Po Nitce Studio

Strony Internetowe

Bezpieczeństwo Twojego WordPressa stanowi kluczowy element, o który powinieneś zadbać. Strony internetowe są narażone na różne rodzaje ataków, a jednym z nich jest atak brute force.

Ataki typu brute force polegają na próbach logowania się do konta użytkownika bez znajomości prawidłowego loginu oraz hasła. Atakujący próbuje odgadnąć dane do logowania poprzez sprawdzanie możliwych ciągów znaków. Ataki są zazwyczaj przeprowadzane za pomocą automatycznych skryptów testujących tysiące loginów i haseł.

Takie działania, poza oczywistymi szkodami w wypadku złamania hasła i uzyskania dostępu do panelu administracyjnego WordPressa, w znaczący sposób obciążają serwer generując sztuczny ruch. Każda strona posiadająca formularz logowania może zostać zaatakowana, dlatego zadbaj o bezpieczeństwo Twojego WordPressa.

Przykład strony internetowej bez zabezpieczenia przed atakiem brute force. Grafika przedstawia informacje o ilości nieudanych prób logowania (zrzut ekranu z wtyczki Limit Login Attempts).

Wiesz już, czym jest atak brute force, przyszedł czas na działanie i zabezpieczenie strony.

1. Zadbaj o unikalną nazwę użytkownika i mocne hasło

Tworząc login użytkownika, unikaj słów „admin”, „admin1” itp. Te nazwy bardzo często są wykorzystywane przy próbach ataku. Pamiętaj również o ustawieniu mocnego hasła.

2. Zabezpiecz Panel Logowania

Dobrą praktyką chroniącą stronę przed atakami brute force jest zabezpieczenie panelu logowania dodatkowym loginem i hasłem. Aby tego dokonać niezbędny jest dostęp do plików WordPressa. W tym celu możesz skorzystać z klienta FTP. Możesz również zalogować się do DirectAdmin twojego hostingu i skorzystać z managera plików.

<Files wp-login.php>
 AuthType Basic
 AuthGroupFile /dev/null
 AuthName "Dostęp ograniczony hasłem"
 AuthUserFile /scieżka-do-htpasswd/.htpasswd
 require valid-user
</Files>

W linii AuthUserFile umieść ścieżkę do pliku .htpasswd, który przed chwilą dodałeś do Twojego WordPressa.

3. Zablokuj XMLRPC

Aktywny plik xmlrpc.php jest używany do komunikacji WordPressa z innymi systemami zewnętrznymi np. w celu zarządzania treściami na stronie (wpisami, komentarzami). Wygodne rozwiązanie, jednak aktywny xmlrpc.php jest często wykorzystywany do przeprowadzenia ataków typu brute force.

Jeśli nie korzystasz z zewnętrznych aplikacji do łączenia się z twoim WordPressem, zablokuj go.

W pliku .htaccess w katalogu głównym dodaj:

<Files xmlrpc.php>
 Order deny,allow
 Deny from all
</Files>

Ogranicz liczbę prób logowania

Wtyczka Limit Login Attempts Reloaded powstrzymuje ataki brute force poprzez ograniczanie możliwości logowania do panelu administracyjnego WordPressa po wpisaniu błędnych danych logowania.

Nie zwlekaj, zadbaj o bezpieczeństwo swojej strony. Napisz w komentarzu jak Poszło 😉