W ciągu ostatnich kilku lat ataki brutalnej siły na WordPress wzrosły wielokrotnie. Znane również jako zgadywanie haseł lub atak słownikowy, wykorzystują systematyczne podejście prób i metod, w których do złamania hasła wykorzystywana jest każda kombinacja. Jeśli masz witrynę obejmującą uwierzytelnianie logowania, prawdopodobnie jesteś celem ataku. Dotyczy to prawie wszystkich witryn WordPress, stanowiących duży procent Internetu.
Głównym celem ataku brute-force jest dostęp do konta administratora. Gdy atakujący złamią Twój login, uzyskują nieograniczony dostęp do zasobów Twojej witryny. Mogą wykorzystać Twoją witrynę do celów ekonomicznych, osłabienia Twojej marki lub po prostu zdobycia popularności. W tej formie ataku przestępcy wykorzystują boty skonfigurowane tak, aby szukały domyślnych ustawień, np. administrator nazwa użytkownika. Po znalezieniu dopasowania bot zainicjuje atak, podejmując nieograniczone próby złamania hasła administratora. Napastnicy zwykle nie są świadomi, kogo atakują, dopóki atak nie zakończy się sukcesem. Mówisz o pełnej automatyzacji, co?
Najlepsze praktyki zapobiegania atakom brutalnej siły
Poniżej znajdują się 3 najważniejsze kroki, które każdy właściciel witryny WordPress musi podjąć, aby chronić się przed atakami typu brute-force. Są dość proste w wykonaniu, a jednocześnie bardzo skuteczne w swoim celu.
Używanie silnych haseł
Używanie silnych haseł to jedna z najlepszych praktyk zalecanych przez każdego eksperta ds. bezpieczeństwa. Według niedawnego raport statystycznyludzie najczęściej używają haseł takich jak abc123, qwerty, 123456, które są niezwykle łatwe do złamania. Niewiarygodne, a jednak prawdziwe. Boty wykorzystywane przez atakujących są w stanie złamać tak słabe hasła w ciągu kilku prób. W przypadku silnego hasła bot podejmie milion prób, aby zbliżyć się do dowolnego miejsca. Dlatego zawsze pamiętaj, aby używać długich, nieprzewidywalnych haseł, unikać słów ze słownika, unikać ponownego używania haseł i regularnie zmieniać hasła.
Zmiana nazwy użytkownika administracyjnego
Hakerzy najpierw szukają domyślnej nazwy użytkownika admin. Po znalezieniu spróbują złamać Twoje hasło, aby uzyskać pełną kontrolę nad Twoją witryną. Możesz utrudnić im pracę, zmieniając nazwę użytkownika administratora na unikalną. Teraz hakerzy mają dodatkowe zadanie polegające na odgadnięciu Twojej nazwy użytkownika przed próbą złamania hasła.
To jednak nie koniec. Sama zmiana nazwy użytkownika może nie wystarczyć. Konto administratora jest domyślnie powiązane z użytkownikiem o identyfikatorze 1. W naszym artykule na temat zmiany identyfikatora użytkownika konta administratora widzieliśmy, jak ten identyfikator użytkownika może zostać wykorzystany do identyfikacji odpowiedniej nazwy użytkownika. Dlatego zawsze lepiej jest zmienić identyfikator użytkownika wraz z nazwą użytkownika konta administratora.
Ograniczanie szybkości prób logowania
Innym bardzo przydatnym sposobem ochrony witryny przed atakami typu brute-force jest ograniczenie liczby nieudanych prób logowania. Ta funkcja blokuje użytkowników, gdy osiągną wstępnie skonfigurowaną liczbę nieudanych prób, na przykład 3. Ponieważ boty mają tendencję do bombardowania naszych witryn nieokreśloną liczbą prób logowania, mechanizm ten bardzo skutecznie ogranicza ich próby.
Istnieje wiele wtyczek zabezpieczających, które pomagają ograniczyć maksymalną liczbę nieudanych prób logowania. Użytkownicy tacy są następnie blokowani na określony czas. Są wtyczki np Ogranicz próby logowania które są przeznaczone wyłącznie do tego celu. Inne popularne wtyczki zabezpieczające, takie jak Bezpieczeństwo kuloodporne, Wszystko w jednym: Bezpieczeństwo WP, Bezpieczeństwo Wordfence’a, Bezpieczeństwo iThemesitp. pomagają również w zabezpieczeniu logowania.
Wszystkie wtyczki bezpieczeństwa domyślnie włączają powiadomienia e-mail o nieudanych próbach logowania lub zablokowaniu użytkownika. Biorąc pod uwagę liczbę ataków na witryny WordPress, konta administratorów są codziennie bombardowane tymi e-mailami. Oprócz powodowania niepotrzebnej paniki, ich uporządkowanie jest prawie niemożliwe. Nawet jeśli tak, nie musisz podejmować żadnych konkretnych działań. Dlatego uważamy, że najlepiej będzie całkowicie wyłączyć te powiadomienia lub włączyć je tylko dla określonych wydarzeń.
Dodatkowe środki bezpieczeństwa
Poznaliśmy już najlepsze praktyki zapobiegania atakom typu brute-force. Oto kilka innych środków często używanych przez użytkowników WordPressa i związane z nimi wyzwania.
Ukrywanie strony logowania
Ponieważ ataki brute-force zależą od ustawień wstępnych, zdecydowanie zaleca się ukrywanie dobrze znanej strony logowania (wp-login.php) ze względów bezpieczeństwa. To jest ta sama strona, na którą zostajesz przekierowany, gdy próbujesz zalogować się do panelu swojej witryny. Gdy osoba atakująca wyląduje na tej stronie, może przeprowadzić atak mający na celu złamanie nazwy użytkownika i hasła administratora. Zmieniając nazwę strony logowania na inną, możesz dodać warstwę ochrony do swojej witryny WordPress.
Nie wymieniliśmy tego środka w naszych najważniejszych rekomendacjach, ponieważ uważamy, że ma on ograniczone korzyści. Po pierwsze, strona błędu 404 wyświetlana, gdy ktoś próbuje uzyskać dostęp do domyślnej strony logowania, nie jest zbyt pomocna. Zasoby serwera są nadal wykorzystywane do pobrania i wyświetlenia tej strony błędu. Dzięki temu boty mogą nadal atakować Twoją witrynę i zużywać Twoje zasoby. Co więcej, znacznie utrudnia to użyteczność, ponieważ użytkownicy zwykle oczekują, że wp-login.php będzie punktem dostępu, gdy chcą dokonać modyfikacji w witrynie.
Zarządzanie adresami IP za pomocą htaccess
Pliki Htaccess to pliki konfiguracyjne znajdujące się na serwerze internetowym. Służą do kontrolowania dostępu do określonego katalogu. Ponieważ kontrola dostępu odgrywa ważną rolę w zabezpieczaniu wrażliwych części witryny WordPress, może być bardzo skuteczna w zapobieganiu atakom typu brute-force. Możesz użyć pliku htaccess, aby zablokować określone adresy IP, które pojawiają się w dziennikach jako podejrzane. Nazywa się to również czarną listą. Oto jak –
rozkazuj, pozwól, odmów
odmów od 192.168.20.10
pozwolić wszystkim
Tę logikę można również rozszerzyć na zakres adresów.
rozkazuj, pozwól, odmów
odmów od 192.168.1.
pozwolić wszystkim
Możesz także zarządzać dostępem do swojej witryny za pomocą białej listy. Zezwalaj tylko na zestaw znanych adresów i odmawiaj wszystkim innym. Jest to prawie niemożliwe do wdrożenia, chyba że masz całkowitą pewność co do sieci użytkowników i dlatego nie będzie działać z większością witryn.
rozkazuj, pozwól, odmów
zezwól od 192.168.22.
odmówić wszystkim
Używanie htaccess do zarządzania dostępem wiąże się z wieloma wyzwaniami. Wymaga dokładnego zrozumienia adresów IP, sieci i reguł, które wykraczają poza zrozumienie przeciętnego użytkownika. Mała literówka w regule może spowodować jej złamanie. Ponadto musisz często czyścić plik htaccess. Pozostawiony bez nadzoru może urosnąć do bardzo dużych rozmiarów i z czasem stać się niemożliwy do opanowania.
Uwierzytelnianie dwuskładnikowe
Być może korzystałeś z uwierzytelniania dwuskładnikowego w Gmailu. To samo zostało teraz rozszerzone na WordPress. W tej metodzie do uwierzytelnienia używany jest inny czynnik znany tylko użytkownikowi wraz z nazwą użytkownika/hasłem. Prawie wszystkie witryny, które obecnie to wdrażają, używają smartfonów do wysyłania haseł jednorazowych (OTP). Jest to dość skuteczne, ponieważ każdy ma telefon w zasięgu ręki. Co więcej, w przeciwieństwie do zwykłych haseł nie można ich zapisać do późniejszego wykorzystania, co zmniejsza ryzyko kradzieży haseł.
Dodanie CAPTCHA
Dodanie CAPTCHA do formularza logowania może okazać się bardzo przydatne w ograniczaniu ataków. Możesz użyć wtyczki np Captcha aby to zrobić. Aby uzyskać dostęp, należy poprawnie wprowadzić CAPTCHA wraz z nazwą użytkownika i hasłem. Dlatego nawet jeśli znany jest adres URL logowania, używana jest domyślna nazwa użytkownika „admin” i obowiązuje słownikowe (tzn. słabe) hasło, szanse na udany atak brute-force znacznie się zmniejszają. Jedynym problemem związanym z captcha jest to, że czasami bardzo trudno je odczytać.
Monitorowanie nieudanych logowań
Jedna z naszych ulubionych wtyczek związanych z bezpieczeństwem, Dziennik audytu bezpieczeństwa WP, śledzi wszystkie nieudane próby logowania w Twojej witrynie. Pozwala zidentyfikować użytkowników, którzy są atakowani, a w takich sytuacjach może nawet wysłać Ci wiadomość e-mail. Możesz dowiedzieć się więcej o tej funkcji Tutaj.
Wniosek
Całkowite powstrzymanie ataków siłowych jest niezwykle trudne. Jednak dzięki wielu środkom zaradczym, takim jak ograniczenie prób logowania i zmiana domyślnej nazwy użytkownika administratora, możesz ograniczyć narażenie na te ataki. Jednak najlepszą obroną jest skonfigurowanie silnych, nieprzeniknionych haseł. Działaj teraz, jeśli jeszcze tego nie zrobiłeś.