Защита сайта WP от взлома через подбор пароля и логина

29.08.2018

Защита сайта WP от взлома через подбор пароля и логина (bruteforce) рассмотрена в этой статье.

Защита админки Wordpress от подбора паролей. Как защитить блог от взлома

Одним из самых распространенных методов взлома сайта является атака bruteforce. Bruteforce переводится, как грубая сила. Метод заключается в подборе пароля с помощью специальных программ. Рассмотрим и проанализируем средства для защиты от этого вида атак.

Как взломать WordPress | XMLrpc WP Brute | Брутфорс админок сайтов

Методы защиты от bruteforce.

Блокировка страницы входа в админ панель по IP адресу.

Вы можете в файле .htaccess прописать свой IP адрес, после чего все попытки попасть на страницу wp-admin Вашего сайта с других IP адресов будут пресекаться.

+: Пожалуй, самый эффективный метод защиты входа в админ панель путем подбора пароля.

— :Метод подходит только для обладателей статических (белых) IP адресов. Большинство пользователей имеет динамические IP адреса. За статические IP необходимо ежемесячно платить. Выходом из данной ситуации является использование IP одного из прокси серверов. Благо, сейчас много программ для смены IP, таких, как Hideman, Spotflux и т.п.

Смена адреса страницы входа в админ панель.

Существует ряд плагинов для сокрытия входа в админку.

— : Адреса реальных страниц для входа в админ панель можно вычислить тем же методом bruteforce. И тогда злоумышленники опять начнут подбирать пароль к Вашему сайту, а Вы об этом ничего не узнаете.

Использование плагинов, ограничивающих число неудачных попыток входа в админ панель.

К таким плагинам относятся, например, LockDown и Limit Login Attempts.

+: Плагины выдают четкую информацию о том, с какого IP пытались к Вам вломиться и под каким логином. Последняя информация очень важна, т.к. разумные пользователи меняют логин admin. Но, логины также легко подбираются методом bruteforce. И важно вовремя узнать, что Ваш логин скомпрометирован и срочно поменять его.

-: В последнее время многие обладатели таких плагинов заметили, что происходят постоянные попытки войти на сайт под логином admin. Причем блокировка IP злоумышленников даже на длительное время не останавливала шквал атак. Обычно для взлома используют IP доступных всем прокси серверов для сокрытия реального IP злоумышленника. Но число публичных прокси серверов ограничено. В этих же атаках создавалось впечатление, что количество прокси серверов возросло многократно. Свет на данную ситуацию пролила статья BBC , рассказавшая о том, что сайты WordPress подверглись атакам со стороны botnet ( сети ботов), в которую на середину апреля входило порядка 90000 зараженных компьютеров ничего не подозревающих пользователей. Отсюда и такое большое количество IP адресов, задействованных при атаке. Не смотря на это, данные плагины остаются весьма актуальными. Рекомендую использовать. Нужно лишь увеличить время блокировки на максимально возможное. И, конечно, сменить логин admin.

Двухступенчатая аутентификация.

В данном методе при вводе пароля необходимо ввести специальный код подтверждения. Для реализации метода можно воспользоваться, например, плагином Google Authenticator.

+:Очень эффективное средство даже при атаках с использованием вышеупомянутых ботнетов.

-: Необходимость использования смартфона или планшета на Android или Blackberry или iPhone.

Капча.

Поскольку метод bruteforce реализуется с использованием ботов, то использование капчи является хорошим противодействием. Реализовать можно с помощью плагина Captcha

+: Плагин является хорошей защитой от спам комментариев (при желании эту опцию можно не использовать). Плагин предлагает вводить капчу не только на странице ввода пароля но и при использовании очень вредной опции Забыли пароль. Если воспользоваться данной ссылкой, то для напоминания пароля будет предложено ввести имя пользователя или адрес электронной почты. Поэтому адрес электронной почты, зарегистрированной на Вашем майте не должен знать никто, кроме Вас. Мало кто знает, по крайней мере, я нигде не встречал упоминания об этом, но возможность ввести имя пользователя используется для подбора логина. Т.к., если Вы вводите имя несуществующего пользователя, то Ваш любимый WordPress тут же выдаст Вас с головой и доложит, что такого пользователя не существует :). Понятно, что вручную имя пользователя подобрать будет затруднительно. Для подбора логина опять же используется bruteforce. А использование капчи будет препятствовать программному подбору Вашего логина. Поэтому, если Ваш логин длиннее 3-х букв :), то капча будет препятствовать подбору не только пароля, но и логина.

Защита сайта WP от взлома через подбор пароля и логина хорошо осуществима с помощью вышеперечисленных методов.

Home › News Защита сайта WP от взлома через подбор пароля и логина 29.08.2018 Защита сайта WP от взлома через подбор пароля и логина (bruteforce) рассмотрена в этой статье. Защита админки Wordpress от подбора паролей. Как защитить блог от взлома Одним из самых распространенных методов взлома сайта является атака bruteforce. Bruteforce переводится, как грубая сила. Метод заключается в подборе пароля с помощью специальных программ. Рассмотрим и проанализируем средства для защиты от этого вида атак. Как взломать WordPress \| XMLrpc WP Brute \| Брутфорс админок сайтов Методы защиты от bruteforce. Блокировка страницы входа в админ панель по IP адресу. Вы можете в файле .htaccess прописать свой IP адрес, после чего все попытки попасть на страницу wp-admin Вашего сайта с других IP адресов будут пресекаться. +: Пожалуй, самый эффективный метод защиты входа в админ панель путем подбора пароля. — :Метод подходит только для обладателей статических (белых) IP адресов. Большинство пользователей имеет динамические IP адреса. За статические IP необходимо ежемесячно платить. Выходом из данной ситуации является использование IP одного из прокси серверов. Благо, сейчас много программ для смены IP, таких, как Hideman, Spotflux и т.п. Смена адреса страницы входа в админ панель. Существует ряд плагинов для сокрытия входа в админку. — : Адреса реальных страниц для входа в админ панель можно вычислить тем же методом bruteforce. И тогда злоумышленники опять начнут подбирать пароль к Вашему сайту, а Вы об этом ничего не узнаете. Использование плагинов, ограничивающих число неудачных попыток входа в админ панель. К таким плагинам относятся, например, LockDown и Limit Login Attempts. +: Плагины выдают четкую информацию о том, с какого IP пытались к Вам вломиться и под каким логином. Последняя информация очень важна, т.к. разумные пользователи меняют логин admin. Но, логины также легко подбираются методом bruteforce. И важно вовремя узнать, что Ваш логин скомпрометирован и срочно поменять его. -: В последнее время многие обладатели таких плагинов заметили, что происходят постоянные попытки войти на сайт под логином admin. Причем блокировка IP злоумышленников даже на длительное время не останавливала шквал атак. Обычно для взлома используют IP доступных всем прокси серверов для сокрытия реального IP злоумышленника. Но число публичных прокси серверов ограничено. В этих же атаках создавалось впечатление, что количество прокси серверов возросло многократно. Свет на данную ситуацию пролила статья BBC , рассказавшая о том, что сайты WordPress подверглись атакам со стороны botnet ( сети ботов), в которую на середину апреля входило порядка 90000 зараженных компьютеров ничего не подозревающих пользователей. Отсюда и такое большое количество IP адресов, задействованных при атаке. Не смотря на это, данные плагины остаются весьма актуальными. Рекомендую использовать. Нужно лишь увеличить время блокировки на максимально возможное. И, конечно, сменить логин admin. Двухступенчатая аутентификация. В данном методе при вводе пароля необходимо ввести специальный код подтверждения. Для реализации метода можно воспользоваться, например, плагином Google Authenticator. +:Очень эффективное средство даже при атаках с использованием вышеупомянутых ботнетов. -: Необходимость использования смартфона или планшета на Android или Blackberry или iPhone. Капча. Поскольку метод bruteforce реализуется с использованием ботов, то использование капчи является хорошим противодействием. Реализовать можно с помощью плагина Captcha +: Плагин является хорошей защитой от спам комментариев (при желании эту опцию можно не использовать). Плагин предлагает вводить капчу не только на странице ввода пароля но и при использовании очень вредной опции Забыли пароль. Если воспользоваться данной ссылкой, то для напоминания пароля будет предложено ввести имя пользователя или адрес электронной почты. Поэтому адрес электронной почты, зарегистрированной на Вашем майте не должен знать никто, кроме Вас. Мало кто знает, по крайней мере, я нигде не встречал упоминания об этом, но возможность ввести имя пользователя используется для подбора логина. Т.к., если Вы вводите имя несуществующего пользователя, то Ваш любимый WordPress тут же выдаст Вас с головой и доложит, что такого пользователя не существует :). Понятно, что вручную имя пользователя подобрать будет затруднительно. Для подбора логина опять же используется bruteforce. А использование капчи будет препятствовать программному подбору Вашего логина. Поэтому, если Ваш логин длиннее 3-х букв :), то капча будет препятствовать подбору не только пароля, но и логина. Защита сайта WP от взлома через подбор пароля и логина хорошо осуществима с помощью вышеперечисленных методов. Новости