Witryna atakująca za pomocą Brute Force to stara technika, która wciąż istnieje w Internecie.

Ataki Brute Force mogą zniszczyć twoją stronę internetową i zakłócić twoją działalność online, jeśli nie jest konieczne odpowiednie narzędzie zapobiegające.

Atak Brute Force można zastosować przy użyciu ludzi lub botów, stale próbując zalogować się przy użyciu odgadniętych poświadczeń na stronie WordPress.

Gorzej, gdy strona logowania nie jest chroniona, a niektóre badania zauważyły ​​tysiące prób logowania do wp-login.php na minutę.

Rzućmy okiem na wykres SUCURI.

Ponad milion ataków na godzinę!

To jest ogromne!

Kilka dni temu otrzymałem 42 e-maile z powiadomieniem o zablokowaniu witryny z powodu ataków siłowych. To może ci się przydarzyć.

Istnieje wiele sposobów zapobiegania atakowi brutalnej siły; oto niektóre z nich, które możesz śledzić.

Ukryj login WordPress

Jedną z pierwszych rzeczy po skonfigurowaniu witryny, którą powinieneś rozważyć, jest ukrycie obszaru logowania.

Domyślnie strona logowania do WordPress jest dostępna jako:

    /wp-login.php
    /Zaloguj Się
    / wp-admin
    /Administrator

Znając technologie, z których korzystasz, w dzisiejszych czasach jest to łatwe.

Więc jeśli złoczyńcy wiedzą, że używasz WordPress, a obszar logowania nie jest ukryty, mogą łatwo uzyskać dostęp do strony logowania i przygotować się na atak brutalnej siły.

Ukryjmy obszar logowania WordPress za pomocą następujących wtyczek. Możesz użyć dowolnego z nich.
WPS Ukryj login

WPS Hide Login to lekka wtyczka z aktywną instalacją ponad 400 000. Ta wtyczka pomoże Ci zmienić adres URL logowania na cokolwiek zechcesz.

Po zmianie adresu URL logowania, jeśli ktoś spróbuje uzyskać dostęp do wp-admin / wp-login.php / login / admin, wyświetli stronę błędu 404.
iThemes Security

Wtyczka premium oferuje kompleksową ochronę bezpieczeństwa WP.

iThemes wypuszczają złych facetów. Niektóre z ważnych funkcji to:

  •     Ochrona przed brutalną siłą
  •     Zablokuj podejrzanych użytkowników
  •     Ukryj adres URL logowania
  •     Uwierzytelnianie dwufazowe
  •     Skanowanie złośliwego oprogramowania
  •     Kopia zapasowa bazy danych

Przy minimalnej konfiguracji możesz zacząć.
Malcare

Gotowy na RODO, Malcare to kompleksowa wtyczka do ochrony bezpieczeństwa dla WordPress. Zapewnia ochronę logowania przez całą dobę i chroni przed szkodliwym ruchem.

Nie tylko ochrona przed brutalną siłą, ale Malcare oferuje inne funkcje, takie jak skanowanie w poszukiwaniu złośliwego oprogramowania, usuwanie złośliwego kodu, inteligentna zapora sieciowa, hartowanie jednym kliknięciem itp. Możesz zacząć od zaledwie 99 USD rocznie. Warto inwestować, aby zabezpieczyć swój biznes online.

http://sanrahpo1.pl/tworzenie-stron-internetowych
http://sanrahpo1.pl/tworzenie-stron-siedlce
http://sanrahpo1.pl/tworzenie-stron-warszawa
http://sanrahpo1.pl/strony-www-krakow
http://sanrahpo1.pl/strony-www-lodz
http://sanrahpo1.pl/strony-www-poznan
http://sanrahpo1.pl/strony-www-gdansk
http://sanrahpo1.pl/strony-www-szczecin
http://sanrahpo1.pl/strony-www-bydgoszcz
http://sanrahpo1.pl/strony-www-lublin
http://sanrahpo1.pl/strony-www-bialystok

Wdrożenie uwierzytelniania dwuskładnikowego

Uwierzytelnianie dwuskładnikowe zapewnia dodatkową warstwę bezpieczeństwa w witrynie WordPress. Wraz z poświadczeniem musisz również podać hasło jednorazowe (OTP).

Można to osiągnąć za pomocą następujących wtyczek.
Dwuskładnikowy

Fantastyczna i lekka wtyczka pozwala wdrożyć uwierzytelnianie dwuskładnikowe dla administratora WP, współpracownika itp.

Możesz skonfigurować uwierzytelnianie oparte na e-mailu, Google Authenticator, U2F.
Google Authenticator

Jak sama nazwa wskazuje, możesz użyć tej wtyczki, jeśli szukasz loginu OTP opartego na Google Authenticator.

Po włączeniu wtyczki i skonfigurowaniu uwierzytelniania powinieneś zobaczyć powyższy ekran podczas logowania do administratora WP.

Powyższe techniki są oparte na wtyczkach, ale możesz również rozważyć użycie ochrony dostawcy zabezpieczeń w chmurze.

Bezpieczeństwo oparte na chmurze

Dlaczego zabezpieczenia oparte na chmurze?

Użycie wtyczki do zabezpieczenia witryny oznacza, że ​​cały ruch, w tym zły, dociera do serwerów WordPress. Wyobraź sobie, że otrzymujesz dużą liczbę bezużytecznych ruchów.

Dzięki ochronie w chmurze serwer WordPress odbiera tylko legalny ruch. Wszystkie boty, spam, podejrzane żądania zostają zakończone w sieci dostawcy zabezpieczeń.

Brzmi dobrze?

Istnieje kilka opcji, ale dwie z popularnych są następujące.
SUCURI

SUCURI specjalizuje się w antywirusach i zaporach internetowych. Pomagają ci zatrzymać próby włamań, zatrzymać atak DDoS, wyczyścić włamanie i zapewnić pełne bezpieczeństwo Twojej witryny. W tym ochrona przed atakiem brutalnej siły.

Zabezpieczenia WordPress firmy SUCURI to prawdopodobnie jedyna rzecz, której potrzebujesz, aby zabezpieczyć swoją witrynę przed Brute Force i wieloma innymi lukami w zabezpieczeniach. Zaletą SUCURI jest to, że obsługuje wiele innych platform, takich jak Joomla, Drupal, Magento, PHP, więc w przypadku zmiany technologii witryny w przyszłości nie trzeba wydawać kolejnych $$ na bezpieczeństwo.
Cloudflare

Jeden z popularnych dostawców CDN i bezpieczeństwa. Cloudflare WAF jest uwzględniony w planie PRO, który kosztuje 20 USD miesięcznie.

Otrzymujesz wszystkie standardowe zabezpieczenia, takie jak DDoS, 10 najważniejszych luk w zabezpieczeniach OWASP, spam, złe boty, brutalna siła itp.

Wniosek

Zabezpieczenie witryny jest niezbędne, a jeśli chcesz zminimalizować ataki siłowe, jedna z wyżej wymienionych wtyczek wykona zadanie. Jeśli jednak poważnie szukasz kompletnego rozwiązania bezpieczeństwa, skorzystaj z zabezpieczeń opartych na chmurze. Jest tego warte!