Bezpieczeństwo Twojego WordPressa stanowi kluczowy element, o który powinieneś zadbać. Strony internetowe są narażone na różne rodzaje ataków, a jednym z nich jest atak brute force.
Ataki typu brute force polegają na próbach logowania się do konta użytkownika bez znajomości prawidłowego loginu oraz hasła. Atakujący próbuje odgadnąć dane do logowania poprzez sprawdzanie możliwych ciągów znaków. Ataki są zazwyczaj przeprowadzane za pomocą automatycznych skryptów testujących tysiące loginów i haseł.
Takie działania, poza oczywistymi szkodami w wypadku złamania hasła i uzyskania dostępu do panelu administracyjnego WordPressa, w znaczący sposób obciążają serwer generując sztuczny ruch. Każda strona posiadająca formularz logowania może zostać zaatakowana, dlatego zadbaj o bezpieczeństwo Twojego WordPressa.
Wiesz już, czym jest atak brute force, przyszedł czas na działanie i zabezpieczenie strony.
1. Zadbaj o unikalną nazwę użytkownika i mocne hasło
Tworząc login użytkownika, unikaj słów „admin”, „admin1” itp. Te nazwy bardzo często są wykorzystywane przy próbach ataku. Pamiętaj również o ustawieniu mocnego hasła.
2. Zabezpiecz Panel Logowania
Dobrą praktyką chroniącą stronę przed atakami brute force jest zabezpieczenie panelu logowania dodatkowym loginem i hasłem. Aby tego dokonać niezbędny jest dostęp do plików WordPressa. W tym celu możesz skorzystać z klienta FTP. Możesz również zalogować się do DirectAdmin twojego hostingu i skorzystać z managera plików.
- Utwórz login i hasło przy pomocy generatora haseł
- Stwórz plik .htpasswd i zapisz w nim wygenerowane wcześniej login i hasło.
- Plik .htpasswd umieść w wybranym przez ciebie miejscu w plikach Twojej strony np. w folderze wp-admin.
- W pliku .htaccess w katalogu głównym dodaj:
<Files wp-login.php>
AuthType Basic
AuthGroupFile /dev/null
AuthName "Dostęp ograniczony hasłem"
AuthUserFile /scieżka-do-htpasswd/.htpasswd
require valid-user
</Files>W linii AuthUserFile umieść ścieżkę do pliku .htpasswd, który przed chwilą dodałeś do Twojego WordPressa.
3. Zablokuj XMLRPC
Aktywny plik xmlrpc.php jest używany do komunikacji WordPressa z innymi systemami zewnętrznymi np. w celu zarządzania treściami na stronie (wpisami, komentarzami). Wygodne rozwiązanie, jednak aktywny xmlrpc.php jest często wykorzystywany do przeprowadzenia ataków typu brute force.
Jeśli nie korzystasz z zewnętrznych aplikacji do łączenia się z twoim WordPressem, zablokuj go.
W pliku .htaccess w katalogu głównym dodaj:
<Files xmlrpc.php>
Order deny,allow
Deny from all
</Files>Ogranicz liczbę prób logowania
Wtyczka Limit Login Attempts Reloaded powstrzymuje ataki brute force poprzez ograniczanie możliwości logowania do panelu administracyjnego WordPressa po wpisaniu błędnych danych logowania.
Nie zwlekaj, zadbaj o bezpieczeństwo swojej strony. Napisz w komentarzu jak Poszło 😉