Как защитить от перебора паролей — атак брутфорс WordPress-сайт

Как защититься от брутфорс атак WordPress

Разбираемся, что такое брутфорс атака и как от нее защитить сайт WordPress. Рассмотрим рабочие бесплатные способы.

Что такое брутфорс

Это еще называют атакой полного перебора. Не использует интеллектуальную стратегию, а подбираются разные комбинации символов, пока не будет найдена правильная. Это похоже на взлом сейфа, когда перебираются все возможные комбинации чисел, пока его двери не откроются.

Обычно выполняются скриптами или ботами, нацеленными на страницу входа на веб-сайт, чтобы узнать логин, пароль и получить полный доступ.

Откуда обычно берутся атаки в WP

Есть несколько источников:

  • простые пароли,
  • протокол xmlrpc,
  • ключи Rest API,
  • кукисы.

Софт для взлома и как он работает

Для поиска уязвимостей существует специальное программное обеспечение. Недобросовестные люди используют его и для взлома. Коротко разберем самые популярные программы и опишем их основные возможности.

WPScan

Этот софт сканирует удаленный WordPress-сайт и ищет проблемы безопасности. Может выявить уязвимости в версии движка, установленных темах и плагинах.

С этим ПО можно узнать:

  • версию движка;
  • наличие файлов readme и robots.txt;
  • возможность загрузки файлов;
  • названия и версии установленных тем/плагинов;
  • активную тему;
  • имена пользователей;
  • получить доступ к резервным копиям конфигурационных файлов и фалов замены базы данных.

Kali Linux

Бесплатный дистрибутив на основе операционной системы Debian с ядром Linux. Разработан для тестирования безопасности информационных систем. Имеет 600+ инструментов для проверки на всевозможные уязвимости.

Metasploit

Набор программ для создания и отладки эксплойтов. Включает информацию по исследованиям в сфере информационной безопасности.

Burp Suite

Интегрированная платформа для тестирования безопасности веб-приложений.

Два последних проекта сходят в состав Kali.

Защита от брутфорса

Разберем эффективные способы, как уберечь свой сайт от этого вида атаки.

Длинные и сложные пароли

Надежный пароль – главный ключ в безопасности сайта. Именно по нему предоставляется доступ в админ-панель сайта и хостинга, к базе данных, FTP-аккаунтам, электронной почте. Перебор простой комбинации позволит хакеру завладеть всем ресурсом, конфиденциальными данными его пользователей. А поэтому эксперты по кибербезопасности рекомендуют устанавливать длинные комбинации, без использования общих слов, имен, дат. Например:

  • petrov1990 – слабый вариант,
  • P4e0t!r#o_v;1-9G9z0 – надежный.

Надежный пароль поможет создать бесплатный сервис PasswordsGenerator.net.

Ограничение количества попыток входа

Для защиты страницы авторизации отличный вариант — ограничить число неудачных попыток ввода неправильного пароля при переборе. В итоге IP-адрес злоумышленника блокируется на определенное время.

В ВордПресс есть несколько способов это сделать. Покажем на примере многофункционального премиум-плагина Clearfy Pro.

  • откройте админ-раздел Clearfy Pro;
  • на вкладке Защита активируйте опцию Ограничить количество попыток;
  • в настройках ниже задайте к-во неправильных попыток и время блокировки.

Двухэтапная авторизация

Для входа в админ-панель обычно нужно ввести имя пользователя (логин) и пароль. Если эти комбинации достаточно сложные, и стоит защита от перебора, то хакеру будет тяжело навредить ресурсу. Но все же риск остается. Если данные для входа узнают посторонние лица, то этой защиты недостаточно. Одна из мер усиления – установка 2-этапной авторизации, которая добавляет еще один шаг для безопасного доступа (обычно ввод еще одного пароля). Разберем разные способы как установить.

Пароль в Apache через .htpasswd

Работа этого метода будет выглядеть примерно так, если бот или пользователь откроют страницу https://site.ru/wp-admin/ или https://site.ru/wp-login.php:

Дополнительная авторизация через .htpasswd
  1. Перейдите по адресу, введите нужные данные и нажмите ГЕНЕРИРОВАТЬ.
Генератор htpasswd
  1. В корне сайта создайте файл .htpasswd и скопируйте в него сгенерированный сервисом код.
  2. В главной папке ресурса найдите .htaccess и в самом конце добавьте строки
<Files wp-login.php>
AuthName "Access Denied"
AuthType Basic
AuthUserFile .htpasswd
require valid-user
</Files>

Для проверки попробуйте войти в админку.

Если не сработало, нужно задать путь к .htpasswd. Для этого в корне сайта создайте файл test.php со строкой

<?php echo $_SERVER['DOCUMENT_ROOT'];

В браузере перейдите https://site.ru/test.php и полученную строку допишите в директиве AuthUserFile. Например,

AuthUserFile /home/w/site/site.ru/public_html/wp-admin/.htpasswd

Пароль в nginx

Найдите основной конфигурационный файл nginx.conf и допишите

location ~ ^/(wp-admin|wp-login.php) {
  auth_basic "Restricted area";
  auth_basic_user_file /home/w/site/site.ru/public_html/wp-admin/.htpasswd;
  try_files $uri @fallback;
}

Тут также нужно вписать путь к паролям.

Отключение xmlrpc.php

Это технология, которая позволяет управлять WordPress-ресурсом через внешние инструменты, и тем самым подвергает ресурс к атакам брутфорс. Если вы работаете только через админку, то эту опцию нужно закрывать.

Отключение xmlrpc.php при помощи плагинов и пользовательской функции

Об этом подробно расписывали в прошлом посте «Как убрать RSD-ссылку».

Запрет доступа к xmlrpc.php при помощи .htaccess

Используется код

<files xmlrpc.php>
Order allow,deny
Deny from all
</files>

Запрет доступа к xmlrpc.php при помощи Nginx

В конфигурационный файл Nginx добавьте несколько строк

location = /xmlrpc.php {
  deny all;
  access_log off;
  log_not_found off;
}

Вставка капчи при входе

Еще один способ защиты от брутфорс – установить Google-капчу. Посмотрим на примере бесплатного плагина reCaptcha by BestWebSoft.

  1. После активации откройте админ-раздел reCaptcha.
  2. На вкладке Настройки выберите Версия 3.
Выбор версии капчи в reCaptcha by BestWebSoft
  1. Ниже кликните по ссылке Получить ключи API. В новом окне укажите ярлык. Это может быть любой текст (например, название сайта). Отметьте reCAPTCHA v3. Ниже введите домен своего ресурса, примите Условия использования и нажмите ОТПРАВИТЬ.
  2. Скопируйте два ключа, которые выдала система.
  3. Перейдите в настройку плагина и вставьте оба ключа.
  4. В опции ниже отметьте пункт Форма логина и сохраните изменения.
Вставка ключей и выбор места капчи в reCaptcha by BestWebSoft

В правом углу формы появится небольшая кнопка.

Проверка капчи reCaptcha by BestWebSoft на сайте

Использование двухфакторной аутентификации

Еще один метод защиты админки. После успешного входа в систему по логину/паролю пользователь должен будет пройти еще одну проверку. Например, с помощью вашего смартфона или планшета, сервисов Google Authenticator, Authy.

Для ВордПресс можно воспользоваться готовым решением – бесплатным плагином Двухфакторная Аутентификация.

Плагин Двухфакторная Аутентификация

Его особенности:

  • работа в соответствии с ролями и отдельными пользователями;
  • отображение графических QR-кодов для удобства сканирования приложением с мобильного устройства.

Секретные ключи безопасности для Cookie

Это случайные значения для улучшения шифрования информации (логин, пароль, персональные настройки сайта), которая хранится в куках пользователя. Для установки ключей откройте https://api.wordpress.org/secret-key/1.1/salt/ и скопируйте все содержимое экрана. Откройте wp-config.php и вставьте ключи-значения вместо аналогичных.

Ключи безопасности в wp-config.php

Изменение адреса админки

От брутфорс атаки также может уберечь смена URL-адреса админ-панели. Лучшим способом будет использовать уже готовое решение – WordPress-плагин Clearfy Pro от ребят из WPShop.ru. Более подробно читайте «Как изменить страницу входа WordPress».

Отключение подсказок при неправильном вводе логина или пароля

При неправильном вводе данных авторизации движок WordPress выводит сообщения об ошибках, что помогает хакерскому скрипту скорее работать для переборе паролей. Как вариант – скрыть ошибки при входе WordPress.

Подключение CDN

Это технология сети доставки контента, призванная уменьшить время загрузки сайтов, а также защитить их от хакерских атак. Среди часто используемых и популярных — СloudАlare. Обычно этот сервис можно подключить на любом хостинге.

Проверка всех пользователей на предмет надежного логина и пароля

CMS имеет встроенную систему проверки надежности пароля при создании пользователя. Если посетитель захочет создать аккаунт, то ему система предложит сгенерировать сложный и надежный пароль.

Установка пароля в профиле пользователя WordPress

Регулярное резервное копирование (бекапы)

Свежая резервная копия всех файлов и базы данных поможет восстановить работу ресурса в случае непредвиденной ошибки или взлома. Наладить создание бэкапов можно в панели управления хостинга, а также непосредственно на сайте с помощью плагинов. Отличное решение — UpdraftPlus.

Страница плагина UpdraftPlus

Защита от атак брутфорс в WordPress: итоги

В интернете нет 100% защиты от хакеров и их влияния. Популярная CMS WordPress всегда «на прицеле» недобросовестных людей, цель которых — «поломать», «украсть», «навредить». Но если ничего не делать, то с вашим сайтом это может случиться быстрее, чем вы ожидаете. А поэтому несколько простых правил и рекомендаций затруднят жизнь недобросовестным людям:

  • используйте сложные пароли;
  • после каждого изменения делайте резервную копию;
  • защищайте админ-панель ВордПресс и важные файлы;
  • внедрите двухэтапную авторизацию на страницах входа и регистрации;
  • используйте секретные ключи; подключите CDN.

Рейтинг
( 2 оценки, среднее 5 из 5 )
Михаил Петров/ автор статьи
Загрузка ...
Шаблоны для WordPress