ботов), в которую на середину апреля входило порядка 90000 зараженных компьютеров ничего не подозревающих пользователей. Отсюда и такое большое количество IP адресов, задействованных при атаке. Не смотря на это, данные плагины остаются весьма актуальными. Рекомендую использовать. Нужно лишь увеличить время блокировки на максимально возможное. И, конечно, сменить логин admin.
Двухступенчатая аутентификация.
В данном методе при вводе пароля необходимо ввести специальный код подтверждения. Для реализации метода можно воспользоваться, например, плагином Google Authenticator.
+:Очень эффективное средство даже при атаках с использованием вышеупомянутых ботнетов.
-: Необходимость использования смартфона или планшета на Android или Blackberry или iPhone.
Капча.
Поскольку метод bruteforce реализуется с использованием ботов, то использование капчи является хорошим противодействием. Реализовать можно с помощью плагина Captcha
+: Плагин является хорошей защитой от спам комментариев (при желании эту опцию можно не использовать). Плагин предлагает вводить капчу не только на странице ввода пароля но и при использовании очень вредной опции Забыли пароль. Если воспользоваться данной ссылкой, то для напоминания пароля будет предложено ввести имя пользователя или адрес электронной почты. Поэтому адрес электронной почты, зарегистрированной на Вашем майте не должен знать никто, кроме Вас. Мало кто знает, по крайней мере, я нигде не встречал упоминания об этом, но возможность ввести имя пользователя используется для подбора логина. Т.к., если Вы вводите имя несуществующего пользователя, то Ваш любимый WordPress тут же выдаст Вас с головой и доложит, что такого пользователя не существует :). Понятно, что вручную имя пользователя подобрать будет затруднительно. Для подбора логина опять же используется bruteforce. А использование капчи будет препятствовать программному подбору Вашего логина. Поэтому, если Ваш логин длиннее 3-х букв :), то капча будет препятствовать подбору не только пароля, но и логина.
Защита сайта WP от взлома через подбор пароля и логина хорошо осуществима с помощью вышеперечисленных методов.
А я от капчи отказалась. Нужно посмотреть, что лучше поставить для защиты. Код подтверждения меня заитересовал.
Полезные и необходимые методы защиты сайта описаны в этой статье,спасибо за информацию.
Анна, от капчи в комментариях можно и отказаться, а вышеперечисленных местах она весьма полезна для безопасности
Искандер, получается, можно какое-то время существовать, не подозревая,что сайт взломан и с него осуществляется вредоносная рассылка?И чем это грозит сайту? Баном?
Спасибо за информацию! Мне понравился метод подтверждения! Побольше бы об этой плагине информации!
Арина, в статье идет речь об использовании злоумышленниками вредоносной сети, состоящей из зараженных компьютеров а не сайтов. А хозяин сайта, действительно, может не подозревать, что сайт заражен вредоносным кодом, который может представлять угрозу для компьютера посетителя. Тогда можно получить черную метку от поисковиков в поисковой выдаче рядом с адресами страниц сайта.
Ну почему в сети так много вот таких вредных ребят-пострелят? Зачем им нужно все это? Никогда мне этого не понять. Я не понимаю, когда кто-то кому-то хочет вредить. Тем более — не знакомым людям.
Спасибо за подробную статью. У меня конечно стоит защита, но думаю надо еще добавить капчу.
Вадар, у меня сейчас не под рукой мобильного устройства на требуемой операционной системе. Обычный телефон здесь не подойдет. Определюсь с устройством, обязательно опробую сам и напишу.
У каждого свои цели, но не все их достигают честно.
Убедили. Стоит и мне поставить дополнительную защиту. Что, от лома — нет приема? А мы этот прием знаем и постараемся им защититься.
А я заметил, что от спам ботов спасает только капча. Если эти спам коментарии и отправляются автоматически в спам, то боты все равно продолжают заходить на сайт . Поисковики воспринимают это заходы как накрутку посещений и резко падает рейтинг сайта в поисковых системах. А вот если стоит капча, то боты это видят и перестают заходить на сайт. Это более важно, чем наличие большого количества никому не нужных безтемных коментариев.
Искандер, я тоже обратила внимание, что у вас появилась капча. Кстати, такая мне нравится больше всего. А вот выставлять фигурки или вписывать латинские буквы — не люблю.
Как-нибудь «почищу» свои плагины (а то их слишком много) Возможно тогда тоже поставлю себе капчу.
Капча, не смотря на свою простоту, очень эффективное средство.
Анна, мое дело представить информацию, Вам решать
Полностью согласен, Борис. Но я долго до этого доходил 🙂 Эти спам комментарии даже в случае переделки в полезные кроме вреда ничего не приносят.
Арина, не хотелось ставить капчу, но пришел к выводу, что она необходима. Борис полностью прав относительно спама
Наверное тоже поставлю капчу. Несколько дней назад атаковали спамы. Что интересно поисковик счётчик их посещения не регистрировал. После их отправки в спам перестали.
Сергей, капча очень полезна в плане безопасности.
Искандер, я на собственном горьком опыте убедилась, что ставить плагин крайне необходимо, и чем быстрей, тем лучше.
Скажите, после того, как плагин будет установлен и активирован, его надо настраивать? Скажите, этот плагин позволяет делать настройку и под формой входа в админпанель, и в статьях?
Татьяна, он очень простой. По умолчанию капча появляется везде. Но всегда можно снять галки там, где не нужно.
Всё у меня получилось и настроилось.
Искандер, правильно ли я поняла? Можно заменить плагин, который удаляет спам-комментарии на плагин Captcha?
Для меня это важно, так как итак перебор плагинов.
Татьяна, рад, что получилось.
У меня одно время WordPress пропускал очень много спам-комментариев. Бывало до 100 в день. Потом удалось сделать так, что спам стал «садиться» в папку «Спам». Но все равно было неудобно из 100 выуживать 1-2 комментарии нормальных людей.
Сейчас за сутки не более 1-3 спам-комментариев. Так что работа программистов по защите блогов на WordPress уже заметна даже не вооруженным глазом.
Оставил пока оба, но вижу, что папка спама пустует
Полезные и необходимые методы защиты сайта в этой статье приведены
Искандер, интересное наблюдение. Папка спама уже три дня пустая. Это радует!
Но админку всё равно атакуют. Реагирую уже не так эмоционально, но проверять каждое сообщение всё равно приходится.
Интересные и нужные методы защиты сайта
Как страшно, как тяжело всё это проделывать в первый раз, но как говориться, необходимо. Спасибо вам Искандер, в обязательном порядок займусь безопасностью своего блога.
Татьяна, атаковать будут постоянно, такова наша среда обитания 🙂
В одном их Ваших ответных комментариев, Искандер, понравились слова «среда обитания»; вот уж, действительно!..
Так метод двухступенчатой аутентификации годится только для мобильных устройств на андроиде?
И еще не понял насчет статичных и динамических IP. Мне казалось, что у меня статический…
капчу возьму на заметку и еще некоторые советы…
Спасибо!
Кроме андроида — IOS,BlackBerry OS. По поводу IP просто понаблюдайте,меняется ли он после разрыва интернет соединения.
Да, я тоже недавно все возможные программы плагины защит поставил на вордпресс, пока доволен:)
Главное — не переборщить с плагинами.
Очень классная и полезная информация и плагины есть очень хорошие для этого. Спасибо!
Рекомендую использовать, не откладывая.
Действительно полезная и актуальная информация. За исчерпывающий и быстрый ответ большое спасибо.
Я кое что по вашим рекомендациям уже поменяла, думаю что так надёжней будет. Спасибо. Хорошо что в интернете натыкаешься на такие от полезности, как у вас.
Да, от товарищей, которые делают е актуально, покоя не дождешься 🙂
Татьяна, рад быть полезным!
Не люблю капчи, они меня всегда раздражают.
Защищают за то классно.
Я пока только думаю о защите сайта, надеюсь эту проблему скоро решу. Даже курс уже приобрела.
Наталья Александровна поставьте плагины WordPress Simple Firewall, Limit Login Attempts и Captcha