bright blue glowing background with lcenter light
Вы хотите защитить свой сайт WordPress от атак грубой силы? Эти атаки могут замедлить работу вашего сайта, сделать его недоступным и даже взломать ваши пароли для установки вредоносного ПО на ваш сайт. В этой статье мы покажем вам, как защитить ваш сайт WordPress от атак методом перебора.
^
Brute Force Attack – это метод взлома, который использует методы проб и ошибок, чтобы проникнуть на сайт, сеть или компьютерную систему.
Хакеры используют автоматизированное программное обеспечение для отправки большого количества запросов в целевую систему. При каждом запросе эти программы пытаются угадать информацию, необходимую для получения доступа, такую как пароли или пин-коды.
Эти инструменты также могут маскировать себя, используя разные IP-адреса и местоположения, что усложняет для целевой системы выявление и блокирование этих подозрительных действий.
Успешная атака грубой силой может дать хакерам доступ к административной области вашего сайта. Они могут установить бэкдор, вредоносное ПО, украсть информацию о пользователях и удалить все на вашем сайте.
Даже неудачные атаки методом “грубой силы” могут привести к хаосу, посылая слишком много запросов, которые замедляют работу серверов WordPress и даже приводят к их аварийному завершению.
При этом давайте посмотрим, как защитить ваш сайт WordPress от атак методом перебора.
Атаки грубой силой создают большую нагрузку на ваши серверы. Даже неудачные могут замедлить работу вашего сайта или привести к полному отказу сервера. Вот почему важно заблокировать их, прежде чем они попадут на ваш сервер.
Для этого вам понадобится брандмауэр для веб-сайта. Брандмауэр отфильтровывает плохой трафик и блокирует его доступ к вашему сайту.
^
Существует два типа межсетевых экранов веб-сайтов, которые вы можете использовать.
Брандмауэр уровня приложения – эти плагины брандмауэра проверяют трафик, как только он достигает вашего сервера, но перед загрузкой большинства сценариев WordPress. Этот метод не так эффективен, потому что атака грубой силой все еще может повлиять на нагрузку на ваш сервер.
Брандмауэр веб-сайта уровня DNS – эти брандмауэры направляют трафик вашего веб-сайта через свои облачные прокси-серверы. Это позволяет им отправлять только подлинный трафик на ваш основной сервер веб-хостинга, одновременно повышая скорость и производительность WordPress.
Мы рекомендуем использовать Sucuri. Это лидер отрасли в области безопасности веб-сайтов и лучший брандмауэр WordPress на рынке. Поскольку это брандмауэр веб-сайта уровня DNS, это означает, что весь трафик вашего веб-сайта проходит через прокси-сервер, где отфильтровывается плохой трафик.
Мы используем Sucuri на нашем сайте, и вы можете прочитать наш полный обзор Sucuri, чтобы узнать больше.
Некоторые обычные атаки грубой силы активно нацелены на известные уязвимости в старых версиях WordPress, популярных плагинов WordPress или тем.
Ядро WordPress и большинство популярных плагинов WordPress имеют открытый исходный код, а уязвимости часто очень быстро исправляются с помощью обновления. Однако если вам не удастся установить обновления, вы оставите свой сайт уязвимым для этих старых угроз.
Просто зайдите на Dashboard »Страница обновлений в админке WordPress, чтобы проверить наличие доступных обновлений. На этой странице будут показаны все обновления для вашего ядра WordPress, плагинов и тем.
^
Для получения более подробной информации, смотрите наше руководство о том, как правильно обновить плагины WordPress.
Большинство атак грубой силы на сайт WordPress пытаются получить доступ к административной области WordPress. Вы можете добавить защиту паролем в папку администратора WordPress на уровне сервера. Это заблокировало бы несанкционированный доступ к вашей административной области WordPress.
Просто войдите в панель управления хостингом WordPress (cPanel) и нажмите значок «Конфиденциальность каталога» в разделе «Файлы».
Примечание. На нашем снимке экрана мы используем Bluehost, но аналогичные настройки доступны и в других ведущих хостинговых компаниях, таких как SiteGround, HostGator и т. д.
^
Далее вам нужно найти папку wp-admin и нажать на имя папки.
^
Теперь cPanel попросит вас указать имя для ограниченной папки, имя пользователя и пароль. После ввода этой информации нажмите на кнопку «Сохранить», чтобы сохранить настройки.
^
Ваш админ-каталог WordPress теперь защищен паролем. Вы увидите новый запрос на вход в систему, когда зайдете в админку WordPress.
^
Если вы столкнулись с ошибкой 404 или ошибкой слишком большого числа перенаправлений, вам нужно добавить следующую строку в ваш файл WordPress .htaccess.
^
Для получения более подробной информации, смотрите нашу статью о том, как защитить паролем папку администратора WordPress.
Двухфакторная аутентификация добавляет дополнительный уровень безопасности на ваш экран входа в WordPress. По сути, пользователям понадобятся свои телефоны для генерации одноразового пароля и учетные данные для входа в область администрирования WordPress.
^
Добавление двухфакторной аутентификации затруднит доступ хакерам, даже если они смогут взломать ваш пароль WordPress.
Подробные пошаговые инструкции см. В нашем руководстве о том, как добавить двухфакторную аутентификацию в WordPress.
Пароли – это ключи для доступа к вашему сайту WordPress. Вы должны использовать уникальные надежные пароли для всех ваших учетных записей. Надежный пароль – это комбинация цифр, букв и специальных символов.
Важно использовать надежные пароли не только для учетных записей пользователей WordPress, но и для FTP, панели управления веб-хостинга и базы данных WordPress.
Большинство начинающих спрашивают нас, как запомнить все эти уникальные пароли? Ну, тебе не нужно. Доступны отличные приложения для управления паролями, которые надежно хранят ваши пароли и автоматически заполняют их для вас.
Чтобы узнать больше, ознакомьтесь с нашим руководством для начинающих о том, как лучше управлять паролями для WordPress.
По умолчанию, когда ваш веб-сервер не находит индексный файл (то есть такой файл, как index.php или index.html), он автоматически отображает страницу индекса, показывающую содержимое каталога.
^
Во время атаки грубой силы хакеры могут использовать просмотр каталогов для поиска уязвимых файлов. Чтобы это исправить, вам нужно добавить следующую строку внизу вашего WordPress .htaccess файла.
^
Подробнее читайте в нашей статье о том, как отключить просмотр каталогов в WordPress.
Хакеры могут захотеть установить и выполнить скрипт PHP в ваших папках WordPress. WordPress написан в основном на PHP, что означает, что вы не можете отключить это во всех папках WordPress.
Однако есть некоторые папки, которые не нуждаются в PHP-скриптах. Например, ваша папка для загрузки в WordPress расположена в / wp-content / uploads.
Вы можете безопасно отключить выполнение PHP в папке загрузки, которая используется хакерами для сокрытия бэкдор-файлов.
Во-первых, вам нужно открыть текстовый редактор, например Блокнот, на своем компьютере и вставить следующий код:
^
Теперь сохраните этот файл как .htaccess и загрузите его в / wp-content / uploads / folder на вашем сайте, используя FTP-клиент.
^
Резервные копии – самый важный инструмент в вашем арсенале безопасности WordPress. Если ничего не помогает, резервное копирование позволит вам легко восстановить ваш сайт.
Большинство хостинговых компаний WordPress предлагают ограниченные возможности резервного копирования. Однако эти резервные копии не гарантируются, и вы несете единоличную ответственность за создание собственных резервных копий.
Есть несколько отличных плагинов для резервного копирования WordPress, которые позволяют планировать автоматическое резервное копирование.
Мы рекомендуем использовать UpdraftPlus. Он удобен для начинающих и позволяет быстро настроить автоматическое резервное копирование и хранить его в удаленных местах, таких как Google Drive, Dropbox, Amazon S3 и т. д.
Пошаговые инструкции см. В нашем руководстве о том, как выполнить резервное копирование и восстановление сайта WordPress с помощью UpdraftPlus.
Все вышеперечисленные советы помогут вам защитить ваш сайт WordPress от атак методом перебора. Для более полной настройки безопасности вы должны следовать инструкциям в нашем окончательном руководстве по безопасности WordPress для начинающих.
Мы надеемся, что эта статья помогла вам узнать, как защитить ваш сайт WordPress от атак методом перебора. Вы также можете посмотреть на признаки того, что ваш WordPress взломан и как исправить взломанный сайт WordPress.
Поскольку до крайнего срока соблюдения GDPR ЕС осталось всего 178 дней , многие владельцы сайтов…
Команда Gutenberg создаст станцию тестирования удобства использования в WordCamp US, где посетители смогут принять участие…
Сегодня компания 10up опубликовала предварительную версию своего плагина Distributor , нового решения для синдикации контента…
На этой неделе был выпущен Gutenberg 1.8 с несколькими заметными улучшениями, которые предоставят разработчикам плагинов…
На этой неделе был выпущен Gutenberg 15.5 с новыми функциями и улучшениями возможностей полнофункционального редактирования…
DesktopServer выпустил версию 3.8.4 своего программного обеспечения для локальной разработки. Эта версия включает в себя…