Cum să vă protejați site-ul WordPress de atacurile brute de forță (pas cu pas)
Doriți să vă protejați site-ul WordPress de atacuri de forță brute? Aceste atacuri vă pot încetini site-ul, îl puteți face inaccesibil și chiar vă puteți sparge parolele pentru a instala programe malware pe site-ul dvs. Web. În acest articol, vă vom arăta cum să vă protejați site-ul WordPress împotriva atacurilor de forță brutale.
Ce este un atac de fortă brută?
Brute Force Attack este o metodă de hacking care utilizează tehnici de încercare și eroare pentru a rupe un site web, o rețea sau un sistem informatic.
Hackerii folosesc software-ul automat pentru a trimite un număr mare de solicitări către sistemul țintă. Cu fiecare cerere, aceste programe încearcă să ghicească informațiile necesare pentru a obține acces, cum ar fi parolele sau codurile PIN.
Aceste instrumente se pot deghiza, de asemenea, prin utilizarea diferitelor adrese IP și locații, ceea ce face mai dificil pentru sistemul vizat să identifice și să blocheze aceste activități suspecte.
Un atac de forță brute de succes poate oferi hackerilor acces la zona de administrare a site-ului dvs. Aceștia pot instala backdoor, malware, fura informații despre utilizatori și pot șterge totul de pe site-ul dvs..
Chiar și atacurile de forță brute nereușite pot provoca dezastre prin trimiterea prea multor solicitări care încetinesc serverele dvs. de găzduire WordPress și chiar le prăbușesc.
Acestea fiind spuse, să examinăm cum să vă protejați site-ul WordPress de atacurile de forță brutale.
Pasul 1. Instalați un plugin WordPress Firewall
Atacurile de forță brute pun foarte mult pe serverele tale. Chiar și cele nereușite pot încetini site-ul dvs. sau pot crasa complet serverul. De aceea este important să le blocați înainte de a ajunge pe serverul dvs..
Pentru a face acest lucru, veți avea nevoie de o soluție de firewall pentru site-uri web. Un firewall elimină traficul rău și îl împiedică să acceseze site-ul dvs..
Există două tipuri de firewall pe care le puteți utiliza.
Firewall de nivel de aplicație - Aceste pluginuri de tip firewall examinează traficul odată ce acesta ajunge la serverul dvs., dar înainte de încărcarea majorității scripturilor WordPress. Această metodă nu este la fel de eficientă deoarece un atac de forță brute poate afecta în continuare încărcarea serverului.
DNS Firewall de nivel de site Web - Aceste firewall trasează traficul pe site-urile web prin intermediul serverelor proxy de tip cloud. Acest lucru le permite doar să trimită un trafic real către serverul dvs. de gazduire web principal, oferind în același timp un impuls pentru viteza și performanța WordPress.
Vă recomandăm să utilizați Sucuri. Acesta este liderul în industria de securitate a site-ului și cel mai bun firewall pentru WordPress de pe piață. Deoarece este un paravan de protecție la nivel de DNS, înseamnă că tot traficul de pe site-ul dvs. trece prin proxy-ul în care traficul rău este filtrat.
Utilizăm Sucuri pe site-ul nostru și puteți citi recenzia completă Sucuri pentru a afla mai multe.
Pasul 2. Instalați actualizările WordPress
Unele atacuri de forță brute comune vizează în mod activ vulnerabilitățile cunoscute din versiunile mai vechi ale WordPress, pluginurile populare WordPress sau temele.
WordPress core și cele mai populare pluginuri WordPress sunt open source, iar vulnerabilitățile sunt adesea fixate foarte rapid, cu o actualizare. Cu toate acestea, dacă nu reușiți să instalați actualizări, atunci vă lăsați site-ul vulnerabil la aceste vechi amenințări.
Pur și simplu du-te la Tablou de bord »Actualizări în zona de administrare WordPress pentru a verifica actualizările disponibile. Această pagină va afișa toate actualizările pentru nucleul dvs. WordPress, pluginurile și temele.
Pentru mai multe detalii, consultați ghidul nostru despre cum să actualizați corect modulele WordPress.
Pasul 3. Protejați directorul de administrare WordPress
Cele mai multe atacuri de forță brute pe un site WordPress încearcă să aibă acces la zona de administrare WordPress. Puteți adăuga protecție prin parolă în directorul de administrare WordPress la nivel de server. Acest lucru ar împiedica accesul neautorizat la zona de administrare WordPress.
Pur și simplu conectați-vă la panoul de control al găzduirii WordPress (cPanel) și faceți clic pe pictograma "Confidențialitate director" din secțiunea Fișiere.
Notă: Folosim Bluehost în screenshot-ul nostru, însă alte setări similare sunt disponibile și pe alte companii de top hosting, precum SiteGround, HostGator etc..
Apoi, trebuie să localizați directorul wp-admin și să faceți clic pe numele directorului.
cPanel vă va cere acum să furnizați un nume pentru dosarul cu restricții, numele de utilizator și parola. După introducerea acestor informații, faceți clic pe butonul de salvare pentru a stoca setările.
Directorul dvs. de administrare WordPress este acum protejat prin parolă. Veți vedea o nouă solicitare de autentificare când vizitați zona de administrare WordPress.
Dacă întâmpinați o eroare sau o eroare de 404 prea multe mesaje redirecționate, atunci trebuie să adăugați următoarea linie în fișierul dvs. WordPress .htaccess.
ErrorDocument 401 implicit
Pentru mai multe detalii, consultați articolul nostru despre cum să protejați cu parolă directorul de administrare WordPress.
Pasul 4. Adăugați autentificarea cu două factori în WordPress
Două factori de autentificare adaugă un strat suplimentar de securitate la ecranul de conectare WordPress. Practic, utilizatorii vor avea nevoie de telefoanele lor pentru a genera un cod de acces unic, împreună cu datele de conectare pentru a accesa zona de administrare WordPress.
Adăugarea autentificării cu doi factori va îngreuna accesul hackerilor chiar dacă pot sparge parola WordPress.
Pentru instrucțiuni detaliate pas cu pas, consultați ghidul nostru despre modul de adăugare a autentificării cu doi factori în WordPress
Pasul 5. Utilizați parole puternice unice
Parolele sunt cheile pentru a avea acces la site-ul dvs. WordPress. Trebuie să utilizați parole puternice unice pentru toate conturile dvs. O parolă puternică este o combinație de numere, litere și caractere speciale.
Este important să folosiți parole puternice pentru conturile de utilizator WordPress, dar și pentru FTP, panoul de control al gazduirii web și baza de date WordPress.
Cei mai mulți începători ne întreabă cum să ne amintim toate aceste parole unice? Ei bine, nu trebuie. Există aplicații excelente pentru managerul de parole, care vă vor păstra în siguranță parolele și le vor completa în mod automat pentru dvs..
Pentru a afla mai multe, consultați ghidul nostru de începători cu privire la modul optim de gestionare a parolelor pentru WordPress.
Pasul 6. Dezactivați navigarea în director
În mod implicit, atunci când serverul dvs. web nu găsește un fișier index (adică un fișier cum ar fi index.php sau index.html), acesta afișează automat o pagină index ce arată conținutul directorului.
În timpul unui atac de forță brute, hackerii pot folosi navigarea directoarelor pentru a căuta fișiere vulnerabile. Pentru a rezolva acest lucru, trebuie să adăugați următoarea linie în partea de jos a fișierului dvs. WordPress .htaccess.
Opțiuni -Index
Pentru mai multe detalii, consultați articolul despre cum să dezactivați navigarea directoarelor în WordPress.
Pasul 7. Dezactivați execuția fișierului PHP în foldere specifice WordPress
Hackerii ar putea dori să instaleze și să execute un script PHP în dosarele WordPress. WordPress este scris în principal în PHP, ceea ce înseamnă că nu puteți dezactiva acest lucru în toate dosarele WordPress.
Cu toate acestea, există unele foldere care nu necesită scripturi PHP. De exemplu, dosarul dvs. de încărcări WordPress se află la / wp-content / uploads.
Puteți dezactiva în siguranță executarea PHP în dosarul încărcărilor, care este un loc obișnuit pentru hackeri, pentru a ascunde fișierele backdoor.
Mai întâi, trebuie să deschideți pe computer un editor de text precum Notepad și să inserați următorul cod:
nega de la toate
Acum, salvați acest fișier ca .htaccess și îl încărcați în / wp-content / uploads / folders de pe site-ul dvs. folosind un client FTP.
Pasul 8. Instalați și configurați un plugin WordPress Backup
Backupurile sunt cel mai important instrument din arsenalul dvs. de securitate WordPress. Dacă toate celelalte nu reușesc, atunci backup-urile vă vor permite să restaurați cu ușurință site-ul dvs. Web.
Cele mai multe companii de hosting WordPress oferă opțiuni limitate de rezervă. Cu toate acestea, aceste copii de rezervă nu sunt garantate și sunteți singurul responsabil pentru crearea propriilor copii de rezervă.
Există câteva pluginuri de backup WordPress, care vă permit să programați backup-uri automate.
Vă recomandăm să utilizați UpdraftPlus. Este ușor de început și vă permite să configurați rapid backup-urile automate și să le stocați pe locații la distanță, cum ar fi Google Drive, Dropbox, Amazon S3 și multe altele.
Pentru instrucțiuni pas cu pas, consultați ghidul nostru despre cum să salvați și să restaurați site-ul WordPress cu UpdraftPlus
Toate sfaturile de mai sus vă vor ajuta să vă protejați site-ul WordPress împotriva atacurilor de forță brute. Pentru o configurație de securitate mai cuprinzătoare, trebuie să urmați instrucțiunile din ghidul nostru de securitate WordPress pentru începători.
Sperăm că acest articol v-a ajutat să învățați cum să vă protejați site-ul WordPress de atacurile de forță brutale. S-ar putea să doriți, de asemenea, să aveți grijă de semnele pe care dvs. WordPress le-ați hacked și cum să remediați un site WordPress hacked.
Dacă v-ați plăcut acest articol, vă rugăm să vă abonați la tutorialele video YouTube pentru canalul YouTube pentru WordPress. Ne puteți găsi pe Twitter și pe Facebook.