Как предотвратить атаку грубой силы в WordPress?

Атака грубой силы – это метод попытки разблокировать защищенные паролем веб-страницы методом проб и ошибок. Злоумышленники используют сложных ботов, чтобы угадать имя пользователя и пароль в формах на страницах входа, регистрации и других страницах и пытаются захватить сайт. Боты постоянно пытаются угадать учетные данные и сильно нагружают ваш сервер. Поэтому, даже если вы не думаете с точки зрения безопасности, важно заблокировать этих ботов / пользователей, чтобы снизить нагрузку на ваш хостинг-сервер. В этой статье давайте обсудим, как предотвратить атаку методом грубой силы в WordPress.

Использование плагина Jetpack для предотвращения грубой силы

Jetpack предлагает множество модулей, и «Protect» – один из модулей, предотвращающих атаки методом перебора. Вы можете просто активировать модуль «Защитить», чтобы остановить атаки методом перебора на ваш сайт WordPress.

Деактивировать Jetpack Protect

Если этот параметр включен, Jetpack автоматически отображает математическую капчу на странице входа администратора и останавливает ботов. Кроме того, вы также можете настроить IP-адреса в белом списке. Только IP-адреса из белого списка будут иметь доступ к вашей странице входа в WordPress, а все остальные IP-адреса будут заблокированы для входа в панель администратора.

Белый список IP-адресов с помощью подключаемого модуля Jetpack

Белый список IP-адресов с помощью подключаемого модуля Jetpack

Предотвращение грубой силы с помощью универсального плагина WP Security & Firewall

Предотвращение грубой силы в Jetpack очень просто и не имеет многих других возможностей. Плагин All in One WP Security & Firewall – один из популярных и бесплатных плагинов безопасности, который помогает эффективно защитить ваш сайт WordPress. Установите и активируйте плагин из панели управления WordPress. Это создаст новое меню «WP Security» на боковой панели панели администратора.

Поиск всего в одном WP Security and Firewall Plugin

Поиск всего в одном WP Security and Firewall Plugin

Плагин измеряет безопасность вашего сайта по шкале баллов, а активация отдельных параметров безопасности добавляет баллы. Чтобы предотвратить грубую силу, перейдите в раздел «WP Security> Brute Force», чтобы увидеть несколько вариантов, как показано ниже:

Параметры предотвращения атак грубой силы

Параметры предотвращения атак грубой силы

Перед обработкой с любыми настройками безопасности убедитесь, что выполнены следующие условия:

  • Резервное копирование всего сайта с файлами сайта и базой данных. Плагин будет создавать таблицы базы данных и изменять файлы сайта, такие как .htaccess.
  • Убедитесь, что у вас есть FTP-доступ к вашему хостинговому серверу. Это необходимо для восстановления файлов, когда вы заблокированы на панели администратора и не можете войти в систему.
  • Включите, только если опция применима и требуется для вас.
Переименовать страницу входа

К странице входа в WordPress можно легко получить доступ, добавив суффикс «/ wp-admin /» или «/wp-login.php?action=login» на свой сайт. Поскольку любой человек может получить доступ к вашему сайту с помощью одного из этих URL-адресов, первым шагом в предотвращении перебора является переименование страницы входа. Установите флажок «Включить функцию переименования входа» и укажите желаемую строку, которую трудно угадать.

Переименовать страницу входа в WordPress

Переименовать страницу входа в WordPress

Например, если вы хотите изменить URL-адрес страницы входа на «yoursite.com/login/», введите слово «вход» в текстовое поле.

1. Переименование страницы входа приведет к выходу из системы, и вам нужно будет снова войти в систему с новым URL-адресом.

2. Эта функция повлияет на всех пользователей, поэтому не активируйте, если у вас есть регистрация пользователя или регистрация, необходимая для комментирования на вашем сайте.

3. Эта функция повлияет на работу любых других плагинов, использующих страницу входа по умолчанию.

Предотвращение грубой силы на основе файлов cookie

Второй вариант – предотвратить атаки методом перебора на основе файлов cookie, доступных в браузере. Установите флажок «Включите предотвращение атак грубой силы »и укажите секретное слово в следующем«Секретное слово” текстовое окно.

Предотвращение входа в систему на основе файлов cookie для WordPress

Предотвращение входа в систему на основе файлов cookie для WordPress

Например, если вы хотите добавить секретное слово как «test», тогда URL-адрес входа будет «http://yoursite.com/?test=1». Вы можете добавить «/? Secret-word = 1» к URL-адресу вашего сайта, чтобы получить доступ к странице входа.

Кроме того, вы можете установить «Re-direct URL» для перенаправления неавторизованных пользователей на эту страницу. Обычно вы можете установить это как IP-адрес localhost «http://127.0.0.1», чтобы предотвратить нагрузку на ваш сервер. Если у вас есть страницы, защищенные паролем, установите флажок «На моем сайте есть сообщения или страницы, защищенные паролем ».

Если у вас есть тема или плагин, использующий Ajax, установите флажок «На моем сайте есть тема или плагины, использующие AJAX ». Как правило, большинство тем и плагинов используют Ajax, поэтому вам следует включить эту опцию и проверить, правильно ли загружается ваш сайт.

1. Этот метод похож на страницу переименования входа в систему, поэтому все упомянутые выше предупреждения применимы и к этому методу.

2. Поскольку оба метода – «переименование страницы входа» и «предотвращение грубой силы на основе файлов cookie» изменяют URL-адрес страницы входа, вы можете использовать любой из этих методов за раз на своем сайте.

Войти Captcha

Поскольку первые два параметра будут влиять на многопользовательские среды, такие как сайты с функциями входа, регистрации и электронной торговли, простое включение капчи – один из самых простых методов, которые вы можете использовать, чтобы остановить атаку методом грубой силы. В этом разделе у вас есть три варианта включения математической капчи в формах:

  • Включите капчу на странице входа в WordPress по умолчанию.
  • Включите капчу во всех формах, используемых на сайте, который использует функцию WordPress «wp_login_form ()».
  • Включить капчу в форме запроса утерянного пароля.
Настройки входа в систему Captcha в плагине All in One WP Security

Настройки входа в систему Captcha в плагине All in One WP Security

Белый список входа

Подобно управлению белым списком Jetpack, плагин All in One WP Security & Firewall также предлагает опцию «Белый список входа». Это позволит только указанным IP-адресам получить доступ к вашей странице входа в WordPress, а все остальные IP-адреса будут заблокированы.

Внесение IP-адресов в белый список с помощью плагина All in One WP Security

Внесение IP-адресов в белый список с помощью плагина All in One WP Security

Горшок меда

Последний вариант – включить «Включить приманку на странице входа ». Это установит новое поле в форме входа, которое будет невидимым для пользователей-людей и видимым только для ботов. Поскольку роботы заполняли все поля в форме входа в систему, плагин прекратит доступ, если скрытое поле будет заполнено. Таким образом помогает эффективно остановить роботов.

Настройки Honeypot для страницы входа в WordPress

Настройки Honeypot для страницы входа в WordPress

Заключение

Плагин All in One WP Security & Firewall предлагает исчерпывающие способы защиты вашего сайта WordPress. Хотя это выглядит привлекательно, обязательно протестируйте каждую функцию и используйте только в том случае, если она требуется для вашего сайта. Переименовать страницу входа, опцию на основе файлов cookie и белый список IP можно использовать на сайтах с одним пользователем, не имеющих регистрации. Остальные параметры, такие как включение кода входа в систему и приманки, можно без проблем использовать на всех типах сайтов.

Вы также можете использовать плагины Jetpack и All in One WP Security & Firewall вместе для остановки атак грубой силы на ваш сайт.

Похожие записи

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *