Многим, у кого имеется свой собственный сайт/блог на движке WordPress, да и для тех, кто только планирует им обзавестись, сегодняшняя статья придется очень кстати, потому как в ней, я расскажу о том, как защитить свой сайт от перебора пароля.
Проблема взлома сайта при помощи перебора пароля (брутфорс-атаки) не нова, с нею сталкиваются миллионы сайтов ежедневно, особенно те, админы которых в качестве логина администратора используют стандартный логин «admin». Для того чтобы с этой проблемой никогда не столкнуться, нужно еще до запуска сайта позаботиться о его защите, а не после взлома, как это зачастую многими делается. В противном случае, вы рискуете в один миг, потерять все, чего добивались непосильным трудом долгое время.
Как показывает практика, многие вебмастера об элементарных методах защиты своего детища даже и не задумываются. Все, что они делают после установки движка, это, прикрепляют к нему понравившуюся тему (шаблон), добавляют необходимые плагины для облегчения оптимизации и работы с сайтом, и далее, начинают писать статьи и раскручиваться потихонечку. Но этого, для стабильной и беспроблемной работы сайта не достаточно.
Все дело в том, что стандартная установка движка WordPress, без определенных правок, мягко говоря, не очень безопасна. Прежде всего, потому, что учетная запись администратора в таком случае, будет иметь стандартное имя пользователя (логин), которым будет являться — «admin». А так же, адрес страницы авторизации в админке будет тоже стандартным, ну и, плюс ко всему, форма авторизации не будет иметь никакой встроенной защиты от перебора пароля. Это значит, что зная логин и адрес к форме авторизации, взломщику ничего не будет мешать приступить к подбору пароля методом его перебора (brute force). Однако, при помощи простых приемов, задачу подбора пароля для злоумышленника можно не просто усложнить, а и вовсе, сделать невозможной.
Далее, я вам как раз таки и расскажу, что вам нужно будет сделать, чтобы так сказать, защитить свою WordPress админку от перебора пароля (брутфорс-атаки).
Защита админки WordPress от перебора пароля
Защита админки WordPress от перебора пароля не такая уж и сложная процедура, как это может показаться на первый взгляд, все, что для этого нужно будет сделать, это выполнить несколько простых рекомендаций, которые мною будут перечислены далее.
1. Уникальный логин администратора.
Как я уже говорил ранее, по умолчанию логин администратора вордпрессом задается как «admin», и это не есть хорошо, потому как, в таком случае, получается, что у хакера уже будет иметься ровно половина нужной ему информации для успешного взлома сайта. Проще говоря, ему останется только подобрать пароль, и дело будет сделано.
Конечно же, имя пользователя, т.е. логин администратора, на определенном этапе установки движка WordPress можно поменять на любой, какой только захочется, но как показывает практика, не все это делают, поэтому он и остается стандартным, чему, собственно, очень рады злоумышленники.
Думаю, уже догадались, что первое, что вам нужно будет сделать, это обратить внимание на свой логин (имя пользователя) в WordPress. Если он у вас будет стандартным, т.е. «admin», то знайте, вам его нужно будет срочно поменять на какой-нибудь уникальный логин (состоящий как минимум из 10 символов), который ни в коем случае не должен содержать в себе название сайта или ваше имя или фамилию и т.д.
Что касается смены логина, то, вот так вот просто взять и сразу поменять его, увы, у вас не получится, потому как в WordPress нет такой возможности. Сперва, нужно будет создать нового пользователя с правами администратора, ну, а после, старого администратора нужно будет удалить и обязательно все записи, написанные от его имени связать с новосозданным пользователем. Более подробно об этом процессе можете узнать в моей статье, которая так и называется — «как сменить логин в WordPress».
Не забывайте, что помимо смены логина, его еще нужно будет скрыть от посторонних глаз. С этой задачей вам поможет справиться моя недавняя статья под названием — «как скрыть логин админа в WordPress».
2. Сложный пароль администратора.
Так уж сложилось, что многие вебмастера совершенно не беспокоятся о безопасности своих сайтов и поэтому, помимо стандартных логинов для авторизации в админке используют еще и простенькие пароли, которые при необходимости подбираются за считанные минуты. Естественно, так делать нельзя.
Если вы действительно хотите максимально защититься от взлома, то при создании пароля, придерживайтесь следующих правил:
- ваш пароль должен состоять как минимум из 16 символов;
- он должен включать в себя не только цифры и буквы, причем разного регистра, но и, различные символы;
- никогда не используйте в пароле никакие названия, имена, ники, да и просто слова.
Думаю, понятно, что лучшим вариантом для пароля будет использовать, несвязанный между собой набор букв, цифр и символов. Такой пароль, не то чтобы невозможно взломать, но по крайней мере, очень сложно.
3. Плагины для защиты от перебора пароля.
Выше, как вы уже, наверное, поняли, мною были перечислены стандартные меры защиты от перебора пароля, и т.к. они малоэффективны, их само собой нужно будет дополнить более действенными способами защиты, которые возможно реализовать 2-мя способами, а именно:
- При помощи добавления капчи к форме входа в админку;
- При помощи установки ограничения на количество неправильных попыток ввода логина и пароля.
И тот и другой способ, возможно реализовать при помощи специальных плагинов, которыми я далее с вами и поделюсь.
Защиту от перебора пароля при помощи капчи, возможно осуществить с помощью плагина под названием — «No CAPTCHA reCAPTCHA». Об этом плагине, я уже рассказывал ранее в статье, которая была посвящена защите WordPress от спама в комментариях. Те, кто ее читал, уже знают, что данный плагин позволяет добавить эффективную Google капчу (ReCaptcha) к форме коментариев. Однако, у него имеется еще одна хорошая возможность, которая заключается в добавление Google капчи к форме авторизации. Проще говоря, с его помощью вы убьете сразу двух зайцев, и от спама защититесь и от ботов, которые будут пытаться ломиться в админку.
Как настроить данный плагин, вы сможете узнать непосредственно в статье посвященной антиспам защите (выше я ссылку на нее дал). Единственное, что я там не упомянул, так это то, как прикрутить капчу к форме авторизации. Для того чтобы капча туда добавилась, вам в настройках плагина всего-навсего нужно будет напротив графы «Login Form» поставить галочку, после чего сохранить изменения и все заработает.
Что касается, ограничения количества попыток неправильной авторизации с последующей блокировкой пользователя, то, с данной задачей, вам помогут справиться следующие плагины:
- Limit Login Attempts;
- WP Cerber;
- Jetpack.
С их помощью, вы сможете на определенное время или вообще навсегда блокировать по IP тех, кто неправильно будет вводить комбинацию логин+пароль при попытках входа на ваш сайт. Многие для решения этой задачи советуют, использовать плагин Limit Login Attempts. Однако я бы советовал, обратить внимание на лучший в этом роде плагин — «Jetpack от WordPress.com», хотя бы потому, что в нем возможностей побольше, да и работает он на уровне сети WordPress.com, что позволит уменьшить нагрузку на собственный сервер.
Подвергнуться взлому может абсолютно любой сайт — это вопрос лишь времени, чем раскрученнее у вас будет сайт, тем больше им будут интересоваться злоумышленники, поэтому о защите своего детища нужно позаботиться заранее, чтобы потом не было проблем. Я не говорю, что вас 100% кто-то будет пытаться взломать, но подстраховаться не будет лишним, и теперь, вы знаете, как от этого предостеречься.