W artykule:
- Czym jest atak Brute Force?
- 1. Zainstaluj wtyczkę zapory WordPress
- 2. Zainstaluj Aktualizacje WordPress
- 3. Chroń WordPress Admin Directory
- 4. Dodaj uwierzytelnianie dwuskładnikowe w WordPress
- 5. Używaj unikalnych i silnych haseł
- 6. Wyłącz Przeglądanie Katalogów
- 7. Wyłącz Wykonywanie plików PHP w określonych folderach WordPress
- 8. Zainstaluj i skonfiguruj wtyczkę do tworzenia kopii zapasowych WordPress
Czy chcesz chronić swoją witrynę WordPress przed atakami brute force?
Atak brute force może spowolnić Twoją witrynę, sprawić, że będzie ona niedostępna, a nawet złamać hasła, aby zainstalować złośliwe oprogramowanie w Twojej witrynie.
W tym artykule pokażemy, jak chronić swoją witrynę WordPress przed atakami brute force.
Czym jest atak Brute Force?
Brute Force Attack to metoda hakerska, która wykorzystuje metody prób i błędów, aby włamać się do strony internetowej, sieci lub systemu komputerowego.
Najczęstszym rodzajem ataku brute force jest zgadywanie haseł. Hakerzy używają zautomatyzowanego oprogramowania do zgadywania Twoich danych logowania, aby uzyskać dostęp do twojej witryny.
Te zautomatyzowane narzędzia hakerskie mogą również maskować się za pomocą różnych adresów IP i lokalizacji, co utrudnia identyfikację i blokowanie podejrzanych działań.
Udany atak brute force może dać hakerom dostęp do obszaru administracyjnego Twojej witryny. Mogą instalować złośliwe oprogramowanie, kraść informacje o użytkowniku i usuwać wszystko w witrynie.
Nawet nieudane ataki brute force mogą siać spustoszenie, wysyłając zbyt wiele żądań do serwerów hostingowych WordPress, spowalniając lub nawet całkowicie zawieszając witrynę.
Mając to na uwadze, przyjrzyjmy się, jak chronić swoją witrynę WordPress przed atakami brute force.
1. Zainstaluj wtyczkę zapory WordPress
Ataki Brute force bardzo obciążają twoje serwery. Nawet te nieudane mogą spowolnić Twoją stronę lub całkowicie zawiesić serwer. Dlatego ważne jest, aby je zablokować, zanim dotrą do twojego serwera.
Aby to zrobić, potrzebujesz rozwiązania zapory sieciowej. Zapora filtruje zły ruch i blokuje dostęp do witryny.
Istnieją dwa rodzaje zapór sieciowych, z których możesz korzystać.
Zapora Na Poziomie Aplikacji – Te wtyczki firewall sprawdzają ruch po dotarciu do serwera, ale przed załadowaniem większości skryptów WordPress. Ta metoda nie jest tak skuteczna, ponieważ atak brute force może nadal wpływać na obciążenie serwera.
Zapora sieciowa na poziomie DNS – Te zapory kierują ruch w witrynie przez ich serwery proxy w chmurze. Pozwala im to wysyłać tylko prawdziwy ruch do głównego serwera hostingowego, jednocześnie zwiększając szybkość i wydajność WordPress.
Zalecamy stosowanie Sucuri. Jest liderem w branży zabezpieczeń stron internetowych i najlepszym firewallem WordPress na rynku. Ponieważ jest to zapora sieciowa na poziomie DNS, oznacza to, że cały ruch w witrynie przechodzi przez serwer proxy, w którym jest filtrowany zły ruch.
Używamy Sucuri na naszej stronie internetowej i możesz przeczytać naszą pełną recenzję Sucuri, aby dowiedzieć się więcej.
2. Zainstaluj Aktualizacje WordPress
Niektóre typowe ataki brute force aktywnie celują w znane luki w starszych wersjach WordPress, popularnych wtyczek WordPress lub motywów.
Rdzeń WordPress i najpopularniejsze wtyczki WordPress są open source, a luki są często naprawiane bardzo szybko po aktualizacji. Jeśli jednak nie zainstalujesz aktualizacji, Twoja witryna będzie narażona na te stare zagrożenia.
Po prostu przejdź do Dashboard ” Aktualizacje strona w obszarze administracyjnym WordPress, aby sprawdzić dostępne aktualizacje. Ta strona pokaże wszystkie aktualizacje dla rdzenia WordPress, wtyczek i motywów.
Aby uzyskać więcej informacji, zobacz nasze przewodniki, jak bezpiecznie aktualizować WordPress i prawidłowo aktualizować wtyczki WordPress.
3. Chroń WordPress Admin Directory
Większość ataków brute force na witrynę WordPress próbuje uzyskać dostęp do obszaru administracyjnego WordPress. Możesz dodać ochronę hasłem do katalogu administratora WordPress na poziomie serwera. Zablokuje to nieautoryzowany dostęp do obszaru administracyjnego WordPress.
Po prostu zaloguj się do Panelu sterowania hostingiem WordPress (cPanel) i kliknij ikonę „Prywatność katalogu” w sekcji Pliki.
Uwaga: Używamy Bluehost na naszym zrzucie ekranu, ale podobne ustawienia są dostępne w innych najlepszych firmach hostingowych, takich jak SiteGround, HostGator itp.
Następnie musisz zlokalizować folder wp-admin i kliknąć nazwę folderu.
cPanel poprosi teraz o podanie nazwy ograniczonego folderu, nazwy użytkownika i hasła. Po wprowadzeniu tych informacji kliknij przycisk Zapisz, aby zapisać ustawienia.
Twój katalog administratora WordPress jest teraz chroniony hasłem. Pojawi się nowy monit logowania podczas odwiedzania obszaru administracyjnego WordPress.
Jeśli napotkasz błąd 404 lub błąd zbyt wielu wiadomości przekierowań, musisz dodać następującą linię do WordPress .plik htaccess.
ErrorDocument 401 default
Aby uzyskać więcej informacji, zobacz nasz artykuł na temat ochrony hasłem WordPress admin directory.
4. Dodaj uwierzytelnianie dwuskładnikowe w WordPress
Uwierzytelnianie dwuskładnikowe dodaje dodatkową warstwę bezpieczeństwa do ekranu logowania WordPress. Użytkownicy będą potrzebować swoich telefonów do wygenerowania jednorazowego hasła wraz z poświadczeniami logowania, aby uzyskać dostęp do obszaru administracyjnego WordPress.
Dodanie uwierzytelniania dwuskładnikowego utrudni hakerom uzyskanie dostępu, nawet jeśli są w stanie złamać hasło WordPress.
Aby uzyskać szczegółowe instrukcje krok po kroku, zobacz nasz przewodnik, Jak dodać uwierzytelnianie dwuskładnikowe w WordPress
5. Używaj unikalnych i silnych haseł
Hasła są kluczem do uzyskania dostępu do witryny WordPress lub sklepu eCommerce. Musisz użyć unikalnych silnych haseł dla wszystkich swoich kont. Silne hasło to kombinacja cyfr, liter i znaków specjalnych.
Ważne jest, aby używać silnych haseł nie tylko do kont użytkowników WordPress, ale także do klienta FTP, Panelu sterowania hostingiem i bazy danych WordPress.
Większość początkujących pyta nas, jak zapamiętać wszystkie te unikalne hasła? Nie musisz. Dostępne są doskonałe aplikacje do zarządzania hasłami, które bezpiecznie przechowują Twoje hasła i automatycznie je wypełniają.
Aby dowiedzieć się więcej, Zobacz nasz przewodnik dla początkujących na temat najlepszych sposobów zarządzania hasłami dla WordPress.
6. Wyłącz Przeglądanie Katalogów
Domyślnie, gdy serwer WWW nie znajduje pliku indeksu (np. pliku takiego jak index.php lub index.html), automatycznie wyświetla stronę indeksową pokazującą zawartość katalogu.
Podczas ataku brute force hakerzy mogą korzystać z przeglądania katalogów, aby szukać podatnych plików. Aby to naprawić, musisz dodać następującą linię u dołu WordPressa .plik htaccess za pomocą usługi FTP.
Opcje-Indeksy
Aby uzyskać więcej informacji, zobacz nasz artykuł o tym, jak wyłączyć przeglądanie katalogów w WordPress.
7. Wyłącz Wykonywanie plików PHP w określonych folderach WordPress
Hakerzy mogą chcieć zainstalować i wykonać skrypt PHP w folderach WordPress. WordPress jest napisany głównie w PHP, co oznacza, że nie można go wyłączyć we wszystkich folderach WordPress.
Istnieją jednak foldery, które nie potrzebują żadnych skryptów PHP. Na przykład folder przesyłania WordPress znajduje się w /wp-content/uploads.
Możesz bezpiecznie wyłączyć wykonywanie PHP w folderze uploads, który jest popularnym miejscem, którego hakerzy używają do ukrywania plików backdoorów.
Najpierw musisz otworzyć edytor tekstu, taki jak Notatnik, na komputerze i wkleić następujący kod:
< Pliki *.php> zaprzecz wszystkim < / Files>
Teraz zapisz ten plik jako .htaccess i przesłać go do / wp-content / uploads / foldery na swojej stronie internetowej za pomocą klienta FTP.
8. Zainstaluj i skonfiguruj wtyczkę do tworzenia kopii zapasowych WordPress
Kopie zapasowe są najważniejszym narzędziem w twoim arsenale zabezpieczeń WordPress. Jeśli Wszystko inne zawiedzie, kopie zapasowe pozwolą Ci łatwo przywrócić witrynę.
Większość firm hostingowych WordPress oferuje ograniczone opcje tworzenia kopii zapasowych. Jednak te kopie zapasowe nie są gwarantowane, a użytkownik ponosi wyłączną odpowiedzialność za tworzenie własnych kopii zapasowych.
Istnieje kilka świetnych wtyczek do tworzenia kopii zapasowych WordPress, które pozwalają zaplanować automatyczne kopie zapasowe.
Zalecamy korzystanie z UpdraftPlus. Jest przyjazny dla początkujących i pozwala szybko skonfigurować automatyczne kopie zapasowe i przechowywać je w zdalnych lokalizacjach, takich jak Dysk Google, Dropbox, Amazon S3 i inne.
Aby uzyskać instrukcje krok po kroku, zobacz nasz przewodnik na temat tworzenia kopii zapasowych i przywracania witryny WordPress za pomocą UpdraftPlus
Wszystkie powyższe wskazówki pomogą Ci chronić swoją witrynę WordPress przed atakami brute-force. Aby uzyskać bardziej kompleksową konfigurację zabezpieczeń, należy postępować zgodnie z instrukcjami w naszym najlepszym przewodniku bezpieczeństwa WordPress dla początkujących.
Mamy nadzieję, że ten artykuł pomógł Ci dowiedzieć się, jak chronić swoją witrynę WordPress przed atakami brute force. Możesz również zwrócić uwagę na to, jak naprawić zhakowaną witrynę WordPress i jak uzyskać bezpłatny certyfikat SSL dla witryny WordPress.
Jeśli podoba Ci się ten artykuł, zasubskrybuj nasz kanał YouTube dla samouczków wideo WordPress. Znajdziesz nas również na Twitterze i Facebooku.