Вторую неделю мой сайт пытаются взломать подбором логина и пароля, брутфорсом. Как я с этим боролся.
По статистике около 78% атак на CMS платформы приходится на WordPress. Таким образом, создавая сайт на этой платформе, вы должны быть сразу готовы к тому, что вам необходимо позаботиться о безопасности. Вот так, например, у меня выглядят уведомления о попытках захода на сайт:
Что я сделал у себя на сайте и что рекомендую вам:
Не используйте логин, который можно легко подобрать или каким-то образом связать с вами. Используйте сложный пароль и периодически меняйте его
Хакеры пытаются подобрать логин и пароль и они выбирают самые распространенные сочетания. Например, «admin» и «123», «test». Или же идут от названия сайта. Я за этим наблюдаю довольно спокойно, так как админский логин у меня никак не связан с другими ресурсами, моим именем, фамилией, кличками, никами и всем остальным. А пароль — тарабарщина из букв, цифр и символов в разном регистре. Впрочем, и его я периодически меняю.
Изменяйте страницу входа в панель администратора
Моя очевидная ошибка на первоначальном этапе создания сайта — я не изменил страницу входа в админку (/wp-admin). Сейчас я её исправил. Для этого и всех последующих настроек безопасности лучше всего использовать плагин All In One WordPress Security and Firewall Plugin. Устанавливаем, активируем и заходим в меню «Защита от брутфорс-атак». Во вкладке «Переименовать страницу логина» изменяем адрес страницы логина, указав собственный адрес. Для этого меняем последнюю часть адреса страницы, которая обычно пишется wp-login.php, на что угодно.
Ограничьте количество попыток входа
Блокировать IP-адреса, с которых вас пытаются взломать, бесполезно. В том же браузере TOR для того, чтобы его сменить, понадобиться всего два щелчка мышки. Но это не значит, что нужно позволить хакеру просто подбирать логин и пароль. Заходим в том же плагине в меню «Авторизация». В первой же вкладке «Блокировка авторизаций» включаем опции блокировки, ограничиваем максимальное количество попыток входа и период блокирования. И не забываем об уведомлениях на почту.
Включите CAPTCHA и Honeypot
Важно защититься и от автоматизированного брутфорса. Для этого возвращаемся в меню «Защита от брутфорс-атак» и во вкладках «CAPTCHA на логин» и «Бочка с медом (Honeypot)» включаем соответствующие эти функции. Поле CAPTCHA на странице логина WordPress предлагает пользователю ввести ответ на очень простой математический вопрос, а функция Honeypot позволяет добавить скрытое поле, которое будет видно только роботам. При его заполнении робота перенаправят на адрес http://127.0.0.1.
Пока этих настроек хватает для защиты от хакеров. Если я замечаю, что брутфорс идёт с одного пула IP-адресов, то просто блокирую его. Всё это замечательно делается всё из того же плагина. Интересно только, когда ребятам надоест заниматься этой фигнёй зачем это делается.
Пропущен лучший совет – не используйте WordPress или, в противном случае, постоянно следите за обновлениями CMS и всех плагинов, поглядывая в security advisory.
WordPress — отличная простая CMS. Вот только правда надо следить за обновлениями и правильной настройкой всех параметров безопасности.
Уж что на самом деле делает её отличной от остальных, так это регулярное выявление дыр в безопасности. Но выбор делать вам.