Как защитить сайт на WordPress от брутфорса и других угроз?
Брутфорс-атаки это действия с целью получить незаконный доступ к сайту или информации на сервере перебором возможных комбинаций пароля и логина. Bruteforce дословно переводится как “грубая сила”.
Вам кажется, что вашего ресурса проблема не коснется? Да, скорее всего, у вас не медиа-портал с десятками тысяч визитов ежедневно и не крупный маркетплейс. Но атакам подвергаются не только крупные ресурсы.
Дело в том, что часто конечная мишень злоумышленников даже не сам сайт, а сервер. Ресурсы после взлома могут использовать для хранения вирусов, рассылки спама и других незаконных действий.
Уделите максимум внимания защите админ панели сайта. Это необходимость и ваш вклад в общую безопасность. Какие бы надежные меры безопасности не предпринимал хостинг-провайдер, незащищенность от брутфорса может сделать защиту неэффективной.
Мы разберем несколько способов обезопасить админ панель от bruteforce атак.
Создайте сложный пароль
Брутфорс — это перебор паролей. Поэтому логично создать сложный пароль и периодически менять его. Так вероятность подбора будет ниже. Это правило касается всех пользователей, не только администраторов.
Сложные пароли с цифрами и специальными символами нужно установить также на панель управления хостингом и все другие аккаунты, которые связаны с сайтом.
Какие характеристики надежного пароля?
- Общая длина более десяти символов. Идеальным вариантом будет комбинация из 20 - 25 знаков.
- Цифры в пароле.
- Несколько спецсимволов в пароле.
Если хотите сделать пароль легко запоминаемым, используйте 3-4 слова, которые не связаны логически и не складываются в одну фразу. Между ними можно вставить цифры или спецсимволы.
Третья допустимая стратегия — использовать логически связную фразу на вашем родном языке, но набрать ее в английской раскладке клавиатуры.
Измените логин в аккаунте первого пользователя сайта
Создавайте учетные записи с неочевидными логинами. Названия admin, administrator и подобные легко подобрать. Есть даже реальные случаи, когда логином было Admin и паролем тоже Admin. Такую комбинацию подберут сразу же. Особенно, если вы не изменили стандартную страницу авторизации.
Когда новый аккаунт пользователя создан, удалите первую учетную запись.
Отключите xmlrpc.php
Атаки с автоматическими запросами к этому файлу происходят очень часто. Причина в том, что такой метод позволяет перебрать сразу десятки тысяч комбинаций. Время на взлом сокращается, а нагрузка на сервер растет.
Чтобы не дать злоумышленникам такого преимущества, доступ к файлу отключают или ограничивают.
В большинстве случаев файл вообще не используют. Если вы не уверены, сделайте бекап сайта перед тем, как выполнять следующие действия.
Отключение с помощью плагинов WordPress
Чтобы быстро отключить файл, скачайте и активируйте специальные плагины WordPress. Достаточно ввести «xmlrpc» в окне поиска на официальном маркетплейсе WordPress.
Обязательно активируйте выбранный плагин и включите все необходимые функции в меню настроек.
Запрет на доступ к файлу через .htaccess
Вы можете внести изменения в файле .htaccess в корневой директории сайта. Прописав небольшой фрагмент кода, можно существенно улучшить защиту ресурса.
Есть и второй вариант:
Здесь прописываются адреса, с которых файл будет доступен, если необходимо.
Изменить адрес админ-панели
Это сложный, но очень эффективный способ защиты. Логика в том, чтобы злоумышленники просто не могли найти адрес админпанели сайта. Изменить его можно вручную или с помощью плагинов аналогичных WPS Hide Login.
После установки и стандартной активации вы найдете меню плагина в разделе Настройки.
Последовательность действий вручную:
- Переименуйте файл wp-login.php в корневой папке сайта. Используйте неочевидную последовательность слов с дефисами в качестве разделителей. Например: new-hidden-login-page.php.
- В файле замените все упоминания wp-login.php на новое название, присвоенное этому файлу.
- То же самое нужно сделать еще в нескольких файлах корневого каталога.
Не пропускайте ни один пункт из этого перечня. Найти файлы быстрее можно с помощью файл менеджера в Plesk.
Только после выполнения трех шагов страница авторизации будет располагаться по новому адресу yourwebssite.com/new-hidden-login-page.php. Гораздо проще и быстрее будет изменить адрес с помощью плагина. Но если вы по каким-то причинам не хотите полагаться на сторонние компоненты или любите покопаться в файлах, описанный выше способ будет вполне рабочим.
Защита с помощью возможностей Plesk
Клиенты Host4Biz получают доступ к администрированию своих сайтов через Plesk Panel. Одна из причин, почему мы выбрали именно этот инструмент в его функционале. Plesk дает возможности для защиты сайта.
Метод Fail2Ban — блокировка доступа к сайту по IP адресам. Это позволяет защитить сайт от атак с перебором логинов и паролей. Инструмент сканирует логи сайта на подозрительные события. Когда количество подозрительных попыток входа с одно IP достигает определенного показателя, инструмент блокирует адрес. Возможен и второй, более мягкий вариант, когда инструмент отправляет уведомление на e-mail, а окончательное решение остается за администратором сайта. Но мы рекомендуем применять этот способ только если вы опытный пользователь.
Общую логику работы Fail2Ban задают джейлы. Так называют перечень правил в конкретном сценарии. Именно от настроек джейла зависят действия при обнаружении атаки.
Инструмент Fail2Ban включается в Plesk Obsidian по умолчанию. Работают со старта и все доступные джейлы. В большинстве ситуаций лучшим решением будет оставить настройки по умолчанию.
Если вы понимаете, что и зачем делаете, можно изменить настройки вручную. Поэтапно опишем, как это сделать:
- Найдите в разделе Безопасность вкладку Блокировка IP-адресов (Fail2Ban).
- После этого откройте Настройки. Здесь доступно изменение нескольких параметров:
- Период блокировки IP. Промежуток времени (в секундах), на который блокируется доступ к сайту с подозрительного адреса. После истечения этого времени разблокировка происходит автоматически.
- Интервал для обнаружения следующих атак. Промежуток времени, за который система отслеживает число попыток входа и других вредных и подозрительных действий. Например, параметр установлен на значении 600 секунд. Если за это время будет X безуспешных попыток входа, адрес заблокируется.
- Число допустимых неудачных попыток авторизации. Параметр связан с предыдущим. Вы определяете, после скольких неудачных попыток авторизации нужно блокировать доступ с определенного IP.
Вы также можете добавить надежные IP адреса, которые не будут блокироваться ни при каких условиях.
Для этого перейдите во вкладку Блокировка IP-адресов (Fail2Ban) > Надежные IP-адреса > Добавить надежный IP-адрес.
Ответы на другие вопросы по использованию Fail2Ban доступны в документации по ссылке.
Плагины для защиты от брутфорса и других угроз
Защитить сайт на WordPress от брутфорса и других угроз можно даже без глубоких знаний кода и CMS. Достаточно установить и правильно настроить специальные плагины. Мы расскажем о нескольких инструментах для обеспечения безопасности.
iThemes Security — комплексная защита от всех основных угроз
Это — один из мощных инструментов защиты магазина, портала или корпоративного сайта, с более чем 30 встроенными сервисами для защиты логина, восстановления после взломов и пр. Плагин распознает уязвимости, устаревшие версии WordPress и PHP и уязвимые для подбора пароли.
В бесплатной версии доступны все базовые функции безопасности. Но при работе с серьезными, нагруженными проектами рекомендуется перейти на iThemes Security Pro по цене 80 долларов в год. За эти деньги вы получаете приоритетную техническую поддержку с системой тикетов. Этот тариф позволяет установить плагин на два сайта. Если вы хотите обезопасить больше площадок, доступен и более дорогой, продвинутый тарифный план.
Теперь несколько слов о функциях PRO версии. iThemes Security Pro защищает пароли, блокирует злоумышленников, выполняет бэкапы с вашей базы данных и добавляет двухфакторную аутентификацию.
Особенности и преимущества, ради которых стоит установить этот плагин:
- Интеграция Google reCAPTCHA как инструмента для дополнительной защиты для страницы авторизации.
- Принудительное применение SSL для всех адресов на сайте (при условии, если поддерживает сервер).
- Распознание и блокировка нескольких типов атак на сервер и вашу файловую систему.
- Отслеживание неавторизованных изменений в файловой системе и сигнализирование о таких событиях.
- Изменение префикса для базы данных.
- Создание нового пути к папке wp-content для ее более надежной защиты.
- Плагин периодические сканирует ваш файлы, сравниваях установленный на сервере WordPress с текущей версией CMS. Это нужно, чтобы быстро обнаружить любые вкрапления вредоносного кода.
- Обновляет salt-ключи WordPress, делая их надежнее.
- Настройка максимального срока действия для всех паролей. Это очень удобно и серьезно повышает защищенность, так вы обязательно измените пароль от всех аккаунтов.
- Нестандартный «Режим отсутствия». Эту функцию можно включить на период, когда не планируется никаких изменений. На весь промежуток времени полностью блокируется доступ в админпанель. После истечения установленного времени доступ автоматически включается.
- Другие важные функции. Среди них обнаружение ошибок 404, защита от перебора и проверка надежности в пароле.
Wordfence Security
Здесь сочетаются простота и мощные инструменты для устранения основных угроз. Среди них функции защищенной авторизации, инструменты быстрого восстановления после взломов. Одно из преимуществ Wordfence аналитические инструменты, которые помогут изучить общие тенденции в трафике и попытках взлома сайта.
Wordfence предлагает отличный бесплатный набор инструментов безопасности. Он включает все, от фаервола до отражения брутфорс атак.
Премиум-версия продается по цене от 99 долларов в год. Тариф позволяет работать с одним сайтом. Создатели предлагают классные тарифы для разработчиков, предоставляя большие скидки тем, кто сопровождает несколько ресурсов. Например, если вы купите 15+ лицензий, вы получите скидку 25% или 74,25 доллара за лицензию. Wordfence будет выгоднее, если вы разрабатываете несколько веб-сайтов и хотите защитить их все.
Функции, ради которых стоит установить WordFence Security:
- Бесплатной версии будет достаточно для эффективной защиты небольших корпоративных веб-сайтов или интернет-магазинов.
- Удобные планы для разработчиков сайтов с мульти лицензионной подпиской.
- Полный набор встроенных брандмауэров. Есть инструментами для блокировки по критерию страны, избирательной ручной блокировки, защиты от перебора, real-time мониторинга и блокировки угроз.
- Плагин мониторит посещаемость в режиме real time. Алгоритм анализирует активность сканирования Google, динамику входов в систему и выходов из нее, явно живых пользователей и ботов.
- С плагином вы получаете несколько очень удобных инструментов, например, возможность входить в админ панель с помощью мобильного телефона и проверять пароли на стойкость.
- Фильтр спама в комментариях избавляет от необходимости устанавливать для этого отдельный плагин.
- Он отслеживает ваши плагины и сообщает, были ли они удалены из репозитория плагинов WordPress (обычно из-за небезопасности или взлома).
Acunetix WP Security
Плагин работает как сканер уязвимостей и предлагает решения для всех проблем с защитой сайта. Инструмент проверяет все аспекты безопасности:
- пароли;
- права доступа;
- защиту базы данных;
- отображение важных сведений и пр.
Серьезное преимущество инструмента в том, что он на 100% бесплатный.
Его основные возможности и преимущества:
- возможность работать с мультисайтами;
- встроенный инструмент для бэкапа базы данных;
- отключение информации о неправильном логине и пароле на странице авторизации;
- скрывает версию WordPress везде, кроме административной панели;
- отчеты о результатах сканирования и правах доступа к сайту и файлам;
- изменение префиксов к базе данных и пр.
WP fail2ban — инструмент для блокировки злоумышленников по IP
WP fail2ban реализует только одну, но очень важную функцию: защиту от атак методом bruteforce. Для этого блокируется доступ к сайту с определенных IP. Метод достаточно радикальный, но часто именно он будет самым эффективным.
Дополнение постоянно документирует все попытки входа в систему, независимо от их характера или успешности, в системный журнал с помощью LOG_AUTH. У вас есть возможность установить мягкий или жесткий бан, который отличается от более традиционного подхода, когда выбирается только один.
WP fail2ban не требует настройки. Фактически, все, что вам нужно сделать, это установить его и позволить ему творить чудеса. Кроме того, инструмент полностью бесплатный.
Особенности, которые делают WP fail2ban отличным решением:
- Выбор между жесткой и мягкой блокировкой.
- Интеграция с CloudFlare и прокси-серверами.
- Предотвращение спама и вредоносных комментариев на страницах сайта.
- Плагин также регистрирует информацию о спаме, пингбэках и других действиях вредных для сайта.
All In One WP Security & Firewall
Интерфейс плагина интуитивно понятный. Инструмент наглядно отображает даже для начинающих такие показатели, как уровень безопасности. Также выводятся в меню рекомендации для защиты сайта.
Функции разделены на три уровня: базовые, средние и продвинутые. Основные возможности этого плагина:
- защита аккаунтов всех пользователей,
- блокировка попыток брутфорса;
- дополнительная защита при регистрации новых аккаунтов;
- продвинутые меры безопасности для файлов и базы данных.
Возможности и преимущества этого компонента:
- Есть функция черного списка, в котором вы можете установить условия автоматической блокировки нежелательных пользователей и адресов.
- Быстрое и просто резервное копирование файлов .htaccess и .wp-config. Встроенные возможности для восстановления.
- Все функции инструмента доступны бесплатно.
Итоги
Каждый из перечисленных способов снижает вероятность взлома брутфорсом. Максимальный эффект они дают в комплексе. Мы подобрали и описали меры защиты, которые можно реализовать даже без глубоких знаний в программировании и системном администрировании. Поэтому, рекомендации будут полезны всем! Внедряйте их уже сегодня.
Защищайте и развивайте свой сайт, а команда Host4Biz обеспечит надежный хостинг и поможет вам в этом.