Информационно-развлекательный портал, адреса, телефоны, страхование, новости

Как защитить сайт на WordPress от взлома

wordpress
Платформа, или система управление контентом (CMS) WordPress на сегодняшний день остается одной из самых распространенных в мире. C ее помощью можно создать как простой персональный блог, так и серьезный многофункциональный сайт с различными сервисами. Видимо, именно в силу распространенности платформы, она довольно часто становится мишень для атак хакеров.
В этом году отмечено уже несколько попыток массового взлома сайтов на WordPress. Весной ботнет, состоящий из десятков тысяч компьютеров атаковал сайты в Европе и Азии. Примерно с 4 августа началась массовая атака на сайты в России и СНГ. С небольшими перерывами она продолжается и до настоящего времени.

Принцип попытки взлома довольно примитивен, это так называемый брутфорс (Brutforce) - грубая сила. Ботнет простым методом перебора пытается подобрать пароль к странице авторизации сайта, в случае успеха на нем меняется содержимое и сайт подключается к сети для увеличения атак. При всей кажущейся простоте нападения успешному взлому уже подверглось достаточное количество сайтов. Что же делать, что бы сохранить свой сайт?

Замечено, что ботнет не отличается оригинальностью. Используя страницу авторизации бот пытается подобрать пароли с используя следующие логины - "admin, administrator, "Имя сайта"". Достаточно использовать оригинальное имя, никак не указывающее на сайт и шанс взлома резко уменьшится. Стоит не забывать о пароле. Он должен быть не менее 8 символов, содержать цифры, строчные и прописные буквы и специальные символы. Шанс подобрать пароль, состоящий из 12 знаков практически равен нулю.

Есть у WordPress и еще одна особенность - количество попыток авторизации ничем не ограничивается. Поэтому не помешает поставить плагин, ограничивающий количество попыток и блокирующий пользователя после их превышения как по имени, так и по IP, впрочем, второе не особенно помогает, так как атака идет с тысяч IP-адресов.

Можно с помощью .htaccess установить дополнительную авторизацию для страницы логина. Это сильно усложнит жизнь боту.

Довольно сильную неприятность могут получить сайты, использующий слабый виртуальный хостинг. 2-3 запроса в скунду смогу начисто перекрыть доступ к сайту. И далеко не каждый провайдер готов помочь. Популярные плагины, даже такие как Better WP Security зачастую тоже не помогают. В этом случае как временную меру можно использовать безусловную передаресацию, в частности 301 редирект.

В том же .htaccess нужно добавить следующую строку:

Redirect 301 /wp-login.php страница_сайта, где страница_сайта - адрес, на который нужно перенаправлять запросы. например, главная или 404.php. Это существенно помогает разгрузить сервер. Не забудьте предварительно залогиниться в админке с помощью браузера, сохраняющего куки, чтобы вы могли входить в админку.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

(837)читали

Последние темы форума

Свежие комментарии
Новое в справочнике
Агроусадьбы и коттеджи
наверх