україна
0 800 211 575
україна
+38 089 120 57 22
+48 22 307 97 57
підтримка відділ продажів

Як захистити сайт на WordPress від брутфорса та інших загроз?

host4.biz logo
04 жовтня 2021 Комментариев нет
Як захистити сайт на WordPress від брутфорса та інших загроз?

Брутфорс-атаки це дії з метою отримати незаконний доступ до сайту або інформації на сервері перебором можливих комбінацій пароля і логіна. Bruteforce дослівно перекладається як "груба сила".

Вам здається, що вашого ресурсу проблема не торкнеться? Так, швидше за все, у вас не медіа-портал з десятками тисяч візитів щодня і не великий маркетплейс. Але атакам піддаються не тільки великі ресурси.

Справа в тому, що часто кінцевою метою зловмисників навіть не сам сайт, а сервер. Ресурси після злому можуть використовувати для зберігання вірусів, розсилки спаму і інших незаконних дій.

Приділіть максимум уваги захисту адмін панелі сайту. Це необхідність і ваш внесок у спільну безпеку. Які б надійні заходи безпеки не застосовував хостинг-провайдер, незахищеність від брутфорса може зробити систему безпеки неефективною.

Ми розберемо кілька способів убезпечити адмін панель від bruteforce атак та інших загроз.

Створіть складний пароль

Брутфорс — це перебір паролів. Тому логічно створити складний пароль і періодично міняти його. Так ймовірність підбору буде значно нижче. Це правило стосується всіх користувачів, не тільки адміністраторів.

Складні паролі з цифрами і спеціальними символами потрібно встановити також на панель управління хостингом і всі інші акаунти, які пов'язані з сайтом.

Які характеристики надійного пароля?

  1. Загальна довжина понад десяти символів. Ідеальним варіантом буде комбінація з 20 - 25 знаків.
  2. Цифри в паролі.
  3. Кілька спецсимволов в паролі.

Якщо хочете зробити пароль легко запам'ятовується, використовуйте 3-4 слова, які не пов'язані логічно і не складаються в одну фразу. Між ними можна вставити цифри або спеціальні символи.

Третя можлива стратегія — використовувати логічно зв'язну фразу українською, але набрати її в англійській розкладці клавіатури.

Змініть логін в акаунті першого користувача сайту

Створюйте облікові записи з неочевидними логінами. Назви admin, administrator і подібні легко підібрати. Є навіть реальні випадки, коли логіном було Admin і паролем теж Admin. Таку комбінацію підберуть відразу ж. Особливо, якщо ви не змінили стандартну сторінку авторизації.

Коли новий акаунт користувача створений, видаліть перший обліковий запис.

Вимкніть xmlrpc.php

Атаки з автоматичними запитами до цього файлу відбуваються дуже часто. Причина в тому, що такий метод дозволяє перебрати відразу десятки тисяч комбінацій. Час на злом скорочується, а навантаження на сервер зростає.

Щоб не дати зловмисникам такої переваги, доступ до файлу відключають або обмежують.

У більшості випадків файл взагалі не використовують. Якщо ви не впевнені, зробіть бекап сайту перед тим, як виконувати такі дії.

Відключення за допомогою плагінів WordPress

Щоб швидко відключити файл, скачайте і активуйте спеціальні плагіни WordPress. Досить ввести «xmlrpc» у вікні пошуку на офіційному маркетплейсе WordPress

Обов'язково активуйте обраний плагін і включіть всі необхідні функції в меню налаштувань.

Заборона на доступ до файлу через .htaccess

Ви можете внести зміни в файлі .htaccess в кореневій директорії сайту. Прописавши невеликий фрагмент коду, істотно поліпшите захист ресурсу.

Є і другий варіант:

Тут прописуються адреси, з яких файл за необхідності буде доступний. 

Змініть адресу адмін-панелі

Це складний, але дуже ефективний спосіб захисту. Логіка в тому, щоб зловмисники просто не могли знайти адресу адмін-панелі сайту. Змінити його можна вручну або за допомогою плагінів аналогічних WPS Hide Login.

Після установки і стандартної активації ви знайдете меню плагіна в розділі Налаштування.

Послідовність дій вручну:

  1. Перейменуйте файл wp-login.php в кореневій папці сайту. Використовуйте неочевидну послідовність слів з дефісами в якості роздільників. Наприклад: new-hidden-login-page.php.
  2. У файлі замініть всі згадки wp-login.php на нову назву, присвоєне цього файлу.
  3. Те ж саме потрібно зробити ще в декількох файлах кореневого каталогу.

Не пропускайте жоден пункт з цього переліку. Знайти файли швидше можна за допомогою файл менеджера в Plesk.

Тільки після виконання трьох кроків сторінка авторизації буде розташовуватися за новою адресою yourwebssite.com/new-hidden-login-page.php. Набагато простіше і швидше буде змінити адресу за допомогою плагіна. Але якщо ви з якихось причин не хочете покладатися на сторонні компоненти або любите зробити все власноруч, описаний вище спосіб буде цілком робочим.

Захист за допомогою можливостей Plesk

Клієнти Host4Biz отримують доступ до адміністрування своїх сайтів через Plesk Panel. Одна з причин, чому ми вибрали саме цей інструмент в його функціонал. Plesk дає можливості для захисту сайту.

Метод Fail2Ban — блокування доступу до сайту по IP адресам. Це дозволяє захистити сайт від атак з перебором логінів і паролів. Інструмент сканує логи сайту на підозрілі події. Коли кількість підозрілих спроб входу з однієї IP-адреси досягає певного показника, інструмент блокує адресу. Можливий і другий, більш м'який варіант, коли інструмент відправляє повідомлення на e-mail, а остаточне рішення залишається за адміністратором сайту. Але ми рекомендуємо застосовувати цей спосіб тільки якщо ви досвідчений користувач.

Загальну логіку роботи Fail2Ban задають джейли. Так називають перелік правил в конкретному сценарії. Саме від налаштувань джейла залежать дії при виявленні атаки.

Інструмент Fail2Ban включається в Plesk Obsidian за замовчуванням. Працюють зі старту і всі доступні джейли. У більшості ситуацій кращим рішенням буде залишити настройки за замовчуванням.

Якщо ви розумієте, що і навіщо робите, можна змінити настройки самостійно. Поетапно опишемо, як це зробити:

  1. Знайдіть в розділі Безпека вкладку Блокування IP-адрес (Fail2Ban).
  2. Після цього відкрийте Налаштування. Тут є зміна кількох параметрів:
  1. Період блокування IP. Проміжок часу (в секундах), на який блокується доступ до сайту з підозрілої адреси. Після закінчення цього часу розблокування відбувається автоматично.
  2. Інтервал для виявлення наступних атак. Проміжок часу, за який система відстежує число спроб входу і інших шкідливих і підозрілих дій. Наприклад, параметр встановлений на значенні 600 секунд. Якщо за цей час буде X безуспішних спроб входу, адреса заблокується.
  3. Число допустимих невдалих спроб авторизації. Параметр пов'язаний з попереднім. Ви визначаєте, після скількох невдалих спроб авторизації потрібно блокувати доступ з IP-адреси.

Ви також можете додати надійні IP адреси, які не будуть блокуватися ні за яких умов.

Для цього перейдіть у вкладку Блокування IP-адрес (Fail2Ban)> Надійні IP-адреси> Додати надійну IP-адресу.

Відповіді на інші питання по використанню Fail2Ban доступні в документації за посиланням.

Модулі для захисту від брутфорса та інших загроз

Захистити сайт на WordPress від брутфорса і інших погроз можна навіть без глибоких знань коду і CMS. Досить встановити і правильно налаштувати спеціальні плагіни. Ми розповімо про декілька інструментах для забезпечення захисту.

iThemes Security — комплексний захист від усіх основних загроз

Це — один із потужних інструментів захисту магазину, порталу або корпоративного сайту, з більш ніж 30 вбудованими сервісами для захисту логіна, відновлення після зломів і ін. Плагін розпізнає вразливості, застарілі версії WordPress і PHP і вразливі для підбору паролі.

У безкоштовної версії доступні всі базові функції безпеки. Але при роботі з серйозними, навантаженими проектами рекомендується перейти на iThemes Security Pro за ціною 80 доларів на рік. За ці гроші ви отримуєте пріоритетну технічну підтримку з системою тікетів. Цей тариф дозволяє встановити плагін на два сайти. Якщо ви хочете убезпечити більше майданчиків, доступний і більш дорогий, просунутий тарифний план.

Тепер кілька слів про функції PRO версії. iThemes Security Pro захищає паролі, блокує зловмисників, виконує бекапи з вашої бази даних і додає двухфакторную аутентифікацію.

Особливості та переваги, заради яких варто встановити цей плагін:

  1. Інтеграція Google reCAPTCHA як інструменту для додаткового захисту для сторінки авторизації.
  2. Примусове застосування SSL для всіх адрес на сайті (за умови, якщо підтримує сервер).
  3. Розпізнавання і блокування декількох типів атак на сервер і вашу файлову систему.
  4. Відстеження неавторизованих змін до файлової системи і сигналізування про такі події.
  5. Зміна префікса для бази даних.
  6. Створення нового шляху до папки wp-content для її більш надійного захисту.
  7. Плагін періодичні сканує ваш файли, порівнювати встановлений на сервері WordPress з поточною версією CMS. Це потрібно, щоб швидко виявити будь-які вкраплення шкідливого коду.
  8. Оновлює salt-ключі WordPress, роблячи їх надійніше.
  9. Налаштування максимального терміну дії для всіх паролів. Це дуже зручно і серйозно підвищує захищеність, так ви обов'язково змініть пароль від всіх акаунтів.
  10. Нестандартний «Режим відсутності». Цю функцію можна включити на період, коли не планується ніяких змін. На весь проміжок часу повністю блокується доступ в адмін панель. Після закінчення встановленого часу доступ автоматично включається.
  11. Інші важливі функції. Серед них виявлення помилок 404, захист від перебору і перевірка надійності в паролі.

Wordfence Security

Тут поєднуються простота і потужні інструменти для усунення основних загроз. Серед них функції захищеної авторизації, інструменти швидкого відновлення після зломів. Одна з переваг Wordfence аналітичні інструменти, які допоможуть вивчити загальні тенденції в трафіку і спробах злому сайту.

Wordfence пропонує відмінний безкоштовний набір інструментів безпеки. Він включає все, від фаервола до відбиття брутфорс атак.

Преміум-версія продається за ціною від 99 доларів в рік. Тариф дозволяє працювати з одним сайтом. Творці пропонують класні тарифи для розробників, надаючи великі знижки тим, хто супроводжує кілька ресурсів. Наприклад, якщо ви купите 15+ ліцензій, ви отримаєте знижку 25% або 74,25 долара за ліцензію. Wordfence буде вигідніше, якщо ви розробляєте кілька веб-сайтів і хочете захистити їх всі.

Функції, заради яких варто встановити WordFence Security:

  1. Безкоштовної версії буде досить для ефективного захисту невеликих корпоративних веб-сайтів або інтернет-магазинів.
  2. Зручні плани для розробників сайтів з мульти ліцензійною підпискою.
  3. Повний набір вбудованих брандмауерів. Є інструментами для блокування за критерієм країни, виборчої ручного блокування, захисту від перебору, real-time моніторингу та блокування загроз.
  4. Плагін моніторить відвідуваність в режимі real time. Алгоритм аналізує активність сканування Google, динаміку входів в систему і виходів з неї, явно живих користувачів і пошукових роботів.
  5. З плагіном ви отримуєте кілька дуже зручних інструментів, наприклад, можливість входити в адмін панель за допомогою мобільного телефону і перевіряти паролі на стійкість.
  6. Фільтр спаму в коментарях позбавляє від необхідності встановлювати для цього окремий плагін.
  7. Він відстежує ваші плагіни і повідомляє, чи були вони вилучені зі сховищ плагінів WordPress (зазвичай через небезпеку або злом).

Acunetix WP Security

Плагін працює як сканер вразливостей і пропонує рішення для всіх проблем із захистом сайту. Інструмент перевіряє всі аспекти безпеки:

  1. паролі;
  2. права доступу;
  3. захист бази даних;
  4. відображення важливих відомостей та ін.

Серйозна перевага інструменту в тому, що він на 100% безкоштовний.

Його основні можливості та переваги:

  1. можливість працювати з мультисайтами;
  2. вбудований інструмент для бекапа бази даних;
  3. відключення інформації про неправильні логін та пароль на сторінці авторизації;
  4. приховує версію WordPress всюди, крім адміністративної панелі;
  5. звіти про результати сканування і правах доступу до сайту і файлів;
  6. зміна префіксів до бази даних та ін.

WP fail2ban — інструмент для блокування зловмисників за IP

WP fail2ban реалізує тільки одну, але дуже важливу функцію: захист від атак методом bruteforce. Для цього блокується доступ до сайту з певних IP. Метод досить радикальний, але часто саме він буде найефективнішим.

Доповнення постійно документує всі спроби входу в систему, незалежно від їх характеру або успішності, в системний журнал за допомогою LOG_AUTH. У вас є можливість встановити м'який або жорсткий бан, який відрізняється від більш традиційного підходу, коли вибирається тільки один.

WP fail2ban не вимагає настройки. Фактично, все, що вам потрібно зробити, це встановити його і дозволити йому творити чудеса. Крім того, інструмент повністю безкоштовний.

Особливості, які роблять WP fail2ban відмінним рішенням:

  1. Вибір між жорстким (автоматичним) і м'яким (за рішенням адмінстратора) блокуванням.
  2. Інтеграція з CloudFlare і проксі-серверами.
  3. Запобігання спаму і шкідливим коментарям на сторінках сайту.
  4. Плагін також реєструє інформацію про спам, пінґбеки та інші дії шкідливі для сайту.

All In One WP Security & Firewall

Інтерфейс плагіна інтуїтивно зрозумілий. Інструмент наочно відображає навіть для початківців такі показники, як рівень безпеки. Також виводяться в меню рекомендації для захисту сайту.

Функції розділені на три рівні: базові, середні і просунуті. Основні можливості цього плагіна:

  1. захист акаунтів всіх користувачів,
  2. блокування спроб брутфорса;
  3. додатковий захист при реєстрації нових акаунтів;
  4. просунуті заходи безпеки для файлів і бази даних.

Можливості і переваги цього компонента:

  1. Є функція чорного списку, в якому ви можете встановити умови автоматичного блокування небажаних користувачів і адрес.
  2. Швидке і просто резервне копіювання файлів .htaccess і .wp-config. Вбудовані можливості для відновлення.
  3. Всі функції інструменту доступні безкоштовно.

Підсумки

Кожен з перерахованих способів знижує ймовірність злому брутфорсом. Максимальний ефект вони дають у комплексі. Ми підібрали і описали заходи захисту, які можна реалізувати навіть без глибоких знань в програмуванні та системному адмініструванні. Тому, рекомендації будуть корисні всім! Впроваджуйте їх уже сьогодні.

Захищайте і розвивайте свій сайт, а команда Host4Biz забезпечує надійний хостинг і допоможе вам у цьому.