8 способов защитить ваш вход в WordPress

URL-адрес входа в WordPress одинаков для всех сайтов WordPress и не требует каких-либо специальных разрешений для доступа. Любой, у кого есть опыт работы с WordPress, знает, что URL-адрес для входа находится на странице /wp-login.php .

Доступность страницы входа в WordPress делает ее наиболее атакуемой и потенциально наиболее уязвимой частью любого веб-сайта WordPress. К счастью для нас, плагин iThemes Security Pro упрощает защиту вашего входа в WordPress.

Давайте рассмотрим инструменты iThemes Security Pro, которые вы можете использовать для защиты своего входа в WordPress и сделать его почти непроницаемым!

1. Ограничьте количество попыток входа в систему

Первый шаг к защите вашего входа в WordPress - ограничение неудачных попыток входа в систему. По умолчанию в WordPress нет ничего, что ограничивало бы количество неудачных попыток входа в систему. Без ограничения количества неудачных попыток входа в систему, которые может сделать злоумышленник, он может продолжать пробовать комбинацию разных имен пользователей и паролей, пока не найдет тот, который работает.

Функция локальной защиты от грубой силы iThemes Security Pro отслеживает недопустимые попытки входа в систему с хоста или IP-адреса и имени пользователя. Если IP-адрес или имя пользователя сделали слишком много последовательных недействительных попыток входа в систему, они будут заблокированы, и им будет запрещено делать больше попыток в течение установленного периода времени.

Чтобы начать использовать функцию Local Brute Force Protection , включите ее на главной странице страницы настроек iThemes Security Pro.

Параметры локальной защиты от грубой силы позволяют вам устанавливать пороговые значения для блокировок.

• Максимальное количество попыток входа в систему на хост - количество разрешенных недопустимых попыток входа в систему до того, как IP-адрес будет заблокирован.
• Максимальное количество попыток входа на пользователя - это количество недействительных попыток входа в систему, которое разрешено для имени пользователя, прежде чем оно будет заблокировано.
• Минуты для запоминания неправильного входа в систему - это время, в течение которого недопустимая попытка входа в систему должна засчитываться по IP или имени пользователя для блокировки.
• Автоматически блокировать пользователя «admin» - если этот параметр включен, любой, кто использует имя пользователя Admin при входе в систему, получает автоматическую блокировку.

При настройке параметров блокировки следует учитывать несколько моментов. Вы хотите предоставить пользователям недопустимые попытки входа в систему, чем вы даете IP-адреса. Допустим, ваш сайт подвергся атаке методом грубой силы, и злоумышленник использует ваше имя пользователя. Цель состоит в том, чтобы заблокировать IP-адрес злоумышленника, а не ваше имя пользователя, чтобы вы все равно могли войти в систему и выполнить свою работу, даже если ваш веб-сайт находится под атакой.

Вы также не хотите делать эти настройки слишком строгими, устанавливая слишком маленькое количество недействительных попыток входа в систему и слишком долгое время для запоминания недействительных попыток. Если вы уменьшите количество недействительных попыток входа для хостов / IP-адресов до 1 и установите количество минут для запоминания неудачной попытки входа в систему до месяца, вы резко увеличите вероятность непреднамеренной блокировки законных пользователей.

2. Ограничьте количество попыток внешней аутентификации по запросу.

Есть и другие способы входа в WordPress, помимо формы входа. Используя XML-RPC, злоумышленник может сделать сотни попыток ввода имени пользователя и пароля за один HTTP-запрос. Метод усиления грубой силы позволяет злоумышленникам делать тысячи попыток ввода имени пользователя и пароля с помощью XML-RPC всего за несколько HTTP-запросов.

Используя настройки WordPress Tweaks в iThemes Security Pro, вы можете заблокировать несколько попыток аутентификации для каждого запроса XML-RPC. Ограничение количества попыток ввода имени пользователя и пароля до одной для каждого запроса будет иметь большое значение для защиты вашего входа в WordPress.

3. Защита сети от грубой силы

Ограничение попыток входа в систему связано с локальной защитой от перебора. Локальная защита от перебора проверяет только попытки доступа к вашему сайту и блокирует пользователей в соответствии с правилами блокировки, указанными в ваших настройках безопасности.

Защита Network Brute Force делает еще один шаг вперед. Сеть представляет собой сообщество iThemes Security и насчитывает более миллиона веб-сайтов. Если IP-адрес идентифицируется как попытка взлома веб-сайтов в сообществе iThemes Security, этот IP-адрес будет добавлен в список запрещенных Network Brute Force.

Как только IP-адрес попадает в список запрещенных Network Brute Force, IP-адрес блокируется на всех веб-сайтах в сети. Итак, если IP-адрес атакует мой веб-сайт и будет заблокирован, об этом будет сообщено в iThemes Security Brute Force Network. Мой отчет может помочь получить запрет на IP во всей сети. Мне нравится, что я могу помочь защитить вход в WordPress других людей, просто включив iThemes Security Network Protection.

Чтобы начать использовать Network Force Protection , включите его на главной странице настроек безопасности.

Затем введите свой адрес электронной почты, выберите, хотите ли вы получать обновления по электронной почте, а затем нажмите кнопку « Сохранить» .

4. Установите надежные пароли

В списке, составленном Splash Data, наиболее распространенным паролем, включенным во все дампы данных, был 123456. Дамп данных - это взломанная база данных, заполненная паролями пользователей, сброшенными где-то в Интернете. Можете ли вы представить, сколько людей на вашем сайте используют слабый пароль, если 123456 - самый распространенный пароль в свалках данных?

Использование ненадежного пароля похоже на попытку заблокировать входную дверь куском ленты. Хакерам никогда не требовалось много времени, чтобы взломать слабый пароль на веб-сайте. Теперь, когда хакеры используют в своих атаках компьютерные видеокарты, время, необходимое для взлома пароля, никогда не было меньше.

Например, давайте взглянем на диаграмму, созданную Terahash, высокопроизводительной компанией по взлому паролей. Их диаграмма показывает время, необходимое для взлома пароля с использованием кластера хэш-стека 448x RTX 2080.

По умолчанию WordPress использует MD5 для хеширования паролей пользователей, хранящихся в базе данных WP. Итак, согласно этой таблице, Terahash может взломать пароль из 8 символов… почти мгновенно. Это не только супер впечатляет, но и очень страшно. Хорошая новость заключается в том, что мы можем защитить наш вход в WordPress, потребовав от наших высокоуровневых пользователей использовать надежные пароли.

Функция требования к паролям iThemes Security Pro позволяет заставить определенных пользователей использовать надежный пароль. Включите функцию « Требования к паролю» на главной странице настроек безопасности, а затем выберите пользователей, которым требуется использовать надежный пароль.

5. Отказ от взлома паролей

Согласно отчету Verizon Data Breach Investigations Report, более 70% сотрудников повторно используют пароли на работе. Но наиболее важным показателем из отчета является то, что в 81% взломов использовались украденные или ненадежные пароли.

Хакеры используют форму атаки методом грубой силы, называемую атакой по словарю. Атака по словарю - это метод взлома веб-сайта WordPress с часто используемыми паролями, которые появляются в дампах базы данных. «Сборник №1? Нарушение данных, размещенное на MEGA, включало 1 160 253 228 уникальных комбинаций адресов электронной почты и паролей. Это миллиард с буквой b. Такой результат действительно поможет словарной атаке сузить наиболее часто используемые пароли WordPress.

Это необходимо, чтобы пользователи с возможностями уровня автора и выше не могли использовать скомпрометированные пароли для защиты вашего входа в WordPress. Вы также можете подумать о том, чтобы не позволять пользователям нижнего уровня использовать скомпрометированные пароли.

Это совершенно понятно и рекомендуется максимально упростить создание новой учетной записи. Однако ваш клиент может не знать, что используемый им пароль был найден в дампе данных. Вы окажете своим клиентам отличную услугу, предупредив их о том, что пароль, который они используют, был скомпрометирован. Если они используют этот пароль повсюду, вы можете избавить их от серьезных головных болей в будущем.

Функция iThemes Security Pro «Отказаться от взломанных паролей» заставляет пользователей использовать пароли, которые не появлялись ни при каких нарушениях пароля, отслеживаемых с помощью Have I Been Pwned. Включите функцию « Требования к паролю» на главной странице настроек безопасности, а затем выберите пользователей, которым вы хотите запретить использование взломанного пароля.

6. Используйте двухфакторную аутентификацию.

Использование двухфакторной аутентификации - лучшее, что вы можете сделать для защиты входа в WordPress. Двухфакторная аутентификация - это процесс проверки личности человека, требующий двух отдельных методов проверки. Google поделился в своем блоге, что использование двухфакторной аутентификации может остановить 100% автоматических атак ботов. Мне очень нравятся эти шансы.

Функция двухфакторной аутентификации iThemes Security Pro обеспечивает большую гибкость при внедрении 2fa на вашем веб-сайте. Вы можете включить двухфакторный режим для всех или некоторых ваших пользователей, и вы можете заставить своих высокоуровневых пользователей использовать 2fa при каждом входе в систему.

Для вашего удобства iThemes Security Pro предлагает 2 различных метода двухфакторной аутентификации.

1. Мобильное приложение. Метод мобильного приложения - самый безопасный метод двухфакторной аутентификации, предоставляемый iThemes Security Pro. Этот метод требует, чтобы вы использовали бесплатное двухфакторное мобильное приложение, такое как Authy.
2. Электронная почта - двухфакторный метод электронной почты отправляет чувствительные ко времени коды на адрес электронной почты вашего пользователя.
3. Резервные коды - набор одноразовых кодов, которые можно использовать для входа в систему в случае утери основного двухфакторного метода.

7. Блокируйте плохих ботов с помощью Google reCAPTCHA v3.

Функция iThemes Security Pro Google reCAPTCHA в iThemes Security Pro защищает ваш сайт от плохих ботов. Эти боты пытаются проникнуть на ваш сайт, используя взломанные пароли, отправляя спам или даже очищая ваш контент. reCAPTCHA использует передовые методы анализа рисков, чтобы различать людей и ботов.

Что замечательно в reCAPTCHA версии 3, так это то, что она помогает вам обнаруживать злонамеренный трафик ботов на вашем веб-сайте без какого-либо взаимодействия с пользователем. Вместо того, чтобы показывать вызов CAPTCHA, reCAPTCHA v3 отслеживает различные запросы, сделанные на вашем сайте, и возвращает оценку для каждого запроса. Оценка варьируется от 0,0 до 1. Чем выше оценка reCAPTCHA, тем больше уверенности в том, что запрос сделал человек. Чем ниже этот показатель, возвращаемый reCAPTCHA, тем больше уверенности в том, что бот сделал запрос.

Чтобы начать использовать Google reCAPTCHA v3 , включите опцию на главной странице настроек безопасности.

Затем вам нужно будет выбрать reCAPTCHA v3 при вводе reCAPTCHA и сгенерировать ключи от администратора Google.

iThemes Security Pro позволяет установить порог блокировки с помощью оценки reCAPTCHA. Google рекомендует использовать 0,5 по умолчанию. Имейте в виду, что вы можете случайно заблокировать законных пользователей, если установите слишком высокий порог.

Вы можете включить reCAPTCHA при регистрации пользователя WordPress, сбросить пароль, логин и комментарии. iThemes Security Pro позволяет запускать скрипт Google reCAPTCHA на всех страницах, чтобы повысить точность оценки его бота по сравнению с человеческим. Включение reCAPTCHA v3 - отличный способ защитить ваш логин в WordPress.

8. Ограничьте доступ устройств к панели инструментов WP.

Последний шаг к защите вашего входа в WordPress - это ограничение доступа к вашей панели управления WordPress для набора устройств. Функция надежных устройств iThemes Security Pro определяет устройства, которые вы и другие пользователи используете для входа на свой сайт WordPress. Когда пользователь вошел в систему на нераспознанном устройстве, доверенные устройства могут ограничить свои возможности на уровне администратора. Это означает, что хакер смог обойти другие ваши методы безопасности входа - маловероятно - у них не будет возможности вносить какие-либо злонамеренные изменения на ваш сайт.

Чтобы начать использовать доверенные устройства , включите их на главной странице параметров безопасности, а затем нажмите кнопку « Настроить параметры» .

В настройках «Надежные устройства» выберите пользователей, которым вы хотите использовать эту функцию, а затем включите функции « Ограничение возможностей» и « Защита от перехвата сеанса» .

После включения нового параметра «Надежные устройства» пользователи получат уведомление в панели администратора WordPress о незавершенных нераспознанных устройствах. Если ваше текущее устройство не было добавлено в список доверенных устройств, щелкните ссылку « Подтвердить это устройство», чтобы отправить письмо для авторизации .

Нажмите кнопку « Подтвердить устройство» в электронном письме о неопознанном входе в систему, чтобы добавить текущие устройства в список надежных устройств.

Заключение

Доступность страницы входа в WordPress делает ее наиболее атакуемой и потенциально уязвимой частью любого сайта WordPress. Однако, если вы используете iThemes Security Pro, можете расслабиться.

Убедитесь, что вы используете 8 инструментов iThemes Security Pro для защиты вашего входа в WordPress, которые были опубликованы в этом посте.

• 1. Ограничьте количество попыток входа в систему
• 2. Ограничьте количество попыток внешней аутентификации по запросу.
• 3. Защита сети от грубой силы
• 4. Установите надежные пароли
• 5. Отказ от взлома паролей
• 6. Используйте двухфакторную аутентификацию.
• 7. Блокируйте плохих ботов с помощью Google reCAPTCHA v3.
• 8. Ограничьте доступ устройств к панели инструментов WP.

Майкл Мур

Каждую неделю Майкл составляет отчет об уязвимостях WordPress, чтобы обеспечить безопасность ваших сайтов. Как менеджер по продукту в iThemes, он помогает нам продолжать улучшать линейку продуктов iThemes. Он большой ботаник и любит узнавать обо всем, что есть в технологиях, старом и новом. Вы можете увидеть, как Майкл гуляет с женой и дочерью, читает или слушает музыку, когда не работает.