Elementele de bază ale securității WordPress: Cum să gestionați mai multe încercări de conectare eșuate
Publicat: 2022-04-28Dacă rulați un site web sau doar creați unul, veți ști că WordPress este unul dintre cele mai bune sisteme CMS folosite de mulți din întreaga lume, motiv pentru care mulți hackeri îl vizează.
Să nu credeți că numai site-urile mari sunt piratate; cele mici sunt la fel de atractive pentru hackeri, deoarece stochează și datele clienților privați. Una dintre cele mai comune moduri de a ataca un site WordPress este în mai multe încercări de conectare. Acesta este motivul pentru care vom explica de ce este important să recunoaștem și să observăm mai multe încercări de conectare eșuate și modul de a le preveni.
Mai întâi vom intra în mai multe detalii despre găzduire. Dar, în esență, găzduirea excelentă este întotdeauna prima ta linie de apărare. Găzduirea WPMU DEV bifează toate căsuțele. Este accesibil, rapid, sigur, complet dedicat și gazda WordPress clasată pe locul 1 pe TrustPilot. Obțineți o reducere de 20% la oricare dintre planurile lor aici.
Încercări eșuate de conectare
Pentru a utiliza orice site WordPress, trebuie să aveți un nume de utilizator și o parolă, ceea ce înseamnă că trebuie să vă autentificați. Există o linie fină între uitarea unei parole și încercarea unui robot de a pătrunde în site-ul dvs. Deci, aici intervine monitorizarea încercărilor eșuate de conectare ca măsură de securitate.
Când site-ul dvs. afișează mesajul de eroare „prea multe încercări de conectare eșuate”, verificați ce se întâmplă. Nu-l respinge doar ca fiind „ok. Cineva și-a uitat parola”, deoarece atacurile cu forță brută direcționate pot duce la DDoS, iar site-ul dvs. se poate prăbuși.
Primul obstacol pentru acest atac poate fi acela că după ce utilizatorul specific încearcă să se conecteze cu acreditările greșite, WordPress setează timpul de așteptare care trebuie să expire, chiar dacă același utilizator încearcă să se conecteze din nou cu setul potrivit de acreditări.
Aici vă poate ajuta funcția de securitate OWASP.org. Acesta este un software open-source care ajută la blocarea atacurilor cu forță brută.
Cum să gestionați mai multe încercări de conectare eșuate
Păstrați-vă întotdeauna site-ul WordPress actualizat
WordPress lansează actualizări de software într-un program stabilit, așa că nu le evitați. Aceste actualizări au grijă de performanța site-ului dvs. și asta include setări de securitate și confidențialitate actualizate. Continuând cu actualizările, permiteți WordPress să vă protejeze site-ul, iar acesta este pasul numărul doi pentru a vă proteja site-ul.
Limitați încercările de conectare
În mod implicit, WordPress permite încercări de conectare nelimitate, dar asta nu înseamnă că ar trebui să-l lași să funcționeze în acest fel. Limitați încercările de conectare pe site-ul dvs. la trei (de obicei, acesta este numărul preferat de încercări eșuate permise). Există două moduri de a realiza acest lucru, cu un plugin sau printr-o gazdă WordPress.
Pluginurile gratuite care vă vor permite să limitați încercările eșuate de conectare sunt:
1. Limitați încercările de conectare (Opriți conectările false)
Limitați încercările de conectare (Opriți conectările false)
Acest plugin va bloca automat adresa IP care depășește limita de încercare setată. Acest plugin vă permite să adăugați manual adresa IP la lista de blocare, să informați utilizatorul despre încercările rămase și vă oferă posibilitatea de a debloca utilizatorii blocați prin e-mail sau tablou de bord. Acesta va limita încercările de reîncercare pe IP și este compatibil cu Google CAPTCHA.
2. Limitați încercările de conectare
Limitați încercările de conectare
Acesta este un plugin care va limita încercările de autentificare, va crește securitatea de conectare, protecția împotriva spamului și va oferi site-ului dumneavoastră protecție împotriva atacurilor de forță brută, va bloca înregistrările de la utilizatori falși și veți putea obține rapoarte și audituri despre activitățile de pe site-ul dvs. ( puteți chiar să exportați aceste rapoarte dacă aveți nevoie). Acesta este un software gratuit și open-source.
Securitate gazdă web
Chiar și atunci când vă asigurați site-ul WordPress împotriva intrărilor neautorizate, nu uitați că securitatea furnizorului dvs. de găzduire este la fel de importantă ca și a site-ului dvs. WordPress. Deci, aruncați o privire la caracteristicile furnizorului dvs. de gazdă web.
Poate că va trebui doar să îl actualizați la un plan superior al furnizorului dvs. actual, dar luați în considerare și migrarea site-ului dvs. la un nou furnizor de găzduire web de încredere, cu actualizări puternice și frecvente în software-ul serverului și securitatea hardware.
Căutați unul care să ofere o echipă de asistență tehnică 24/7 care poate rezolva problemele de siguranță ale site-ului dvs. și vă poate proteja informațiile. O gazdă care oferă copii de rezervă automatizate ale întregului site web este, de asemenea, o alegere excelentă.
După cum am menționat deja, cea mai bună alegere pentru aceasta este WPMU DEV. Ceea ce ne place cel mai mult la WPMU DEV Hosting este că este plin de funcții de găzduire unice și puternice pe care nu le veți găsi în altă parte (cum ar fi 7 plugin-uri pro-WP încorporate). Vedeți singur și obțineți o reducere de 20% la oricare dintre planurile lor de găzduire aici.
Creșteți securitatea autentificării
Utilizați un plugin de securitate WordPress care va permite un proces de autentificare în doi pași ca strat de securitate suplimentar. Există diferite moduri de a face acest lucru; codurile trimise la telefonul utilizatorului, verificarea e-mailului etc. Oricare funcționează cel mai bine pentru echipa ta.
1. iThemes Security
iThemes Security (anterior Better WP Security)
Acest plugin, printre celelalte caracteristici ale sale, vă va securiza autentificarea WordPress cu aceste caracteristici: Autentificare în doi factori (2FA), care va solicita utilizatorului dvs. să introducă un cod de securitate (împreună cu o parolă), e-mail, coduri de rezervă și Autentificare Google.
2. SiteGround Security
SiteGround Security
Acest plugin va solicita tuturor utilizatorilor administratori să furnizeze un simbol care este generat din aplicația de autentificare Google atunci când se conectează.
3. All In One WP Security
All In One WP Security & Firewall
Acest plugin are reguli de securitate clasificate în reguli „de bază”, „intermediare” și „avansate”. Este 100% gratuit, iar unele dintre caracteristicile sale sunt securitatea contului de utilizator, securitatea autentificarii utilizatorului, care vă va proteja site-ul de „Atacuri de conectare în forță brută” și securitatea înregistrării utilizatorilor.
Securitatea retelei
Rețeaua pe care o utilizați poate reprezenta, de asemenea, o amenințare de securitate pentru site-ul dvs. Rețelele publice nu sunt de obicei protejate foarte bine; vorbim de locuri precum cafenele, biblioteci, rețele publice din centrele comerciale etc.
O strategie importantă de siguranță pentru a vă proteja într-o rețea Wi-Fi publică este să utilizați o rețea privată virtuală, un VPN. Este, de asemenea, o protecție excelentă atunci când utilizați Wi-Fi acasă pentru afaceri sau orice altceva, așa că luați în considerare unii furnizori.
Securitate în afara locației
Aceasta este, de asemenea, o caracteristică de securitate foarte importantă de avut în vedere pentru protecția site-ului dvs. WordPress. Toate aplicațiile și bazele de date care sunt utilizate în modul offline reprezintă un risc potențial de securitate, așa că asigurați-vă că sunt integrate în siguranță cu site-ul dvs. WordPress.
Concluzie
În calitate de constructor de site-uri web ușor de utilizat, WordPress este folosit de milioane. Pentru a avea un site securizat, primul pas este prevenirea atacurilor de forță brută prin monitorizarea și gestionarea corectă a tuturor încercărilor eșuate de conectare. Acesta este un mod obligatoriu de protecție pentru site-uri web și tipul de atac pe care hackerii îl folosesc prea des.
De asemenea, toate celelalte aspecte ale securității pe care le-am menționat în acest articol vă vor proteja site-ul, așa că nu le subestimați.