четвъртък, август 11

Как да защитите своя WordPress сайт от груби атаки (стъпка по стъпка)

0
25
protecting WordPress from brute force attacks


Искате ли да защитите своя WordPress сайт от атаки с груба сила?

Атаката с груба сила може да забави уебсайта ви, да го направи недостъпен и дори да разбие паролите ви, за да инсталира зловреден софтуер на вашия уебсайт.

В тази статия ще ви покажем как да защитите своя WordPress сайт от атаки с груба сила.

Какво представлява атака с груба сила?

Brute Force Attack е хакерски метод, който използва опит и грешка, за да проникне в уебсайт, мрежа или компютърна система.

Най-често срещаният тип атака с груба сила е отгатването на парола. Хакерите използват автоматизиран софтуер, за да отгатнат информацията ви за вход, за да могат да получат достъп до вашия уебсайт.

Тези автоматизирани инструменти за хакване могат също да се маскират, като използват различни IP адреси и местоположения, което затруднява идентифицирането и блокирането на техните подозрителни дейности.

Успешна атака с груба сила може да даде на хакерите достъп до администраторската зона на вашия уебсайт. Те могат да инсталират зловреден софтуер, да откраднат потребителска информация и да изтрият всичко на вашия сайт.

Дори неуспешни атаки с груба сила могат да причинят хаос, като изпращат твърде много заявки до вашите хостинг сървъри на WordPress, забавят или дори напълно сриват уебсайта ви.

Като се има предвид това, нека да разгледаме как да защитим своя WordPress сайт от атаки с груба сила.

1. Инсталирайте приставка за защитна стена на WordPress

Атаките с груба сила натоварват много вашите сървъри. Дори неуспешните могат да забавят вашия уебсайт или напълно да сринат сървъра. Ето защо е важно да ги блокирате, преди да стигнат до вашия сървър.

За да направите това, ще ви трябва решение за защитна стена на уебсайт. Защитната стена филтрира лошия трафик и му блокира достъпа до вашия сайт.

Защитна стена на уебсайт

Има два типа защитни стени на уебсайтове, които можете да използвате.

Защитна стена на ниво приложение – Тези плъгини за защитна стена проверяват трафика, след като достигне вашия сървър, но преди да заредят повечето скриптове на WordPress. Този метод не е толкова ефективен, защото атаката с груба сила все още може да повлияе на натоварването на вашия сървър.

Защитна стена на уебсайтове на ниво DNS – Тези защитни стени насочват трафика на вашия уебсайт през техните облачни прокси сървъри. Това им позволява да изпращат само истински трафик към вашия основен уеб хостинг сървър, като същевременно дават тласък на скоростта и производителността на WordPress.

Препоръчваме да използвате Sucuri. Това е лидер в индустрията в сигурността на уебсайтове и най-добрата защитна стена на WordPress на пазара. Тъй като това е защитна стена на уебсайт на ниво DNS, това означава, че целият трафик на вашия уебсайт преминава през техния прокси, където лошият трафик се филтрира.

Ние използваме Sucuri на нашия уебсайт и можете да прочетете нашия пълен преглед на Sucuri, за да научите повече.

2. Инсталирайте актуализации на WordPress

Някои често срещани атаки с груба сила активно са насочени към известни уязвимости в по-стари версии на WordPress, популярни плъгини за WordPress или теми.

Ядрото на WordPress и най-популярните приставки за WordPress са с отворен код и уязвимостите често се коригират много бързо с актуализация. Ако обаче не успеете да инсталирате актуализации, оставяте уебсайта си уязвим за тези стари заплахи.

Просто отидете на Табло за управление » Актуализации страница в административната област на WordPress, за да проверите за налични актуализации. Тази страница ще покаже всички актуализации за вашето ядро, плъгини и теми на WordPress.

Страница за актуализации в административната област на WordPress

За повече подробности вижте нашите ръководства как безопасно да актуализирате WordPress и правилно да актуализирате WordPress плъгини.

3. Защитете администраторската директория на WordPress

Повечето атаки с груба сила върху сайт на WordPress се опитват да получат достъп до администраторската област на WordPress. Можете да добавите защита с парола към вашата администраторска директория на WordPress на ниво сървър. Това ще блокира неоторизиран достъп до вашата административна зона на WordPress.

Просто влезте в своя контролен панел за хостинг на WordPress (cPanel) и щракнете върху иконата „Поверителност на директорията“ в секцията Файлове.

Забележка: Ние използваме Bluehost в нашата екранна снимка, но подобни настройки са налични и в други водещи хостинг компании, както и като SiteGround, HostGator и т.н.

Поверителност на директорията в cPanel

След това трябва да намерите папката wp-admin и да кликнете върху името на папката.

Прегледайте и намерете папката wp-admin

cPanel вече ще ви помоли да предоставите име за ограничената папка, потребителско име и парола. След като въведете тази информация, кликнете върху бутона за запазване, за да съхраните вашите настройки.

Защитете с парола администраторска директория на WordPress

Вашата администраторска директория на WordPress вече е защитена с парола. Ще видите нова подкана за влизане, когато посетите вашата администраторска област на WordPress.

Подкана за влизане

Ако срещнете грешка 404 или съобщение за твърде много пренасочвания, тогава трябва да добавите следния ред към вашия WordPress .htaccess файл.


ErrorDocument 401 default

За повече подробности вижте нашата статия за това как да защитите с парола администраторска директория на WordPress.

4. Добавете двуфакторна автентификация в WordPress

Двуфакторното удостоверяване добавя допълнителен защитен слой към вашия екран за влизане в WordPress. Потребителите ще се нуждаят от телефоните си, за да генерират еднократна парола заедно с идентификационните си данни за влизане за достъп до административната област на WordPress.

Въведете двуетапен код за удостоверяване

Добавянето на двуфакторно удостоверяване ще затрудни хакерите да получат достъп, дори ако са в състояние да разбият паролата ви за WordPress.

За подробни инструкции стъпка по стъпка вижте нашето ръководство за това как да добавите двуфакторно удостоверяване в WordPress

5. Използвайте уникални и силни пароли

Паролите са ключовете за получаване на достъп до вашия WordPress сайт или магазин за електронна търговия. Трябва да използвате уникални силни пароли за всичките си акаунти. Силната парола е комбинация от цифри, букви и специални знаци.

Важно е да използвате силни пароли не само за вашите потребителски акаунти в WordPress, но и за FTP клиент, контролен панел за уеб хостинг и вашата база данни на WordPress.

Повечето начинаещи ни питат как да запомним всички тези уникални пароли? Е, не е нужно. Налични са отлични приложения за управление на пароли, които сигурно съхраняват паролите ви и автоматично ще ги попълват вместо вас.

За да научите повече, вижте нашето ръководство за начинаещи за най-добрите начини за управление на пароли за WordPress.

6. Деактивирайте сърфирането в директория

По подразбиране, когато вашият уеб сървър не намери индексен файл (т.е. файл като index.php или index.html), той автоматично показва индексна страница, показваща съдържанието на директорията.

Индекс на директорията

По време на атака с груба сила, хакерите могат да използват сърфиране в директории, за да търсят уязвими файлове. За да коригирате това, трябва да добавите следния ред в долната част на вашия WordPress .htaccess файл с помощта на FTP услуга.


Options -Indexes

За повече подробности вижте нашата статия за това как да деактивирате сърфирането в директория в WordPress.

7. Деактивирайте изпълнението на PHP файл в специфични папки на WordPress

Хакерите може да искат да инсталират и изпълнят PHP скрипт във вашите папки на WordPress. WordPress е написан основно на PHP, което означава, че не можете да деактивирате това във всички папки на WordPress.

Въпреки това, има някои папки, които не се нуждаят от никакви PHP скриптове. Например вашата папка за качване на WordPress, намираща се в /wp-content/uploads.

Можете безопасно да деактивирате изпълнението на PHP в папката за качване, което е често срещано място, което хакерите използват, за да скрият бекдор файлове.

Първо, трябва да отворите текстов редактор като Notepad на вашия компютър и да поставите следния код:


<Files *.php>
deny from all
</Files>

Сега запазете този файл като .htaccess и го качете в папки /wp-content/uploads/ на вашия уебсайт с помощта на FTP клиент.

8. Инсталирайте и настройте приставка за архивиране на WordPress

Плъгини за архивиране на WordPress

Архивите са най-важният инструмент във вашия арсенал за сигурност на WordPress. Ако всичко друго се провали, тогава архивирането ще ви позволи лесно да възстановите уебсайта си.

Повечето хостинг компании на WordPress предлагат ограничени опции за архивиране. Въпреки това, тези резервни копия не са гарантирани и вие сте изцяло отговорни за правенето на свои собствени резервни копия.

Има няколко страхотни приставки за архивиране на WordPress, които ви позволяват да планирате автоматично архивиране.

Препоръчваме да използвате UpdraftPlus. Той е удобен за начинаещи и ви позволява бързо да настроите автоматично архивиране и да ги съхранявате на отдалечени места като Google Drive, Dropbox, Amazon S3 и др.

За инструкции стъпка по стъпка вижте нашето ръководство за това как да архивирате и възстановите своя WordPress сайт с UpdraftPlus

Всички гореспоменати съвети ще ви помогнат да защитите своя WordPress сайт от атаки с груба сила. За по-изчерпателна настройка на сигурността трябва да следвате инструкциите в нашето най-добро ръководство за сигурност на WordPress за начинаещи.

Надяваме се, че тази статия ви е помогнала да научите как да защитите своя WordPress сайт от атаки с груба сила. Може също да искате да потърсите как да поправите хакнат сайт на WordPress и как да получите безплатно SSL сертифициране за уебсайт на WordPress.

Ако ви е харесала тази статия, моля, абонирайте се за нашия YouTube канал за видео уроци за WordPress. Можете също да ни намерите на Twitter и Facebook.



Comments are closed.