Doriți să opriți și să preveniți atacurile de tip brute force pe site-ul dvs.?
Într-un atac de tip brute force, hackerii încearcă pur și simplu mii de combinații de nume de utilizator și parole până când găsesc cea corectă.
Odată ce pătrund pe site-ul dvs., pot face tot felul de lucruri, cum ar fi adăugarea de reclame malițioase, fraudarea utilizatorilor dvs. și chiar scoaterea site-ului dvs. din funcțiune.
Acest tutorial vă va arăta cum să opriți și să preveniți atacurile de tip brute force, astfel încât hackerii să nu aibă nicio șansă să pătrundă pe site-ul dvs.
Dar înainte de a trece la pași, să clarificăm ce este un atac de tip brute force, astfel încât să aveți o mai bună înțelegere pe parcursul tutorialului.
Ce este un atac de tip Brute Force?
Când spunem că hackerii încearcă diferite combinații de parole pe site-ul dvs. pentru a se conecta, poate vă imaginați o persoană reală stând la un computer și tastând parole, corect?
Hackerii sunt mult mai avansați decât atât. Ei programează boți pentru a scana internetul și a găsi site-uri web care rulează pe WordPress. Apoi vizează pagina de conectare, care este de obicei www.example.com/wp-admin.
Odată ajunși pe pagina de conectare, acești boți rulează o bază de date uriașă de nume de utilizator și parole utilizate frecvent.
- Numele de utilizator comune includ „admin” sau numele persoanei care deține site-ul.
- Parole comune includ password1234, 12345678 și qwerty1.
Acești boți hacker sunt capabili să efectueze mii de încercări de conectare pe minut. Și continuă să încerce din nou și din nou până când reușesc sau își epuizează baza de date. De aici provine numele de atac „brute force”.
Acum s-ar putea să vă gândiți că tot ce trebuie să faceți este să setați o parolă foarte puternică și problema este rezolvată. Dar asta nu este suficient.
Mii de încercări de autentificare pot încetini site-ul dvs. și chiar îl pot face să se blocheze. Poate perturba experiența utilizatorului, ceea ce înseamnă că vizitatorii vă vor părăsi site-ul, deoarece nu se va încărca suficient de repede.
O modalitate mai bună de a vă proteja site-ul ar fi să împiedicați hackerul să facă aceste încercări. Asta vă vom arăta cum să faceți în continuare. Să începem.
Cum să oprești atacurile de tip Brute Force în WordPress
Mai jos, vom detalia 6 pași importanți pe care trebuie să îi faceți pentru a vă proteja site-ul împotriva hackerilor. Ne vom concentra pe prevenirea atacurilor de tip brute force, dar țineți cont că acești pași vor ajuta și la oprirea altor atacuri malware.
Veți construi un sistem de securitate robust care se asigură că hackerii nu au nicio modalitate de a vă deteriora site-ul din interior sau din exterior.
Iată o listă cu cei 6 pași pe care îi vom acoperi:
- Instalați un Plugin Firewall
- Limitați Încercările de Autentificare
- Restricționați Accesul la Pagina de Autentificare
- Expirați Parolele în Mod Regulat
- Adăugați Autentificare în 2 Pași
- Adăugați Autentificare HTTP
Pasul 1: Instalați un Plugin Firewall
Un firewall servește ca prima linie de apărare. Acesta va analiza fiecare vizitator care vine pe site-ul dvs. și va bloca roboții rău intenționați. Acest lucru înseamnă că doar traficul bun are voie să vă vizualizeze site-ul.
Există două tipuri de firewall-uri pentru site-uri web pe care le puteți utiliza.
- Firewall pentru aplicații web: Aceste firewall-uri stau în fața site-ului dvs. WordPress pentru a scana traficul care intră. Sunt destul de eficiente, dar nu vă oferă protecție la nivel de server. Acest lucru înseamnă că hackerii pot viza în continuare serverul dvs. și vă pot deteriora site-ul.
- Firewall pentru site-uri web la nivel DNS: Acest firewall vă oferă o protecție mai bună împotriva hackerilor, deoarece stă în fața serverului dvs. Astfel, va scana tot traficul înainte ca acesta să ajungă la serverul principal al site-ului dvs. web.
Recomandăm cu tărie investiția într-un firewall DNS pentru a vă proteja site-ul. Sucuri are unul dintre cele mai bune firewall-uri DNS din industrie.
Sucuri vine cu funcționalități integrate pentru a bloca atacurile de tip brute force fără a afecta utilizatorii site-ului dvs.
De asemenea, blochează instrumentele automate utilizate pentru scanarea site-ului dvs. web. Acest lucru ajută la menținerea site-ului dvs. web în afara radarului oricărui atacator.
Apoi, monitorizează constant site-ul dvs., astfel încât, dacă roboții malițioși ajung pe site-ul dvs., aceștia vor fi blocați automat.
Dacă doriți să aflați mai multe detalii, citiți Recenzia Sucuri.
Pasul 2: Limitați încercările de conectare
Dacă doriți să blocați în mod specific atacurile de tip brute force, una dintre cele mai bune modalități de a face acest lucru este prin limitarea numărului de încercări pe care un utilizator le are pentru a se conecta.
Deci, de exemplu, îi puteți acorda maximum 3 încercări pentru a introduce numele de utilizator și parola corecte. Dacă nu reușesc să le introducă corect, pot folosi opțiunea „Ați uitat parola” și își pot recupera credențialele.
Orice utilizator sau bot care încearcă să vă atace site-ul prin forță brută va renunța după 3 încercări și va trece la următorul țintă.
Puteți adăuga un plugin de limitare a încercărilor de conectare pe site-ul dvs. WordPress pentru a adăuga această funcționalitate. Dacă utilizați un plugin de securitate precum Sucuri, atunci ar trebui să aveți deja funcționalitatea de limitare a încercărilor de conectare adăugată automat pe site-ul dvs.
Pasul 2: Restricționați accesul la pagina de conectare
O altă modalitate excelentă de a vă proteja site-ul de atacurile prin forță brută este să acordați acces la URL-ul paginii de conectare doar persoanelor în care aveți încredere.
Fiecare dispozitiv care utilizează internetul are o adresă IP unică. Puteți utiliza un plugin de securitate pentru a bloca universal toate adresele IP de la accesarea paginii de conectare și a permite accesul doar celor pe care le doriți.
În acest fel, doar utilizatorii autorizați pot deschide pagina de conectare. Această metodă se numește listă albă (allowlisting) și este foarte eficientă în a ține hackerii departe.
Dacă folosești Sucuri, sub fila Control acces din tabloul tău de bord, poți adăuga adrese IP pe lista albă.
Apoi, comutați la fila Securitate.
Veți vedea o opțiune pentru a activa „Panoul de administrare restricționat doar la adrese IP de pe lista albă”.
Bifând această căsuță, Sucuri va permite automat doar utilizatorilor dvs. de încredere să acceseze pagina de autentificare.
Pasul 4: Expirați parolele în mod regulat
Este de la sine înțeles că cea mai bună modalitate de a proteja orice cont sau site web pe internet este prin utilizarea unor nume de utilizator și parole puternice.
Pe lângă acestea, trebuie să vă schimbați parola în mod regulat. Dacă suspectați un atac, trebuie să o schimbați imediat.
Acum, dacă aveți mai mulți utilizatori care au acces la wp-admin, este posibil să nu își amintească să își schimbe parolele în mod regulat.
Pentru a depăși acest lucru, puteți seta memento-uri și îi puteți forța să își reseteze parola la intervale regulate.
Puteți folosi un plugin precum Expire User Passwords pentru a vă ajuta să invalidați parolele periodic, forțând utilizatorul să își schimbe parola înainte de a se putea conecta din nou.
Pasul 5: Adăugați autentificarea cu 2 factori
Cel mai probabil ați văzut deja sau aveți autentificare cu 2 factori pe aplicațiile dvs., în special pe email.
Pe lângă introducerea parolei, trebuie să furnizați un cod de acces unic, trimis pe telefonul mobil sau pe email.
Puteți primi acest cod ca SMS sau printr-o aplicație de autentificare.
Aceasta înseamnă că un utilizator va trebui să se verifice în timp real, făcând extrem de dificil pentru hackeri să obțină acces.
Chiar dacă reușesc să-ți spargă parola, vor avea nevoie și de parola de acces în timp real.
Toate plugin-urile populare de securitate, precum Sucuri și MalCare, vă permit să activați autentificarea în doi factori din tabloul de bord.
Deci, nu va trebui să atingi niciun cod pentru a adăuga această măsură pe site-ul tău.
Pasul 6: Adaugă autentificare HTTP
Ultimul pas pe care îl poți face pentru a-ți proteja site-ul de atacurile de tip brute force este să adaugi o pagină de autentificare la pagina ta de autentificare.
Pare cam mult, dar aceasta acționează ca un strat suplimentar de protecție și este o modalitate sigură de a bloca hackerii să intre pe site-ul tău prin atacuri de tip brute force.
Autentificarea HTTP funcționează ascunzând pagina ta de autentificare și afișând o pagină goală cu o casetă de autentificare.
Odată ce introduci credențialele tale HTTP, pagina ta de autentificare WordPress va apărea.
Poți adăuga această măsură în cPanel-ul tău de găzduire. Dacă nu ai mai folosit niciodată cPanel, nu-ți face griji. Îți vom arăta cum să o faci în câțiva pași simpli.
Autentifică-te în contul tău de găzduire web, accesează cPanel și caută „Privacy Directory”.
În interior, din lista de foldere, localizează folderul wp-admin și editează-l.
Pe pagina următoare, mai întâi, activați opțiunea ‘Protejați acest director cu parolă’. Acum cPanel vă va cere să adăugați un nume de utilizator și o parolă.
Asigurați-vă că salvați setările înainte de a părăsi această pagină. Acum directorul de administrare WordPress este protejat cu parolă.
Când deschideți pagina wp-admin, veți vedea o solicitare de conectare pentru a introduce numele de utilizator și parola pe care tocmai le-ați creat.
În cazul în care întâmpini o eroare 404 sau prea multe mesaje de redirecționare, atunci trebuie să adaugi următoarea linie în fișierul .htaccess al WordPress-ului tău.
ErrorDocument 401 default
Cu aceasta, site-ul tău este protejat împotriva atacurilor de tip brute force.
De asemenea, recomandăm să faci o copie de rezervă a site-ului tău în mod regulat. Când lucrurile merg prost, fie că este vorba de un hack sau doar de o eroare umană, poți restaura rapid site-ul tău și îl poți readuce la normal. Acest lucru îți permite să minimizezi daunele aduse site-ului tău și experienței utilizatorului.
Puteți folosi UpdraftPlus pentru a programa backup-uri automate care sunt stocate în siguranță.
Pentru mai multe opțiuni de backup, consultați selecția noastră de Cele mai bune plugin-uri de backup pentru WordPress.
Sperăm că acest articol despre prevenirea atacurilor de tip brute force v-a fost de ajutor. Și acum că site-ul dvs. este securizat, vă puteți concentra pe creșterea site-ului și obținerea mai multor trafic. Iată câteva resurse pe care le-am selectat pentru dvs.:
- Creșteți performanța și viteza WordPress cu sfaturi de la experți
- 10 cele mai bune instrumente SEO pentru a crește traficul site-ului dvs., RAPID!
- Instrumente pentru a vă dezvolta afacerea mică în 2021
Aceste articole vă vor ajuta să îmbunătățiți traficul, implicarea și experiența utilizatorului. Ultimul articol vă va oferi cele mai bune pluginuri și instrumente pentru a eficientiza fluxurile de lucru și a vă dezvolta afacerea exponențial.
Comentarii Lasă un răspuns