Jak zablokować nieudane próby logowania na WordPress

Nieudane logowanie może mieć różne przyczyny. Często jest to po prostu wynik użytkownika, który naprawdę zapomniał swojego hasła. Zdarza się to najlepszym z nas, żebyśmy nie oceniali zbyt surowo. Czasami jednak dzieje się coś poważniejszego – ktoś próbuje się włamać.

Sztuka rozwiązywania problemów z nieudanymi logowaniami

Podobnie jak w przypadku wszystkich innych problemów z WordPress, rozwiązywanie problemów (czyli dotarcie do sedna rzeczy) jest pierwszym krokiem, który musimy podjąć. Pomoże nam to upewnić się, że mamy do czynienia z rzeczywistym problemem, a nie jego objawem. Na szczęście istnieje prosty sposób na rozpoczęcie tego procesu – spójrz na dane. Zasadniczo powinieneś zobaczyć jedną z dwóch rzeczy:

• Nieprawidłowa nazwa użytkownika i niewłaściwa kombinacja haseł

Nieprawidłowe kombinacje nazwy użytkownika i hasła mogą wystąpić z jednego z dwóch powodów. Albo ktoś lub coś próbuje odgadnąć kombinację nazwy użytkownika/hasła, aby uzyskać dostęp, albo jest to atak ukierunkowany. W przypadku pierwszej opcji jest to dość częste zjawisko. W przeciwnym razie może to być ukierunkowany atak na Twoją witrynę, aby uzyskać dostęp lub przeciążyć witrynę (DoS/DDoS).

• Właściwa nazwa użytkownika i złe kombinacje haseł

Właściwa nazwa użytkownika i nieprawidłowe kombinacje hasła mogą oznaczać jedną z dwóch rzeczy. Albo jest to prawdziwy przypadek zapomnienia hasła, albo ktoś odkrył faktyczną nazwę użytkownika zarejestrowaną na Twoim WordPressie i próbuje teraz odgadnąć hasło.

Kolejną rzeczą, na którą powinieneś pamiętać, jest częstotliwość. Duża liczba prób w krótkim czasie jest zwykle oznaką zautomatyzowanego ataku. Z drugiej strony, powolna i nieregularna oś czasu jest znakiem rozpoznawczym osoby, która jeszcze nie piła kawy.

Niebezpieczeństwo zbyt wielu nieudanych prób logowania

Ataki polegające na zgadywaniu haseł są dość powszechne. Zbyt wiele nieudanych prób logowania do WordPressa ogólnie wskazuje na tego rodzaju ataki. Bez możliwości zarządzania tym problemem możesz narażać swoją witrynę na ataki i zakłócenia. Na szczęście zarządzanie tym ryzykiem jest bardzo łatwe i wymaga niewielkich nakładów administracyjnych.

WordPress nie oferuje żadnych funkcji ograniczania lub podejmowania działań wymijających w przypadku nieudanych prób logowania. Użytkownik może próbować do znudzenia, dopóki nie zrobi tego dobrze. Chociaż dawanie ludziom dodatkowych szans można argumentować, że jest to etyczne posunięcie, nałożenie ograniczeń i kontroli może znacznie przyczynić się do zapewnienia bezpieczeństwa i integralności witryny WordPress.

Jak zapobiegać nieudanym próbom logowania do WordPressa

Wdrożenie zasady nieudanego logowania WordPressa jest łatwiejsze niż się wydaje. Do wyboru są przede wszystkim dwie opcje, które teraz omówimy.

Ręczne ograniczanie nieudanych logowań

Jeśli chcesz ograniczyć nieudane logowania do WordPressa bez wtyczki, możesz zmodyfikować plik function.php aktywnego motywu i dodać odpowiedni kod. Istnieje kilka sposobów dodawania niestandardowego kodu do witryn WordPress; wymaga to jednak dobrego zrozumienia PHP i sposobu działania WordPressa.

Zainstaluj wtyczkę

Jest jeszcze jedna i najbardziej praktyczna opcja – użyj wtyczki. Wtyczki mają różne kształty i rozmiary, w tym wtyczki, które ograniczają tylko próby logowania i wtyczki, które pozwalają wymusić politykę bezpieczeństwa haseł w WordPress w celu jeszcze ściślejszej kontroli i bezpieczeństwa.

WPassword to jedna z takich wtyczek WordPress. Daje administratorom większą kontrolę nad sposobem używania haseł i zarządzania nimi w ich witrynach WordPress. Obejmuje ona między innymi możliwość ustawienia polityki, która wprost dotyczy nieudanych prób logowania.

Inne rzeczy do rozważenia

Inną opcją, o której warto wspomnieć, jest CAPTCHA. Wtyczki, takie jak Advanced noCaptcha i invisible Captcha, świetnie pomagają zatrzymać automatyczne ataki. Ponieważ CAPTCHA musi zostać ukończona przed próbą logowania, boty stojące za takimi atakami nie przejdą testu i nie podejmą ani jednej próby logowania.

Inną opcją, która pojawia się w rozmowach na temat nieudanych zasad logowania, jest blokowanie adresów IP. Dzięki tej opcji obraźliwy adres IP jest umieszczany na czarnej liście, co w pierwszej kolejności uniemożliwia mu dostęp do Twojej witryny. Chociaż jest to technicznie poprawne, uporczywy złośliwy gracz może po prostu użyć innego adresu IP – co może zrobić z łatwością. Z tego powodu strategia blokowania adresów IP często kończy się grą w kotka i myszkę.

Jedną z lepszych opcji jest użycie CDN (Sieć dostarczania treści) i pozwolenie im na blokowanie obraźliwych adresów IP. Dzięki temu zaoszczędzisz cenny czas, który możesz zainwestować w produktywnie.

Jak zaprojektować politykę nieudanego logowania do WordPressa

Zanim zaczniemy egzekwować zasady nieudanego logowania w witrynie WordPress, musimy przemyśleć kilka rzeczy. Podobnie jak w przypadku wszystkich innych problemów związanych z bezpieczeństwem, zarządzanie nieudanymi próbami logowania cierpi z powodu paradoksu bezpieczeństwa/użyteczności. Im coś jest bezpieczniejsze, tym mniej staje się użyteczne. Odwrotna sytuacja jest równie prawdziwa. Nie zezwalanie nikomu na zalogowanie się jest bardzo bezpieczne, ale mało użyteczne. Dawanie użytkownikom nieograniczonych możliwości logowania może zagrażać bezpieczeństwu, ale zwiększa użyteczność.

Musisz zrozumieć, ile swobody chcesz dać swoim użytkownikom. Tradycyjnie trzy próby są postrzegane jako zarówno adekwatne, jak i rozsądne. Niektórzy nie zgadzają się z tym poglądem i ustalają maksymalną dopuszczalną liczbę prób logowania na dziesięć. Tak czy inaczej, oferowanie nieograniczonej liczby prób logowania nie jest dobrą strategią i może mieć negatywne konsekwencje.

Prawda jest taka, że ​​nie ma dobrej lub złej odpowiedzi. Trzy to bezpieczna liczba, ale zwiększy koszty administracyjne. Dziesięć może mieć niższe koszty administracyjne, ale wiąże się z większym ryzykiem.

W związku z tym możesz zacząć od ograniczenia liczby prób logowania do trzech, a następnie ocenić sytuację. Korzystając z WPassword, bardzo łatwo jest zmienić ten numer. Dzięki temu możesz bardzo łatwo dostosować politykę do swoich użytkowników i okoliczności.

Najlepiej byłoby, gdybyś pomyślał również o tym, co się stanie, gdy konto zostanie zablokowane. Czy konto powinno odblokowywać się automatycznie po wstępnie skonfigurowanym przedziale czasowym, czy administrator powinien odblokować je ręcznie? To pytanie kończy się tym samym problemem, co poprzednio: musisz zdecydować między użytecznością a bezpieczeństwem. Innym istotnym aspektem, który może mieć wpływ na tę część polityki, jest lokalizacja Twoich użytkowników. Jeśli ludzie logują się z drugiego końca świata, czy cieszysz się, że budzisz się o drugiej w nocy, aby odblokować konto? A jeśli nie, jak długo użytkownik powinien odczekać, zanim będzie mógł się ponownie zalogować? Czy wpłynie to na ich produktywność lub wyniki finansowe?

Wybór odpowiednich wtyczek (i zasad) do zarządzania nieudanymi logowaniami do WordPressa

Gdy już zrozumiesz, jak ma wyglądać Twoje hasło i polityka nieudanych logowania, musisz rozpocząć pracę nad wdrożeniem. Wcześniej wspominaliśmy o WPassword jako głównym kandydacie. Oferuje wiele opcji konfiguracyjnych, co zapewnia znaczną swobodę podczas konfigurowania i wdrażania polityki haseł.

Po włączeniu zasad nieudanych logowania dla WordPressa możesz wybrać, ile prób mają użytkownicy, zanim ich konto zostanie zablokowane. Możesz także zdecydować, w jaki sposób jest odblokowany i czy chcesz zmusić użytkowników do zmiany haseł, czy nie, jak wyjaśniono poniżej.

Krok 1: Zainstaluj i aktywuj WPassword

Instalacja WPassword jest łatwa. Możesz pobrać wtyczkę zabezpieczającą hasła bezpośrednio ze strony internetowej WP White Security, a następnie przesłać ją do swojej witryny WordPress.

Po zainstalowaniu wtyczki kliknij Wtyczki w menu bocznym WordPress, zlokalizuj wtyczkę i kliknij Aktywuj . Spowoduje to dodanie nowej opcji menu o nazwie Zasady haseł , którą należy kliknąć.

Krok 2: Włącz zasady nieudanych logowania

Zaznacz pole wyboru obok opcji Włącz zasady nieudanych logowania, aby ograniczyć nieudane próby logowania w witrynie WordPress. Wprowadź liczbę nieudanych prób logowania przed zablokowaniem użytkownika, przy czym 3 – 5 ogólnie uważa się za dobry początek.

Inne opcje konfiguracji obejmują to, co dzieje się po zablokowaniu konta i czy zablokowani użytkownicy muszą zresetować swoje hasło po odblokowaniu. Aby uzyskać więcej informacji, zapoznaj się z artykułem bazy wiedzy na temat zasad nieudanych logowania WordPress.

Krok 3: Podejmij dodatkowe środki bezpieczeństwa

CAPTCHA

Poruszyliśmy również CAPTCHA – wszechobecny test obecny w wielu loginach i formularzach, który ma na celu przepuszczanie ludzi podczas zatrzymywania botów i innych form zautomatyzowanych ataków. Wtyczki takie jak Advanced no Captcha i Invisible Captcha sprawiają, że implementacja takich testów jest bardzo łatwa, oferując jednocześnie uniwersalną kompatybilność i wsparcie dla różnych wersji.

Uwierzytelnianie dwuskładnikowe

W zwiększaniu bezpieczeństwa procesów logowania niezbędne jest uwierzytelnianie dwuskładnikowe. W ramach tego procesu użytkownicy muszą ponownie uwierzytelnić się, wprowadzając jednorazowy kod dostępu dostarczony za pośrednictwem smartfona. Korzystając z 2FA, co można łatwo zrobić za pomocą wtyczek, takich jak WP 2FA, możesz mieć pewność, że nawet w przypadku złamania haseł, o ile dana osoba nie ma telefonu związanego z tym kontem użytkownika, nie będzie mogła się zalogować.

Krok 4: Pójść o krok dalej (opcjonalnie)

Mając wdrożone zasady dotyczące haseł i nieudanych logowania, CAPTCHA i uwierzytelnianie dwuskładnikowe, powinieneś być dobrze zabezpieczony.

Jeśli jednak w Twojej witrynie nadal występuje duża liczba nieudanych prób logowania, powinieneś rozważyć skorzystanie z usługi CDN. Możesz porozmawiać ze swoim dostawcą usług hostingowych, aby pomóc Ci we wdrożeniu rozwiązania odpowiedniego do ataków na dużą skalę.

Bezpieczeństwo hasła WordPress wymaga podejścia 360

Jak widzieliśmy w całym artykule, podczas wdrażania polityki haseł należy wziąć pod uwagę kilka czynników. Chociaż blokowanie nieudanych logowania do WordPressa jest dobrym pierwszym krokiem (i to niezbędnym), stosując podejście 360, możesz być o wiele bezpieczniejszy. Pomaga to nie tylko w pokryciu wszystkich Twoich baz, ale może również pomóc Ci wzbudzić większe zaufanie i zaufanie do Twojej witryny WordPress.

Podejście 360 ​​stopni obejmuje kilka czynników, w tym wtyczki i motywy, hosting, TLS, rdzeń WordPress i inne. W ten sposób możesz upewnić się, że Twoje zabezpieczenia WordPress są w doskonałym stanie.