Jak ochronić WordPress przed włamaniem i atakami typu brute force
W artykule przedstawiamy kilka podstawowych porad, które pomogą zabezpieczyć stronę opartą o WordPress przed włamaniem z użyciem brute force. Nie są to metody dające 100% gwarancji bezpieczeństwa, ale powinny mimo wszystko znacznie podnieść poziom zabezpieczeń.
Problem WordPress
Na skróty:
WordPress jest chętnie wybierany przez wiele osób, w tym naszych klientów. Jednak przez swoją popularność stał się głównym celem ataków brute force. W uproszczeniu, są to próby zalogowania się poprzez zgadywanie hasła. Robią to oczywiście boty, które często stanowią niepotrzebne obciążenie serwera.
Żeby lepiej zrozumieć skalę problemu, spójrzmy na poniższe dane. Pochodzą one z narzędzia Wordfence, które pomaga zabezpieczyć WordPress (o samym narzędziu później). Tylko w ciągu 24 godzin z pomocą narzędzia zablokowanych zostało blisko 6 milionów ataków.
Narzędzie pokazuje również dane dotyczące strony, gdzie jest zainstalowane. I tak, dla naszej strony carted-wp.test mieliśmy w ciągu miesiąca ponad 1100 ataków brute force, które zostały zablokowane.
Skala zjawiska stale rośnie i podobne problemy ma wiele innych witryn. Poniżej opisaliśmy trzy działania, które możemy podjąć, by zmniejszyć szanse na udany atak na naszą stronę.
Ogranicz liczbę logowań z pomocą wtyczki Limit Login Attemps
Prosta wtyczka, która jak nazwa sugeruje, ogranicza liczbę logowań, jeśli wpisane dane nie są poprawne. Sami możemy doprecyzować w ustawieniach po ilu nieudanych próbach logowania na jak długo będzie zawieszona możliwość logowania.
To pomaga szczególnie przy bardziej agresywnych botach, które intensywnie sprawdzają różne kombinacje.
Mały minus wtyczki jest taki, że czasami sami możemy być zablokowani na dłuższy czas:
Wtedy możemy albo przeczekać albo usunąć fizycznie folder wtyczki z hostingu, zalogować się i zainstalować ją na nowo. Takie sytuacje zdarzają się rzadko, raczej po uporczywych atakach botów.
Wordfence to popularne narzędzie do zabezpieczenia WordPressa. Dostępne jest w wersji darmowej oraz płatnej. Już sama wersja darmowa ma sporo opcji, których tu nie będziemy szczegółowo przybliżać.
W omawianym temacie ataków brute force narzędzie pomaga dzięki wbudowanemu firewallowi. Jeśli wykryta zostanie próba włamania z danego adresu IP to taki adres jest blokowany. Mamy podgląd na bieżąco w panelu:
Ze względu na popularność WordPressa każdy wie, że formularz logowania dostępny jest pod adresem www.strona.pl/wp-admin (lub wp-login.php). Domyślnie to właśnie tego adresu szukają boty próbujące się włamać.
Jeśli jednak zmienimy adres logowania to trochę utrudnimy życie botom. Najlepiej zrobić to z pomocą wtyczki WPS Hide Login, choć są też inne metody (ręcznie lub inne wtyczki). W opcjach wtyczki ustalamy nowy adres, pod którym będzie dostępny panel logowania. Ustalamy też na jaką stronę ma być przekierowanie po przejściu na standardowy adres wp-admin:
Podsumowując
Instalacja i konfiguracja wspomnianych wtyczek zajmie 10-15 minut. Warto poświęcić ten czas, bo dzięki tym krokom możemy znacznie podnieść bezpieczeństwo naszej strony.
e-commerce Przyspieszanie sklepu poprzez optymalizację DOM (wielkość HTML) W poradniku przyjrzymy się bliżej kwestii optymalizacji rozmiaru DOM, czyli kodu HTML strony. Pokażemy dlaczego warto zwrócić …
Co robimy Jak sprawdzić pozycjonowanie strony? Praktyczne porady na sprawdzenie pozycjonowania swojej strony oraz strony konkurencji Niektórzy właściciele stron chcą sprawdzić jak przebiegały prace dotychczasowej …
Twoja strona oczami użytkownika Cognitive walkthrough Zastanawiałeś się kiedyś, w jaki sposób użytkownicy korzystają z Twojej witryny? Jak poruszają się po stronie? Jak wykonują oczekiwane …