Архив рубрики: security

Как снизить вероятность брутфорс атак на WordPress

До момента, когда CleanTalk запустил security плагин я не обращал особого внимания на безопасность аккаунта администратора WordPress и полагался лишь на сложность пароля.

Самое опасное, это когда боты использую брутфорс, подберут пароль к аккаунту администратора сайта. Это может повлечь очень серьезные проблемы.

Поэтому рассмотрим только защиту аккаунта администратора.

Когда security плагин был запущен и возникла потребность тестировать, я начал получать отчеты о работе плагина, в которых указывается статистика неудачных попыток входа в аккаунт администратора WordPress. И за каждые сутки таких попыток было от 4 до 25, с разных IP адресов. Т.е. это были попытки подбора пароля ботами.

daily-security-report-2

На что я обратил внимание:

  1. Боты знали мой логин и подбирали пароль именно к нему.
  2. Я не использую стандартный логин Admin, а несколько изменил его.
  3. В блоге существуют и другие аккаунты администратора, но попыток их взлома за несколько дней наблюдений не происходило.

Задавшись вопросом, как боты узнали мой аккаунт и почему не пытались взломать другие аккаунты администратора? Все достаточно просто, под своим аккаунтом я размещаю посты и пишу комментарии, а другие аккаунты сделаны для наших сотрудников, хостера и других людей которые делали действия только в панели управления веб сайтом.

Исходя из этого, я понял что боты узнают логины через парсинг страниц сайта. Многие публикуют посты и комментарии из аккаунта администратора.

Например, вы публикуете пост в блоге, то ссылка на автора будет примерно такого вида http://example.com/author/admin***/. Боты просмотрев код вашего сайта ищут записи такого вида на всех страницах сайта и собирают из ссылок все аккаунты.

post

Тоже самое произойдет если вы напишите комментарий из аккаунта администратора, только ссылка будет немного другого вида http://example.com/members/admin***/

comment

Даже если вы один раз опубликовали пост или комментарий из аккаунта администратора, то боты его найдут и будут пытаться его взломать.

Я описал один из возможных сценариев получения списка аккаунтов для взлома, могут быть и другие. Но практика показала, что если аккаунт администратора WordPress не используется для публикаций и комментариев на сайте, то его боты не знают.

Что сделать для того что бы минимизировать вероятность взлома аккаунта администратора веб сайта.

  1. Не публиковать статьи и комментарии из аккаунта администратора.
  2. Создать каждому администратору аккаунт с другой ролью, например Author или Editor. Все зависит от ваших потребностей.
  3. Сменить текущего пользователя администратора. Внимание! Перед этим необходимо сделать резервную копию сайта и баз данных. Я не могу рекомендовать это, и если вы делаете это, то на свой риск, так как это может привести к нежелательным последствиям.

Потребуется создать нового пользователя с правами администратора и пользователя с другой ролью, например Author. Войти в панель управления сайтом с новым аккаунтом и проверить возможности Администратора управлять сайтом, настройками и пользователями.

Зайти в раздел «Пользователи» и удалить предыдущий аккаунт администратора, при этом WordPress вас спросит, на кого переназначить статьи и комментарии, здесь вам пригодится созданный заранее пользователь Author. На него переназначаете статьи и в дальнейшем используете для публикации постов и комментариев.

Эти действия можно сделать и для других аккаунтов администраторов. Но для большинства пользователей WordPress, будет достаточно установить один из плагинов защиты от брутфорс атак, например плагин Security & Firewall от CleanTalk.

CleanTalk запускает проект для обеспечения безопасности веб сайтов

CleanTalk запускает масштабный проект по созданию облачного сервиса для обеспечения безопасности веб сайтов. Проект будет включать в себя несколько функций: защита сайта от брутфорс атак, сканер уязвимостей и удаление вирусов.

Каждая из функций будет иметь ряд особенностей, которые помогут вам легко и просто держать сайт в безопасности от хакеров.

Читать далее