S těmito 7 opatřeními můžete Brute Force Útoky nasávají do prázdna

8 Min.
S nejméně 4 miliardami individuálních útoků v tomto roce, Brute Force útoky jsou pravděpodobně největší hrozbou pro WordPress Stránky.
Poslední aktualizace dne

S několika miliardami individuálních útoků ročně Brute Force útoky jsou pravděpodobně největší hrozbou pro WordPress Stránky. Naštěstí je tento typ útoku také velmi nemotorný a snadno oklamat. Ukážeme vám čtyři jednoduché a rychlé akce proti útokům hackerů. A také tři složitější ochranné mechanismy.

Jen v dubnu 2017 poskytovatel zabezpečení Wordfence více než miliardu Brute Force Útoky Na WordPress stránek po celém světě. A to je jen aproximace – počet nehlášených případů je opět mnohem vyšší. Útoky, které se automaticky pokoušejí uhodnout hesla a uživatelská jména, proto představují velké riziko pro WordPress stránek po celém světě. Ale nejen to. Vzhledem k tomu, že 37,5 procenta z 10 milionů největších webových stránek v současné době běží pod WordPress . A to znamená, že otázka účinných záruk pro WordPress ovlivňuje také internet jako celek.

Pokud chcete přesně vědět, jak Brute Force útoky fungují a jak nebezpečné jsou, podívejte se na naše Článek na téma na pozadí Brute Force Útoky Do.

Navzdory jejich velkému počtu existují dobré zprávy: existují rozumná bezpečnostní opatření proti Brute Force Útoky, které můžete realizovat sami bez velkého úsilí a především bez znalostí programování. A existují opatření, která vyžadují alespoň základy při práci se souborem .htaccess.

V sázce je dnes těchto sedm opatření:

  1. Silná hesla (velmi důležitá!)
  2. Nepoužívejte "admin" jako uživatelské jméno
  3. Omezení počtu neplatných přihlášení
  4. Dvoufaktorové ověřování
  5. Víceúrovňové přihlášení
  6. Černá listina
  7. Skrýt přihlašovací oblast (je kontroverzní)

1. Používejte silné heslo

A silné heslo se používá jako ochrana proti Brute Force Útoky jsou nesmírně důležité. Boti a botnety používají obrovské databáze hesel pro své "hádání hry". Tyhle jsou zkoušeny bez obalu. Čím neobvyklejší a obtížnější je vaše heslo, tím je pravděpodobnější, že se objeví.

Čím delší a obtížnější je vaše heslo, tím déle boti budou také muset rozlousknout, pokud se navíc pokusí uhodnout heslo bez seznamu.

Vaše heslo by proto mělo být různé kombinace znaků od ...

  • 10 různých čísel (0 až 9)
  • 52 různých písmen (A až Z a a až z)
  • 32 různých speciálních znaků ...

... a musí být dlouhé alespoň 8 znaků.

Password Manager Password-Depot poskytuje některé jasné Příklady výpočtu Připraven. Zde se předpokládá, že silný jeden počítač může generovat dvě miliardy hesel za sekundu. Konkrétně to znamená:

  • Heslo o 5 znacích (3 malá písmena, 2 čísla) má 60 kombinací 466 176 a může být popraskané za 0,03 sekundy.
  • Heslo s 8 znaky (4 malá písmena, 2 speciální znaky, 2 čísla) již má 457 163 239 653 376 možných kombinací. Tady, počítač trvá asi dva a půl dne.
  • A heslo 12 znaků (3 velká písmena, 4 malá písmena, 3 speciální znaky, 2 čísla) má monstrózní 475 920 314 814 253 376 475 136 kombinací. Jedinému počítači trvá 7,5 milionu let, než toto heslo rozlouskne.

Ve WordPress -Kodex pro vytvoření takových hesel, Plugin Vynutit silná hesla Doporučené. To vynutí uživatelům zvolit složitá hesla. Díky tomu je Plugin stránky nejsou přímo bezpečnější, ale vzdělává uživatele k použití silných hesel. A zejména pokud pracujete jménem svých zákazníků, může být toto malé opatření podpory velmi praktické.

Nemusíte si pamatovat hesla!

Správci hesel vám pomohou vytvářet a spravovat zabezpečená hesla. Stačí si pamatovat hlavní heslo (samozřejmě co nejsložitější). Program udělá zbytek za vás. Počítače Apple již mají nainstalovanou aplikaci s názvem Správa řetězce klíčů. Cloud-based nástroje pro správu hesel, jako je 1Password, LastPass, nebo KeyPass fungovat stejným způsobem.

Takže si nemusíte pamatovat všechna hesla. Zvláště pokud máte více než jednu stránku a používáte různé služby, profesionální správa hesel je požehnáním.

FREE DEV Program RAIDBOXES

2. Nepoužívejte uživatelské jméno "admin"

Jak jsem řekl: Brute Force Útoky jsou v podstatě pokusy o hádání. Takže byste měli co nejvíce ztížit hackerům uhodnout vaše uživatelské jméno. Proto nepoužívejte WordPress výchozí uživatelské jméno "admin" - a proto nepoužívejte ten, který systém má přednastavené pro vás. Vzhledem k tomu, že toto uživatelské jméno platí také pro všechny ostatní WordPress uživatelů ve výchozím nastavení.

3. Blokovat přihlašovací stránku po příliš mnoha neúspěšných pokusech

Brute Force Útoky testují tisíce a tisíce kombinací uživatelských jmen a hesel. Naopak to znamená, že vygenerujete tisíce a tisíce pokusů o přihlášení k omezení.

Takže váš server si všimne, že tam je něco v bush. S vhodným Plugin můžete zablokovat přístup po určitém počtu neúspěšných pokusů, takže hackeři musí svůj útok pozastavovat. Tuto ochranu můžete použít například prostřednictvím Plugin Jak Pokusy o přihlášení limitu WP nebo Omezit znovu načtení pokusů o přihlášení Implementovat.

Na RAIDBOXES má každý WordPress instalace, funkce pro omezení pokusů o přihlášení, Ve výchozím nastavení integrovanáPokud se osoba nebo bot pokusí přihlásit na vaše stránky příliš často se špatnými pověřeními, budeme zpočátku blokovat ip v otázce po dobu 20 minut. Pokud pokusy o přihlášení budou pokračovat s nesprávnými údaji, ip adresa bude dokonce blokována po dobu 24 hodin. Samozřejmě můžete také definovat počet pokusů a období uzamčení sami.

Omezit pokusy o přihlášení a co mají datum vypršení platnosti

V tomto případě Plugins je však třeba pochopit jednu důležitou věc: omezení pokusů o přihlášení adresy IP má vážnou chybu zabezpečení. Nemůže předvídat přepnutí IP adresy. To znamená, že například útoky botnety mohou být odpuzovány jen bolestivě nebo vůbec. Nová generace ADRES IP (adresy IPv6) také umožňuje jedinému útočníkovi přepínat adresu IP ve zlomcích sekundy. To zvyšuje nebezpečí, které představují útoky botnet.

A: Velké množství Brute Force Útoky by neměly být pouhými hádankami. Vzhledem k tomu, jak ukazuje faktura v části o zabezpečených heslech, ani botnet s jedním milionem zařízení nemůže odhadnout odpovídajícím způsobem bezpečná hesla. To je důvod, proč mnoho hackerů pracuje se seznamy hesel. Tím se sníží počet pokusů o přihlášení do možnosti kombinace příslušné knihovny hesel.

Zatímco omezení pokusů o přihlášení na IP stále dává smysl, význam tohoto mechanismu zálohování se v budoucnu rychle sníží. Jediným skutečně bezpečným mechanismem ochrany proti útokům se změnami IP adresy je dvoufaktorové ověřování.

4. Dvoufaktorová autentizace

Za konceptem dvoufaktorové autentizace se skrývá myšlenka požádat o druhé potvrzení kromě hesla při přihlášení. Obvykle se jedná o jiný alfanumerický kód. Zvláštní na tom je, že se přenáší mimo samotný registrační postup – například prostřednictvím generátoru kódu nebo mobilního telefonu. A přihlásit se může pouze majitel tohoto zařízení.

S aplikací Google Authenticator a odpovídajícím Plugin Díky tomu je pokročilé ověřování relativně snadné pro WordPress Implementovat. Často používané, například Plugins Autentič noste Google od Hendrik Schack nebo Autentič noste Google podle miniOrange.

Chcete-li nainstalovat další ochranu zabezpečení, načtěte aplikaci Google na vaše d'or-e-e-***-*-*-**-****-*------------------------------------------- Plugin In WordPress . Zde je vygenerován QR kód, který můžete skenovat pomocí aplikace. Případně můžete vytvořit účet ručně. Nyní je vaše WordPress uživatelský účet a aplikaci v telefonu.

Aplikace nyní generuje nový bezpečnostní kód každých 30 sekund. Každý uživatel, pro kterého je povoleno dvoufaktorové ověřování, nyní uvidí řádek "Google Authenticator Code" v přihlašovací oblasti vedle "Uživatelské jméno" a "Heslo". Takže se přihlásit, potřebuje smartphone, na kterém jsou generovány kódy. Velké bezpečnostní pluginy, jako jsou Wordfence nabízejí podobný mechanismus.

Ačkoli proces duálního ověřování zní složitě, je to velmi dobrá ochrana proti Brute Force Útoky. Zejména s ohledem na výše uvedené přejímky z IPv4 na IPv6 adresy.

Silná hesla, změna uživatelského jména, Plugins jako jsou pokusy o přihlášení limit a dvoufaktorová autentizace jsou všechna opatření, která můžete snadno, rychle a bez programovacích dovedností implementovat. A především, další ověřování a opravdu bezpečná hesla také účinně chrání před Brute Force Útoky.

Jestli chceš, můžeš udělat víc. Můžete zabezpečit oblast správy WP pomocí dalšího hesla, vytvořit černou listinu nebo seznam povolených Skrýt oblast správy WPVšechna tato opatření však nenabízejí větší bezpečnost, ale je třeba je chápat jako možnosti nebo alternativy.

5. Dodatečná ochrana heslem

Pokud chcete WordPress na serveru Apache, máte možnost pracovat bez Plugin zavést víceúrovňový postup přihlášení. Vzhledem k tomu, že každý WordPress instalace na serveru Apache obsahuje takzvaný soubor .htaccess. V tomto souboru můžete uložit kód pro další ověřování HTTP pro instalaci další ochrany heslem na přihlašovací stránce. Server vyžaduje heslo, které návštěvníkům umožní přihlásit se k přihlašovací masce vůbec.

Chránit wp-login
AuthUserFile .htpasswd
 AuthName "Soukromý přístup"
 AuthType Basic
 vyžadovat uživatele mysecretuser

Pomocí tohoto příkazu je vytvořen dotaz na heslo ještě předtím, než lze oblast wp-admin vůbec volat. Zde zadáte další uživatelské jméno a heslo, abyste se vůbec dostali do přihlašovací oblasti. Data pro dalšího uživatele však musí být definována v .htpasswd. Chcete-li to provést, musí být uživatelské jméno a heslo vloženo do souboru v zašifrované podobě. Tá WordPress -Kodex vysvětluje, jak tento proces funguje zásadně.

ebook: Změřte výkon svých stránek jako profesionál

6. Zařazení na černou listinu & Whitelisting

Kde jsme na .htaccess: S tímto souborem můžete implementovat ještě další výkonnou ochranu. Několik řádků kódu způsobuje, že pouze určité IP adresy mají přístup WordPress palubní desky nebo jednotlivých adresářů.

Chcete-li to provést, můžete uložit další .htaccess s následujícím kódem v odpovídajícím adresáři - nejlépe wp-admin:

Blokovat přístup k wp-admin.
 příkaz odepřít,povolit
 allow from x.x.x.x
 odepřít ze všech

Samozřejmě je třeba nahradit x.x.x.x s IP adresy, které chcete mít přístup ke stránce. Příklad ukazuje whitelist, což je seznam IP adresy, které mají povolen přístup na stránku. To znamená, že přihlašovací stránka je uzamčena pro všechny ostatní IP adresy. Mimochodem, pořadí příkazů - "povolit" následované "odepřít" - je nesmírně důležité, protože jsou prováděny postupně. Přijďte na první "popřít od všech", i vy stojíte před zavřenými dveřmi.

Černá listina by implementovala přesně opačný mechanismus: určila by, které IP adresy nemají přístup ke stránce. Pro oba, samozřejmě, tam jsou také plugin řešení. Například známé bezpečnostní pluginy, jako jsou Vše v jednom WP zabezpečení, Wordfence nebo Sucuri (Sucuri), funkce blacklistu nebo whitelistu. Je však třeba poznamenat, že tyto tři Plugins Samozřejmě, mnohem víc než jen vytváření blaklistů nebo whitelistů. Proto byste je neměli instalovat výhradně pro tyto funkce. Populární alternativou by bylo Plugin Přihlašovací údaje, který má v současné době více než 500 000 aktivních instalací.

7. Skrytí přihlašovací oblasti

Brute Force Útoky útočí na vaši přihlašovací stránku. Velmi jednoduchý způsob, jak zabránit útokům, je proto nenechat útočníky na přihlašovací stránce na prvním místě. Za tímto účelem někteří webmasteři skrýt přihlašovací masku. Přihlašovací oblast je pak přístupná pouze prostřednictvím tajné adresy URL.

Toto opatření se řídí (kontroverzní) zásadou Bezpečnost prostřednictvím zatemnění a není samo o sobě rozumným bezpečnostním opatřením. My v RAIDBOXES nejsou velcí přátelé této zásady. Protože pokud provedete výše uvedená opatření, již jste velmi dobře zajistili svou přihlašovací oblast a nemusíte ji ještě dále odkládat. Toto opatření však může přispět k vnímané bezpečnosti, což může být obzvláště důležité pro vnímání vašich zákazníků.

Pokud chcete skrýt wp-admin oblasti můžete použít jeden z velkých bezpečnostních pluginů (které, jak jsem řekl, nabízejí mnoho dalších funkcí). Nebo můžete vyzkoušet jeden z těchto populárních Plugins Z:

Jak jsem řekl: Podle našeho názoru, skrýváwp-admin není rozumné opatření - alespoň ne chránit vaše stránky před Brute Force chránit útoky. Pokud jste vybrali silné heslo a implementovali jste užitečnou proceduru vyloučení IP nebo dvoufaktorové ověřování, riskujete úspěšný postup vyloučení IP nebo dvoufaktorové ověřování. Brute Force již výrazně snížena.

Závěr

Se současným podílem na trhu více než 32 procent, WordPress zdaleka největší CMS na světě. To se v budoucnu pravděpodobně nezmění. Tá Cíl pravděpodobnosti Brute Force Chcete-li se stát útokem je tedy čistě matematicky extrémně vysoká. Musíš si toho být vědom. Naštěstí je však také velmi snadné se před nimi chránit. Vzhledem k tomu, že několik opatření, tedy bezpečná hesla a dvoufaktorová autentizace, může být implementováno během několika okamžiků a zcela bez znalostí programování.

A můžete také použít údajně obtížnější opatření, jako je černá nebo whitelisting, další ochrana heslem nebo blokovací mechanismus pro přihlašovací oblast. Plugins Implementovat. Takže pokud si všimnete pouze první tři nebo čtyři body tohoto příspěvku, jste již dobré proti Brute Force Útoky. Samozřejmě můžete vždy udělat více, tedy vytvořit další ochranu heslem nebo nastavit černé nebo whitelisty. Ale v takových případech byste měli zvážit, zda více bezpečnostních mechanismů skutečně stojí za to, zejména pokud jde o administrativní úsilí.

Podobné články

Komentáře k tomuto článku

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Povinná pole jsou * Označeny.