LOADING

Jak ochronić WordPress przed atakami typu brute force

W artykule przedstawiamy kilka podstawowych porad, które pomogą zabezpieczyć stronę opartą o WordPress przed włamaniem z użyciem brute force. Nie są to metody dające 100% gwarancji bezpieczeństwa, ale powinny mimo wszystko znacznie podnieść poziom zabezpieczeń.

Problem WordPress

WordPress jest chętnie wybierany przez wiele osób, w tym naszych klientów. Jednak przez swoją popularność stał się głównym celem ataków brute force. W uproszczeniu, są to próby zalogowania się poprzez zgadywanie hasła. Robią to oczywiście boty, które często stanowią niepotrzebne obciążenie serwera.

Żeby lepiej zrozumieć skalę problemu, spójrzmy na poniższe dane. Pochodzą one z narzędzia Wordfence, które pomaga zabezpieczyć WordPress (o samym narzędziu później). Tylko w ciągu 24 godzin z pomocą narzędzia zablokowanych zostało blisko 6 milionów ataków.

liczba ataków brute force zablokowana przez Wordfence

Narzędzie pokazuje również dane dotyczące strony, gdzie jest zainstalowane. I tak, dla naszej strony carted.pl mieliśmy w ciągu miesiąca ponad 1100 ataków brute force, które zostały zablokowane.

liczba ataków brute force na stronę carted.pl

Skala zjawiska stale rośnie i podobne problemy ma wiele innych witryn. Poniżej opisaliśmy trzy działania, które możemy podjąć, by zmniejszyć szanse na udany atak na naszą stronę.

Ogranicz liczbę logowań z pomocą wtyczki Limit Login Attemps

Adres wtyczki: https://pl.wordpress.org/plugins/limit-login-attempts-reloaded/

wtyczka limit login attemps

Prosta wtyczka, która jak nazwa sugeruje, ogranicza liczbę logowań, jeśli wpisane dane nie są poprawne. Sami możemy doprecyzować w ustawieniach po ilu nieudanych próbach logowania na jak długo będzie zawieszona możliwość logowania.

ustawienia limit login attemps

To pomaga szczególnie przy bardziej agresywnych botach, które intensywnie sprawdzają różne kombinacje.

Mały minus wtyczki jest taki, że czasami sami możemy być zablokowani na dłuższy czas:

blokada-logowania

Wtedy możemy albo przeczekać albo usunąć fizycznie folder wtyczki z hostingu, zalogować się i zainstalować ją na nowo. Takie sytuacje zdarzają się rzadko, raczej po uporczywych atakach botów.

Zabezpiecz stronę z pomocą Wordfence

Adres wtyczki: https://pl.wordpress.org/plugins/wordfence/

wtyczka wordfence
Wordfence to popularne narzędzie do zabezpieczenia WordPressa. Dostępne jest w wersji darmowej oraz płatnej. Już sama wersja darmowa ma sporo opcji, których tu nie będziemy szczegółowo przybliżać.

W omawianym temacie ataków brute force narzędzie pomaga dzięki wbudowanemu firewallowi. Jeśli wykryta zostanie próba włamania z danego adresu IP to taki adres jest blokowany. Mamy podgląd na bieżąco w panelu:

firewall wordfence

Zmień ścieżkę do logowania

Adres wtyczki: https://pl.wordpress.org/plugins/wps-hide-login/

wtyczka - zmiana adresu logowania

Ze względu na popularność WordPressa każdy wie, że formularz logowania dostępny jest pod adresem www.strona.pl/wp-admin (lub wp-login.php). Domyślnie to właśnie tego adresu szukają boty próbujące się włamać.

Jeśli jednak zmienimy adres logowania to trochę utrudnimy życie botom. Najlepiej zrobić to z pomocą wtyczki WPS Hide Login, choć są też inne metody (ręcznie lub inne wtyczki). W opcjach wtyczki ustalamy nowy adres, pod którym będzie dostępny panel logowania. Ustalamy też na jaką stronę ma być przekierowanie po przejściu na standardowy adres wp-admin:

nowy adres logowania

Podsumowując

Instalacja i konfiguracja wspomnianych wtyczek zajmie 10-15 minut. Warto poświęcić ten czas, bo dzięki tym krokom możemy znacznie podnieść bezpieczeństwo naszej strony.

Podaj dalej
Szymon Spychała

Wspólnik w Carted.pl. Pasjonat tematyki e-commerce i możliwości rozwoju oraz zarabiania jakie daje internet. Twitter: https://twitter.com/simonsaysseo

Skomentuj

Pola oznaczone gwiazdką są wymagane *