Site-ul dvs. WordPress este vulnerabil la atacurile de tip brute-force? Aceste atacuri nu numai că pot încetini site-ul dvs. și îl pot face dificil de accesat, dar pot chiar permite hackerilor să vă spargă parolele și să instaleze malware. Acest lucru vă poate afecta grav site-ul și afacerea.
La WPBeginner, ne bazăm în mare măsură pe instrumente de securitate precum Sucuri și Cloudflare pentru a ne menține site-ul în siguranță. Sucuri ne-a ajutat odată să blocăm 450.000 de atacuri WordPress într-o perioadă de 3 luni.
În acest articol, vă vom arăta cum să vă protejați site-ul WordPress de atacurile de tip brute-force.
Ce este un atac de tip Brute Force?
Un atac de tip brute force este o metodă de hacking care folosește încercarea și eroarea pentru a accesa un site web, o rețea sau un sistem informatic.
Cel mai comun tip de atac brute force este ghicirea parolei. Hackerii folosesc software automatizat pentru a continua să ghicească informațiile dvs. de conectare, astfel încât să poată obține acces la site-ul dvs. web.
Aceste instrumente automate de hacking se pot deghiza, de asemenea, folosind diferite adrese IP și locații, ceea ce face mai dificilă identificarea și blocarea activităților suspecte.
Un atac brute force reușit poate oferi hackerilor acces la zona de administrare a site-ului dvs. web. Aceștia pot instala malware, pot fura informații despre utilizatori și pot șterge totul de pe site-ul dvs.
Chiar și atacurile nereușite de tip brute force pot provoca ravagii prin trimiterea prea multor cereri către serverele dvs. de găzduire WordPress, încetinind sau chiar blocând complet site-ul dvs. web.
Acestea fiind spuse, să vedem cum vă puteți proteja site-ul WordPress de atacurile de tip brute-force. Iată pașii pe care îi vom urma:
- Instalați un plugin de firewall pentru WordPress
- Instalați actualizările WordPress
- Protejați directorul de administrare WordPress
- Adăugați autentificare în doi pași în WordPress
- Folosiți parole unice și puternice
- Dezactivare navigare directoare
- Dezactivarea execuției fișierelor PHP în foldere specifice WordPress
- Instalați și configurați un plugin de backup WordPress
1. Instalați un plugin de firewall pentru WordPress
Atacurile de tip brute force pun o sarcină mare pe serverele dumneavoastră. Chiar și cele nereușite pot încetini site-ul dumneavoastră sau pot bloca complet serverul. Acesta este motivul pentru care este important să le blocați înainte de a ajunge la serverul dumneavoastră.
Pentru a face acest lucru, veți avea nevoie de o soluție de firewall pentru site-uri web. Un firewall filtrează traficul rău și îl blochează din a accesa site-ul dvs.
Există două tipuri de firewall-uri pentru site-uri web pe care le puteți utiliza:
- Firewall-urile la nivel de aplicație examinează traficul odată ce ajunge pe serverul dvs., dar înainte de a încărca majoritatea scripturilor WordPress. Această metodă nu este la fel de eficientă, deoarece un atac de tip brute-force poate afecta în continuare încărcarea serverului.
- Firewall-urile pentru site-uri web la nivel DNS direcționează traficul site-ului dvs. web prin serverele lor proxy cloud. Acest lucru le permite să trimită doar trafic autentic către serverul dvs. principal de găzduire web, oferind în același timp un impuls vitezei și performanței WordPress.
Vă recomandăm să folosiți Sucuri. Aceștia sunt liderul industriei în securitatea site-urilor web și cel mai bun firewall WordPress de pe piață. Deoarece au un firewall la nivel DNS, acest lucru înseamnă că tot traficul site-ului dvs. web trece prin proxy-ul lor, unde traficul rău este filtrat.
Folosim Sucuri pe site-ul nostru și puteți citi recenzia noastră completă Sucuri pentru a afla mai multe.
2. Instalați actualizările WordPress
Unele atacuri comune de tip brute force vizează activ vulnerabilități cunoscute în versiuni mai vechi de WordPress, pluginuri populare WordPress sau teme.
Nucleul WordPress și cele mai populare pluginuri WordPress sunt open source, iar vulnerabilitățile sunt adesea remediate foarte rapid printr-o actualizare. Cu toate acestea, dacă nu reușiți să instalați actualizările, atunci lăsați site-ul dvs. vulnerabil la acele amenințări vechi.
Pur și simplu accesați pagina Dashboard » Actualizări din zona de administrare WordPress pentru a verifica actualizările disponibile. Această pagină va afișa toate actualizările pentru nucleul WordPress, plugin-urile și temele dvs.
Pentru mai multe detalii, consultați ghidurile noastre despre cum să actualizați în siguranță WordPress și cum să actualizați corect pluginurile WordPress.
3. Protejați directorul de administrare WordPress
Majoritatea atacurilor de tip brute force asupra unui site WordPress încearcă să obțină acces la zona de administrare WordPress. Puteți adăuga protecție prin parolă la directorul de administrare WordPress la nivel de server. Acest lucru va bloca accesul neautorizat la zona dvs. de administrare WordPress.
Pur și simplu conectați-vă la panoul de control al găzduirii WordPress (cPanel) și faceți clic pe pictograma „Confidențialitate director” din secțiunea Fișiere.
Notă: Folosim Bluehost în captura noastră de ecran, dar setări similare sunt disponibile și pe alte companii de hosting de top, cum ar fi HostGator.
Apoi, trebuie să localizați folderul wp-admin.
Odată ce îl găsiți, ar trebui să faceți clic pe butonul său „Editare”.
Pe pagina următoare puteți seta setările de securitate pentru folder.
Mai întâi, trebuie să bifați căsuța „Protejați acest director cu parolă”. Apoi, puteți introduce un nume pentru directorul protejat.
Apoi, vi se va cere să furnizați un nume de utilizator și o parolă.
Vi se vor cere aceste informații ori de câte ori veți încerca să accesați acest director.
După ce ați introdus aceste informații, faceți clic pe butonul „Salvare” pentru a vă salva setările.
Directorul dvs. de administrare WordPress este acum protejat prin parolă.
Veți vedea o nouă solicitare de autentificare atunci când vizitați zona de administrare WordPress.
Dacă întâmpinați o eroare 404 sau mesajul prea multe redirecționări, atunci trebuie să adăugați următoarea linie în fișierul .htaccess al WordPress-ului dvs.:
ErrorDocument 401 default
Pentru mai multe detalii, consultați articolul nostru despre cum să protejați cu parolă directorul de administrare WordPress.
4. Adăugați autentificarea cu doi factori în WordPress
Autentificarea în doi pași adaugă un strat suplimentar de securitate ecranului de conectare WordPress. Utilizatorii vor avea nevoie de telefoanele lor pentru a genera un cod de acces unic, împreună cu credențialele lor de conectare, pentru a accesa zona de administrare WordPress.
Adăugarea autentificării în doi pași va face mai dificil pentru hackeri să obțină acces, chiar dacă reușesc să vă spargă parola WordPress.
Pentru instrucțiuni detaliate, pas cu pas, consultați ghidul nostru despre cum să adăugați autentificare în doi pași în WordPress.
5. Folosiți parole unice și puternice
Parolele sunt cheile pentru a obține acces la site-ul dvs. WordPress sau la magazinul de eCommerce. Trebuie să folosiți parole unice și puternice pentru toate conturile dvs. O parolă puternică este o combinație de numere, litere și caractere speciale.
Este important să folosiți parole puternice nu doar pentru conturile dvs. de utilizator WordPress, ci și pentru clientul FTP, panoul de control al găzduirii web și baza de date WordPress.
Mulți începători ne întreabă cum să-și amintească toate aceste parole unice. Ei bine, nu este nevoie. Există aplicații excelente de gestionare a parolelor disponibile care vă vor stoca în siguranță parolele și le vor completa automat pentru dvs.
Pentru a afla mai multe, consultați ghidul nostru pentru începători despre cele mai bune modalități de a gestiona parolele pentru WordPress.
6. Dezactivați navigarea în director
În mod implicit, atunci când serverul dvs. web nu găsește un fișier index (cum ar fi index.php sau index.html), acesta afișează automat o pagină index care arată conținutul directorului.
În timpul unui atac de tip brute force, hackerii pot folosi navigarea prin directoare ca aceasta pentru a căuta fișiere vulnerabile. Pentru a remedia acest lucru, trebuie să adăugați următoarea linie în partea de jos a fișierului .htaccess al WordPress-ului dvs. folosind un serviciu FTP:
Options -Indexes
Pentru mai multe detalii, consultați articolul nostru despre cum să dezactivați navigarea în director în WordPress.
7. Dezactivați execuția fișierelor PHP în foldere specifice WordPress
Hackerii ar putea dori să instaleze și să execute un script PHP în folderele dvs. WordPress. WordPress este scris în principal în PHP, ceea ce înseamnă că nu îl puteți dezactiva în toate folderele WordPress.
Cu toate acestea, există unele foldere care nu necesită scripturi PHP, cum ar fi folderul de încărcări WordPress situat la /wp-content/uploads.
Puteți dezactiva în siguranță execuția PHP în folderul de încărcări, care este un loc comun pe care hackerii îl folosesc pentru a ascunde fișiere de tip backdoor.
Mai întâi, trebuie să deschideți un editor de text precum Notepad pe computer și să lipiți următorul cod:
<Files *.php>
deny from all
</Files>
Acum, salvați acest fișier ca .htaccess și încărcați-l în folderele /wp-content/uploads/ de pe site-ul dvs. web folosind un client FTP.
8. Instalați și configurați un plugin de backup pentru WordPress
Backup-urile sunt cel mai important instrument din arsenalul de securitate WordPress. Dacă totul eșuează, backup-urile vă vor permite să restaurați cu ușurință site-ul.
Majoritatea companiilor de hosting WordPress oferă opțiuni limitate de backup. Cu toate acestea, aceste backup-uri nu sunt garantate, iar dumneavoastră sunteți singurul responsabil pentru realizarea propriilor backup-uri.
Există mai multe pluginuri de backup pentru WordPress excelente care vă permit să programați backup-uri automate.
Recomandăm utilizarea Duplicator. Este ușor de utilizat pentru începători și vă permite să configurați rapid backup-uri automate și să le stocați în locații la distanță, cum ar fi Google Drive, Dropbox, Amazon S3, One Drive și altele.
Există, de asemenea, o versiune gratuită a Duplicator pe care o puteți folosi pentru a începe.
Pentru instrucțiuni pas cu pas, puteți urma acest ghid despre cum să vă faceți backup site-ului WordPress cu Duplicator.
Toate sfaturile menționate mai sus vă vor ajuta să vă protejați site-ul WordPress împotriva atacurilor de tip brute-force. Pentru o configurare de securitate mai cuprinzătoare, ar trebui să urmați instrucțiunile din ghidul nostru ghidul suprem de securitate WordPress pentru începători.
Sperăm că acest articol v-a ajutat să învățați cum să vă protejați site-ul WordPress de atacurile brute-force. De asemenea, ați putea dori să consultați ghidul nostru despre cum să reparați un site WordPress compromis și selecțiile noastre de experți ale celor mai bune pluginuri de firewall WordPress.
Dacă ți-a plăcut acest articol, te rugăm să te abonezi la canalul nostru de YouTube pentru tutoriale video WordPress. Ne poți găsi, de asemenea, pe Twitter și Facebook.
Olaf
Acestea sunt sfaturi foarte valoroase. Un atac de tip brute force poate fi foarte periculos, mai ales dacă furnizorul de găzduire nu are soluții de fond și, mai presus de toate, dacă utilizatorii au parole slabe, compuse din fraze simple. Personal, totul începe întotdeauna cu parola. Caractere, simboluri, cifre... aceasta este singura combinație corectă. Numele și frazele sunt cele mai rele. Dacă oamenii înțeleg acest lucru, sunt în mare parte protejați, cu condiția ca parolele să aibă cel puțin opt caractere sau mai mult. Cu toate acestea, este greu să-i înveți pe oameni acest lucru, deoarece ei doresc parole pe care să le poată aminti. De aceea este bine să folosiți dispozitive mnemonice pentru parole. Folosesc parole care nu au sens, dar mi le amintesc prin mnemonice. Adăugarea unui strat suplimentar de securitate îmbunătățește doar siguranța generală, iar eu consider autentificarea în doi factori cea mai bună a doua strat. Cu aceasta, șansa unei breșe devine aproape minimă.
Dayo Olobayo
Acesta este un ghid excelent pentru securizarea site-ului dvs. WordPress! Un sfat suplimentar pe care l-aș recomanda este să vă monitorizați în mod regulat încercările de conectare. Multe pluginuri de securitate oferă jurnale detaliate unde puteți urmări încercările de conectare, inclusiv adresele IP de origine. Acest lucru vă poate ajuta să identificați activități suspecte și să blocați potențial adrese IP malițioase.
Mrteesurez
Mulțumesc pentru recomandarea ta.
Obișnuiam să verific detaliile log-urilor pentru a identifica adresa IP a încercărilor de autentificare. Dar există vreo modalitate de a primi o notificare pentru încercările de autentificare direct pe email?
Cunoști vreun plugin care face asta?
Dayo Olobayo
Cred că plugin-ul Limit Login Attempts Reloaded poate trimite notificări prin e-mail pentru încercările de conectare. Puteți verifica.
Mrteesurez
Ok, Mulțumesc pentru răspuns, Dayo. Este dificil și necesită timp să mă autentific frecvent pentru a verifica încercările din jurnalul de erori pe mai multe site-uri web, de aceea am preferat să primesc e-mailuri la fiecare încercare. Mulțumesc.
Jiří Vaněk
Am observat că nu ați inclus în listă opțiunea de a schimba URL-ul administrației WordPress. Există un motiv pentru asta? Este, de asemenea, una dintre metodele foarte bune de a preveni atacurile, deoarece atacatorii nu vor cunoaște URL-ul administrației site-ului web.
Suport WPBeginner
Nu recomandăm acest lucru, deoarece poate cauza probleme cu plugin-urile și depanarea și nu adaugă mult la securitatea unui site.
Admin
Jiří Vaněk
Ei bine, probabil aveți experiență cu asta. Îl folosesc pe blogul meu și nu am avut niciodată probleme pe toate site-urile. Am presupus că schimbarea URL-ului ar putea face administrarea mai sigură, neștiind URL-ul pentru atacator, dar voi urma sfatul dvs.
Moinuddin Waheed
Aceasta este o problemă foarte comună pentru utilizatorii de WordPress. De cele mai multe ori acordăm puțină sau deloc atenție protejării site-ului nostru web sau blogului și apoi ne plângem când se întâmplă ceva de acest gen.
Am fost victima acestui atac de tip brute force în 2017 și de atunci m-am asigurat să folosesc backup-ul complet al site-ului meu și autentificarea în doi factori pentru a mă conecta.
Există o modalitate prin care putem identifica dacă a fost instalat vreun software malițios sau dacă tabloul nostru de bord a fost compromis?
Suport WPBeginner
Puteți utiliza unele dintre opțiunile de scanare pe care le recomandăm în articolul nostru de mai jos!
https://014.leahstevensyj.workers.dev/plugins/how-to-scan-your-wordpress-site-for-potentially-malicious-code/
Admin
Moinuddin Waheed
Mulțumesc pentru răspuns și recomandarea tutorialului.
Explorez aceste ghiduri pentru a crea o agenție de succes pentru site-uri web WordPress.
Vreau să mă asigur că site-urile web pe care le creez pentru clienții mei sunt sigure și infailibile.
Renuga
Salut,
Pentru protecția de administrator pasul 3, trebuie să afișăm autentificarea doar în WP-admin, dar se afișează și pe site. Așadar, vă rugăm să ne ajutați cum să afișăm doar în WP-admin.
Suport WPBeginner
Dacă vă referiți la faptul că este în zona dvs. de widget-uri, este posibil să doriți să verificați un widget meta sub Aspect>Widget-uri
Admin
Dreamandu
Sunt sub atac de tip brute force chiar acum, de la diferite adrese IP. Ce pot face pentru a-mi proteja site-ul acum?
Suport WPBeginner
Puteți folosi oricare dintre metodele prezentate în acest articol pentru a începe să combateți atacul de tip brute force.
Admin
Chidubem Ezenwa
Încă un ghid util. Mulțumesc, băieți.