Главная » WordPress

Как защитить свой сайт WordPress от атак грубой силы

Автор На чтение 7 мин Просмотров 28 Опубликовано
Хотите защитить свой сайт WordPress от атак методом перебора?? Атака грубой силы может замедлить работу вашего сайта, сделать его недоступным и даже...

Хотите защитить свой сайт WordPress от атак методом перебора??

Атака грубой силы может замедлить работу вашего сайта, сделать его недоступным и даже взломать ваши пароли для установки вредоносного ПО на ваш сайт.

В этой статье мы расскажем вам, как защитить свой сайт WordPress от атак методом перебора.

Содержание
  1. Что такое атака грубой силы?
  2. 1. Установите плагин брандмауэра WordPress
  3. 2. Установить обновления WordPress
  4. 3. Защита директории администратора WordPress
  5. 4. Добавьте двухфакторную аутентификацию в WordPress
  6. 5. Используйте уникальные и надежные пароли
  7. 6. Отключите просмотр каталога
  8. 7. Отключить выполнение файлов PHP в определенных папках WordPress
  9. 8. Установка и настройка плагина резервного копирования WordPress

Что такое атака грубой силы?

Атака грубой силы — это хакерский метод, использующий метод проб и ошибок для взлома веб-сайта, сети или компьютерной системы.

Наиболее распространенным типом атаки грубой силы является угадывание пароля. Хакеры используют автоматизированное программное обеспечение для угадывания вашей регистрационной информации, чтобы получить доступ к вашему сайту.

Эти автоматизированные инструменты взлома также могут маскироваться, используя различные IP-адреса и местоположения, что усложняет выявление и блокировку их подозрительной деятельности.

Успешная атака грубой силы может дать хакерам доступ к административной области вашего сайта. Они могут установить вредоносное ПО, украсть информацию о пользователе и удалить все на вашем сайте.

Даже безуспешные атаки грубой силы могут посеять хаос, посылая слишком много запросов на серверы хостинга WordPress, замедляя или даже полностью выводя из строя ваш сайт.

Учитывая это, давайте рассмотрим, как защитить ваш сайт WordPress от атак методом перебора.

1. Установите плагин брандмауэра WordPress

Атаки грубой силы создают большую нагрузку на ваши серверы. Даже самые неудачные из них могут замедлить работу вашего сайта или полностью вывести сервер из строя. Вот почему важно блокировать их до того, как они попадут на ваш сервер.

Для этого вам понадобится решение для брандмауэра сайта. Брандмауэр отфильтровывает плохой трафик и блокирует его доступ к вашему сайту.

Брандмауэр сайта

Существует два типа брандмауэров для сайтов, которые вы можете использовать.

Брандмауэр на уровне приложения — Эти плагины брандмауэра проверяют трафик, когда он достигает вашего сервера, но до загрузки большинства скриптов WordPress. Этот метод не так эффективен, поскольку атака грубой силы все равно может повлиять на загрузку вашего сервера.

Брандмауэр веб-сайта на уровне DNS — Эти брандмауэры направляют трафик вашего сайта через свои облачные прокси-серверы. Это позволяет им отправлять только настоящий трафик на ваш основной хостинг-сервер, одновременно повышая скорость и производительность WordPress.

Мы рекомендуем использовать Sucuri. Это лидер в области безопасности веб-сайтов и лучший брандмауэр WordPress на рынке. Поскольку это брандмауэр сайта на уровне DNS, это означает, что весь трафик вашего сайта проходит через их прокси-сервер, где плохой трафик отфильтровывается.

Мы используем Sucuri на нашем сайте, и вы можете прочитать наш полный обзор Sucuri, чтобы узнать больше.

2. Установить обновления WordPress

Некоторые распространенные атаки грубой силы активно используют известные уязвимости в старых версиях WordPress, популярных плагинах WordPress или темах.

Ядро WordPress и большинство популярных плагинов WordPress имеют открытый исходный код, и уязвимости часто устраняются очень быстро с обновлением. Однако если вы не установите обновления, то оставите свой сайт уязвимым для этих старых угроз.

Просто перейдите по адресу Панель управления » Обновления страница в области администрирования WordPress для проверки наличия доступных обновлений. На этой странице будут показаны все обновления для ядра WordPress, плагинов и тем.

Страница обновлений в области администрирования WordPress

3. Защита директории администратора WordPress

Большинство атак грубой силы на сайт WordPress пытаются получить доступ к области администратора WordPress. Вы можете добавить защиту паролем на каталог администратора WordPress на уровне сервера. Это заблокирует несанкционированный доступ к вашей области администратора WordPress.

Просто войдите в панель управления хостингом WordPress (cPanel) и нажмите на значок «Конфиденциальность каталога» в разделе «Файлы».

Примечание: На нашем скриншоте мы используем Bluehost, но подобные настройки доступны и для других ведущих хостинг-компаний, таких как SiteGround, HostGator и т.д.

Конфиденциальность каталога в cPanel

Далее вам нужно найти папку wp-admin и щелкнуть по названию папки.

Найдите папку wp-admin

cPanel попросит вас указать имя папки с ограниченным доступом, имя пользователя и пароль. После ввода этой информации нажмите на кнопку сохранения, чтобы сохранить настройки.

Защита паролем каталога администратора WordPress

Теперь ваша директория администратора WordPress защищена паролем. Вы увидите новую подсказку для входа в систему при посещении области администрирования WordPress.

Запрос на вход

Если вы столкнулись с ошибкой 404 или сообщением о слишком большом количестве перенаправлений, то вам нужно добавить следующую строку в ваш WordPress .файл htaccess.

ОшибкаДокумент 401 по умолчанию

Для получения более подробной информации см. нашу статью о том, как защитить паролем каталог администратора WordPress.

4. Добавьте двухфакторную аутентификацию в WordPress

Двухфакторная аутентификация добавляет дополнительный уровень безопасности к экрану входа в WordPress. Пользователям понадобятся их телефоны для генерации одноразового пароля вместе с учетными данными для входа в админзону WordPress.

Введите код двухэтапной аутентификации

Добавление двухфакторной аутентификации усложнит хакерам получение доступа, даже если они смогут взломать ваш пароль WordPress.

Для получения подробных пошаговых инструкций см. наше руководство о том, как добавить двухфакторную аутентификацию в WordPress

5. Используйте уникальные и надежные пароли

Пароли — это ключи к получению доступа к вашему сайту WordPress или магазину электронной коммерции. Вам необходимо использовать уникальные надежные пароли для всех ваших учетных записей. Надежный пароль — это комбинация цифр, букв и специальных символов.

Важно, чтобы вы использовали надежные пароли не только для учетных записей пользователей WordPress, но и для FTP-клиента, панели управления хостингом и базы данных WordPress.

Большинство новичков спрашивают нас, как запомнить все эти уникальные пароли? Это не обязательно. Существуют отличные приложения для управления паролями, которые надежно хранят ваши пароли и автоматически заполняют их за вас.

Чтобы узнать больше, смотрите наше руководство для начинающих о лучших способах управления паролями для WordPress.

6. Отключите просмотр каталога

По умолчанию, когда ваш веб-сервер не находит индексный файл (i.e. файл типа index.php или index.html), он автоматически отображает индексную страницу, показывающую содержимое каталога.

Индекс каталогов

Во время атаки грубой силы хакеры могут использовать просмотр каталогов для поиска уязвимых файлов. Чтобы исправить это, вам нужно добавить следующую строку в нижней части вашего WordPress .файл htaccess с помощью FTP-сервиса.

Опции - Индексы

Для более подробной информации смотрите нашу статью о том, как отключить просмотр каталогов в WordPress.

7. Отключить выполнение файлов PHP в определенных папках WordPress

Хакеры могут захотеть установить и выполнить PHP-скрипт в папках вашего WordPress. WordPress написан в основном на PHP, что означает, что вы не можете отключить его во всех папках WordPress.

Однако есть некоторые папки, которым не нужны никакие PHP-скрипты. Например, ваша папка WordPress uploads находится по адресу /wp-content/uploads.

Вы можете безопасно отключить выполнение PHP в папке uploads, которая является распространенным местом, используемым хакерами для скрытия файлов бэкдора.

Во-первых, вам нужно открыть текстовый редактор, например, Блокнот, на вашем компьютере и вставить следующий код:

 запретить для всех

Теперь сохраните этот файл как .htaccess и загрузите его в папку /wp-content/uploads/ на вашем сайте с помощью FTP-клиента.

8. Установка и настройка плагина резервного копирования WordPress

Плагины резервного копирования WordPress

Резервные копии — самый важный инструмент в вашем арсенале безопасности WordPress. Если все остальное не удастся, то резервные копии позволят вам легко восстановить ваш сайт.

Большинство хостинг-компаний WordPress предлагают ограниченные возможности резервного копирования. Однако эти резервные копии не гарантированы, и вы несете полную ответственность за создание собственных резервных копий.

Существует несколько отличных плагинов для резервного копирования WordPress, которые позволяют планировать автоматические резервные копии.

Мы рекомендуем использовать UpdraftPlus. Она удобна для начинающих и позволяет быстро настроить автоматическое резервное копирование и хранить его в удаленных местах, таких как Google Drive, Dropbox, Amazon S3 и др.

Для получения пошаговых инструкций см. наше руководство по резервному копированию и восстановлению сайта WordPress с помощью UpdraftPlus

Все вышеупомянутые советы помогут вам защитить ваш сайт WordPress от атак методом перебора. Для более полной настройки безопасности, вы должны следовать инструкциям в нашем окончательном руководстве по безопасности WordPress для начинающих.

Мы надеемся, что эта статья помогла вам узнать, как защитить свой сайт WordPress от атак методом перебора. Вы также можете прочесть о том, как исправить взломанный сайт WordPress и как получить бесплатную SSL-сертификацию для сайта WordPress.

Источник: www.wpbeginner.com

Оцените статью
Добавить комментарий

© 2023 StudioWebd.ru