fbpx

Jak ochronić WordPress przed włamaniem i atakami typu brute force

wordpress bezpieczeństwo

W artykule przedstawiamy kilka podstawowych porad, które pomogą zabezpieczyć stronę opartą o WordPress przed włamaniem z użyciem brute force. Nie są to metody dające 100% gwarancji bezpieczeństwa, ale powinny mimo wszystko znacznie podnieść poziom zabezpieczeń.

Problem WordPress

WordPress jest chętnie wybierany przez wiele osób, w tym naszych klientów. Jednak przez swoją popularność stał się głównym celem ataków brute force. W uproszczeniu, są to próby zalogowania się poprzez zgadywanie hasła. Robią to oczywiście boty, które często stanowią niepotrzebne obciążenie serwera.

Żeby lepiej zrozumieć skalę problemu, spójrzmy na poniższe dane. Pochodzą one z narzędzia Wordfence, które pomaga zabezpieczyć WordPress (o samym narzędziu później). Tylko w ciągu 24 godzin z pomocą narzędzia zablokowanych zostało blisko 6 milionów ataków.

wordfence liczba ataków

Narzędzie pokazuje również dane dotyczące strony, gdzie jest zainstalowane. I tak, dla naszej strony carted-wp.test mieliśmy w ciągu miesiąca ponad 1100 ataków brute force, które zostały zablokowane.

carted - liczba ataków

Skala zjawiska stale rośnie i podobne problemy ma wiele innych witryn. Poniżej opisaliśmy trzy działania, które możemy podjąć, by zmniejszyć szanse na udany atak na naszą stronę.

Ogranicz liczbę logowań z pomocą wtyczki Limit Login Attemps

Adres wtyczki: https://pl.wordpress.org/plugins/limit-login-attempts-reloaded/

wtyczka - ograniczenie logowania

Prosta wtyczka, która jak nazwa sugeruje, ogranicza liczbę logowań, jeśli wpisane dane nie są poprawne. Sami możemy doprecyzować w ustawieniach po ilu nieudanych próbach logowania na jak długo będzie zawieszona możliwość logowania.

ustawienia limit lockouts

To pomaga szczególnie przy bardziej agresywnych botach, które intensywnie sprawdzają różne kombinacje.

Mały minus wtyczki jest taki, że czasami sami możemy być zablokowani na dłuższy czas:

limit logowań

Wtedy możemy albo przeczekać albo usunąć fizycznie folder wtyczki z hostingu, zalogować się i zainstalować ją na nowo. Takie sytuacje zdarzają się rzadko, raczej po uporczywych atakach botów.

Zabezpiecz stronę z pomocą Wordfence

Adres wtyczki: https://pl.wordpress.org/plugins/wordfence/

wordfence wtyczka wp

Wordfence to popularne narzędzie do zabezpieczenia WordPressa. Dostępne jest w wersji darmowej oraz płatnej. Już sama wersja darmowa ma sporo opcji, których tu nie będziemy szczegółowo przybliżać.

W omawianym temacie ataków brute force narzędzie pomaga dzięki wbudowanemu firewallowi. Jeśli wykryta zostanie próba włamania z danego adresu IP to taki adres jest blokowany. Mamy podgląd na bieżąco w panelu:

firewall wordfence

Zmień ścieżkę do logowania

Adres wtyczki: https://pl.wordpress.org/plugins/wps-hide-login/

zmiana adresu logowania wtyczka

Ze względu na popularność WordPressa każdy wie, że formularz logowania dostępny jest pod adresem www.strona.pl/wp-admin (lub wp-login.php). Domyślnie to właśnie tego adresu szukają boty próbujące się włamać.

Jeśli jednak zmienimy adres logowania to trochę utrudnimy życie botom. Najlepiej zrobić to z pomocą wtyczki WPS Hide Login, choć są też inne metody (ręcznie lub inne wtyczki). W opcjach wtyczki ustalamy nowy adres, pod którym będzie dostępny panel logowania. Ustalamy też na jaką stronę ma być przekierowanie po przejściu na standardowy adres wp-admin:

nowy adres logowania

Podsumowując

Instalacja i konfiguracja wspomnianych wtyczek zajmie 10-15 minut. Warto poświęcić ten czas, bo dzięki tym krokom możemy znacznie podnieść bezpieczeństwo naszej strony.

sprawdź też

Porozmawiajmy

Powiedz nam czego potrzebujesz

Kontakt