Основы безопасности WordPress: как справиться с несколькими неудачными попытками входа в систему

Если вы управляете веб-сайтом или только создаете его, вы знаете, что WordPress — одна из лучших систем CMS, используемых многими по всему миру, что также является причиной, по которой многие хакеры нацеливаются на нее.

Не думайте, что взламывают только крупные веб-сайты; маленькие так же привлекательны для хакеров, поскольку они также хранят данные частных клиентов. Один из наиболее распространенных способов атаки на сайт WordPress — это множественные попытки входа в систему. Именно поэтому мы объясним, почему важно распознавать и наблюдать за несколькими неудачными попытками входа в систему, а также способы их предотвращения.

Сначала мы более подробно поговорим о хостинге. Но по сути, отличный хостинг — это всегда ваша первая линия защиты. Хостинг WPMU DEV отвечает всем требованиям. Это доступный, быстрый, безопасный, полностью выделенный хост WordPress № 1 в рейтинге TrustPilot. Получите скидку 20% на любой из их планов здесь.

Неудачные попытки входа

Чтобы использовать любой сайт WordPress, вам нужно иметь имя пользователя и пароль, то есть вам нужно войти в систему. Существует тонкая грань между тем, чтобы забыть пароль и ботом, пытающимся взломать ваш сайт. Вот где в качестве меры безопасности выступает мониторинг неудачных попыток входа в систему.

Когда на вашем сайте отображается сообщение об ошибке «слишком много неудачных попыток входа», проверьте, что происходит. Не просто отвергайте это как «хорошо. Кто-то просто забыл свой пароль», так как целевые атаки перебором могут привести к DDoS, и ваш сайт может рухнуть.

Первым препятствием для этой атаки может быть то, что после того, как конкретный пользователь пытается войти в систему с неверными учетными данными, WordPress устанавливает время ожидания, которое должно истечь, даже если тот же пользователь пытается снова войти в систему с правильным набором учетных данных.

В этом вам может помочь функция безопасности OWASP.org. Это программное обеспечение с открытым исходным кодом, которое помогает блокировать атаки грубой силы.

Как справиться с несколькими неудачными попытками входа в систему

Всегда обновляйте свой сайт WordPress

WordPress выпускает обновления программного обеспечения по установленному расписанию, поэтому не избегайте их. Эти обновления заботятся о производительности вашего сайта, включая актуальные настройки безопасности и конфиденциальности. Выполняя обновления, вы позволяете WordPress защищать ваш сайт, и это второй шаг к защите вашего сайта.

Ограничьте количество попыток входа

По умолчанию WordPress разрешает неограниченное количество попыток входа в систему, но это не значит, что вы должны позволить ему работать таким образом. Ограничьте количество попыток входа на ваш сайт тремя (обычно это предпочтительное количество разрешенных неудачных попыток). Есть два способа добиться этого: с помощью плагина или через хост WordPress.

Бесплатные плагины, которые позволят вам ограничить неудачные попытки входа в систему:

1. Ограничьте количество попыток входа в систему (остановите поддельные входы в систему)

Ограничить количество попыток входа в систему (остановить поддельные входы в систему)

Этот плагин автоматически заблокирует IP-адрес, который превышает установленный лимит попыток. Этот плагин позволяет вам вручную добавить IP-адрес в список заблокированных, информировать пользователя об оставшихся попытках и предоставляет вам возможность разблокировать заблокированных пользователей по электронной почте или через панель управления. Это ограничит количество повторных попыток для каждого IP-адреса и совместимо с Google CAPTCHA.

2. Ограничьте количество попыток входа

Ограничьте количество попыток входа

Это плагин, который ограничит попытки входа в систему, повысит безопасность входа, защиту от спама и обеспечит вашему сайту защиту от атак грубой силы, заблокирует регистрацию от поддельных пользователей, и вы сможете получать отчеты и аудиты о действиях на вашем сайте ( вы даже можете экспортировать эти отчеты, если вам нужно). Это бесплатное программное обеспечение с открытым исходным кодом.

Безопасность веб-хостинга

Даже когда вы защищаете свой сайт WordPress от несанкционированного доступа, не забывайте, что безопасность вашего хостинг-провайдера так же важна, как и безопасность вашего сайта WordPress. Так что взгляните на возможности вашего провайдера веб-хостинга.

Возможно, вам просто нужно будет обновить его до более высокого плана вашего текущего провайдера, но также рассмотрите возможность переноса вашего сайта на нового надежного провайдера веб-хостинга с сильными и частыми обновлениями его серверного программного обеспечения и аппаратной безопасности.

Ищите тот, который предоставляет круглосуточную группу технической поддержки, которая может решить проблемы безопасности вашего сайта и защитить вашу информацию. Хост, который предлагает автоматическое резервное копирование всего вашего веб-сайта, также является отличным выбором.

Как мы уже упоминали, лучшим выбором для этого является WPMU DEV. Что нам больше всего нравится в хостинге WPMU DEV, так это то, что он содержит уникальные и мощные функции хостинга, которые вы не найдете больше нигде (например, 7 встроенных плагинов pro-WP). Убедитесь сами и получите скидку 20% на любой из их планов хостинга здесь.

Повышение безопасности входа

Используйте плагин безопасности WordPress, который включит двухэтапную аутентификацию в качестве дополнительного уровня безопасности. Есть разные способы сделать это; отправка кодов на телефон пользователя, проверка электронной почты и т. д. Все, что лучше всего подходит для вашей команды.

1. Безопасность iThemes

iThemes Security (ранее Better WP Security)

Этот плагин, помимо других функций, защитит ваш вход в WordPress с помощью следующих функций: двухфакторная аутентификация (2FA), которая потребует от вашего пользователя ввода кода безопасности (вместе с паролем), электронной почты, резервных кодов и аутентификации Google.

2. Безопасность SiteGround

SiteGround Security

Этот плагин потребует от всех пользователей-администраторов предоставить токен, сгенерированный из приложения Google Authentication, при входе в систему.

3. Все в одном WP Безопасность

Все в одном WP Security & Firewall

Этот плагин имеет правила безопасности, разделенные на «базовые», «промежуточные» и «расширенные». Это на 100% бесплатно, и некоторые из его функций включают безопасность учетной записи пользователя, безопасность входа пользователя, которая защитит ваш сайт от «атак грубой силы» и безопасность регистрации пользователя.

Сетевая безопасность

Сеть, которую вы используете, также может представлять угрозу безопасности вашего сайта. Общедоступные сети обычно не очень хорошо защищены; мы говорим о таких местах, как кофейни, библиотеки, общедоступные сети в торговых центрах и т. д.

Важной стратегией безопасности для защиты вас в общедоступной сети Wi-Fi является использование виртуальной частной сети, VPN. Это также отличная защита при использовании домашнего Wi-Fi для бизнеса или чего-либо еще, поэтому подумайте о том, чтобы проверить некоторых поставщиков.

Внешняя безопасность

Это также очень важная функция безопасности, о которой следует помнить для защиты вашего сайта WordPress. Все приложения и базы данных, которые используются в автономном режиме, представляют собой потенциальную угрозу безопасности, поэтому убедитесь, что они надежно интегрированы с вашим сайтом WordPress.

Вывод

Как простой в использовании конструктор веб-сайтов, WordPress используется миллионами. Чтобы иметь безопасный сайт, первым шагом является предотвращение атак грубой силы путем отслеживания и правильной обработки всех неудачных попыток входа в систему. Это обязательный способ защиты веб-сайтов, который хакеры используют слишком часто.

Кроме того, все другие аспекты безопасности, упомянутые в этой статье, защитят ваш сайт, поэтому не стоит их недооценивать.