Z tymi 7 środkami możesz sprawić, że Brute Forceataki pójdą na marne.

8 Min.
Przy co najmniej 4 miliardach indywidualnych ataków w tym roku, Brute Forceataki są prawdopodobnie największym zagrożeniem dla WordPress miejsc.
Ostatnio zaktualizowany na

Ostatnia aktualizacja 17.06.2020. Tymczasem ponad 32% wszystkich stron internetowych działa na...

Tylko w kwietniu 2017 roku, dostawca usług ochrony Wordfence ponad miliard Brute Forceataków na stronie WordPress-strony liczone na całym świecie. I jest to tylko wartość przybliżona - liczba niezgłoszonych przypadków jest znacznie wyższa. Ataki polegające na automatycznym odgadywaniu haseł i nazw użytkowników stanowią zatem duże zagrożenie dla WordPress-strony na całym świecie. Ale nie tylko to. Bo o 37,5 procent z 10 milionów największych stron internetowych prowadzonych obecnie w ramach WordPress . A to oznacza, że kwestia skutecznych mechanizmów ochrony dla WordPress wpływa również na cały Internet.

Jeśli chcesz wiedzieć, jak dokładnie działają Brute Forceataki i jak niebezpieczne są one, spójrz na nasze Artykuł kontekstowy na temat Brute Forceataków dalej.

Pomimo ich dużej liczby jest jedna dobra wiadomość: istnieją użyteczne środki bezpieczeństwa przeciwko Brute Forceatakom, które można wdrożyć samodzielnie bez większego wysiłku, a przede wszystkim bez wiedzy programistycznej. A istnieją środki, które wymagają przynajmniej podstawowej wiedzy na temat pliku .htaccess.

To jest siedem środków, o których dziś rozmawiamy:

  1. Silne hasła (bardzo ważne!)
  2. Nie używaj "admina" jako nazwy użytkownika
  3. Ograniczenie liczby nieprawidłowych logowań
  4. Uwierzytelnianie dwuczynnikowe (Two-Factor Authentication)
  5. Wielopoziomowe logowanie
  6. Czarna lista
  7. Ukrycie obszaru logowania (jest kontrowersyjne)

1. użyć silnego hasła

A silne hasło jest niezwykle ważna jako ochrona przed Brute Forceatakami. Boty i botnety używają ogromnych baz danych haseł do swoich "gier zgadywania". Te są tępo wypróbowane. Im bardziej nietypowe i trudne jest Twoje hasło, tym większe jest prawdopodobieństwo, że nie pojawi się ono w nich.

Im dłuższe i trudniejsze jest twoje hasło, tym dłużej trwa złamanie go przez boty, jeśli dodatkowo próbują odgadnąć hasło bez listy.

Twoje hasło powinno więc zawierać różne kombinacje znaków z ...

  • 10 różnych numerów (od 0 do 9)
  • 52 różne litery (od A do Z i od a do z)
  • 32 różne znaki specjalne ...

...i mieć co najmniej 8 znaków.

Baza danych programu Password Manager Password Depot zawiera pewne informacje opisowe Przykładowe obliczenia Gotowy. Zakłada się tutaj, że silny pojedynczy komputer może wygenerować dwa miliardy haseł na sekundę. Mówiąc konkretnie:

  • Hasło składające się z 5 znaków (3 małe litery, 2 cyfry) ma 60 466 176 możliwych kombinacji i może być złamane w ciągu 0,03 sekundy.
  • Hasło składające się z 8 znaków (4 małe litery, 2 znaki specjalne, 2 cyfry) ma już 457 163 239 653 376 możliwych kombinacji. Tutaj kalkulator potrzebuje około dwóch i pół dnia.
  • A hasło składające się z 12 znaków (3 duże litery, 4 małe litery, 3 znaki specjalne, 2 cyfry) ma nie mniej niż 475 920 314 814 253 376 475 136 możliwych kombinacji. Potrzeba 7,5 miliona lat, aby jeden komputer złamał to hasło.

Na stronie WordPress -Codex do tworzenia takich haseł Plugin Mocne hasła Zalecany. Zmusza to użytkowników do wybierania skomplikowanych haseł. Choć nie czyni to Pluginbezpośrednio witryny bezpieczniejszą, to jednak edukuje użytkowników do używania silnych haseł. A zwłaszcza jeśli pracujesz dla klienta, ta mała pomoc może być bardzo praktyczna.

Nie musisz pamiętać haseł!

Menedżery haseł pomagają w tworzeniu i zarządzaniu bezpiecznymi hasłami. Jedyne, co musisz zrobić, to zapamiętać hasło główne (oczywiście tak skomplikowane, jak to tylko możliwe). Program robi za ciebie resztę. Komputery Apple mają już zainstalowaną odpowiednią aplikację o nazwie "Keychain Management". Programy do zarządzania hasłami w chmurze, takie jak 1Password, LastPass lub KeyPass, działają w ten sam sposób.

Więc nie musisz pamiętać wszystkich swoich haseł. Zwłaszcza jeśli prowadzisz więcej niż jedną stronę i korzystasz z różnych usług, profesjonalne zarządzanie hasłami jest błogosławieństwem.

FREE DEV Program RAIDBOXES

2. nie używaj nazwy użytkownika "admin".

Jak już wspomniano: Brute ForceAtaki to w zasadzie próby zgadywania. Więc powinieneś jak najbardziej utrudnić hakerom odgadnięcie twojej nazwy użytkownika. Dlatego nie należy używać tego z WordPress domyślna nazwa użytkownika "admin" - i dlatego nie używaj tej, którą system ustawił dla Ciebie. Ponieważ ta nazwa użytkownika jest ważna również dla wszystkich innych WordPress Domyślnie - użytkownik.

3. zablokować stronę logowania po zbyt wielu nieudanych próbach

Brute Force Ataki testują tysiące i tysiące kombinacji nazw użytkowników i haseł. Z drugiej strony, oznacza to, że generowane są tysiące prób logowania, które można ograniczyć.

Więc twój serwer dobrze wie, że coś się dzieje. Z odpowiednim Plugin Możesz określić, że dostęp jest blokowany po określonej liczbie nieudanych prób, więc hakerzy muszą wstrzymać atak. Zabezpieczenie to można aktywować np. poprzez Plugin jak Próby logowania z ograniczeniem WP lub Próby logowania Limitowego Przeładowane wdrożyć.

Każda WordPress instalacja RAIDBOXES posiada funkcję ograniczania prób logowania, standardowo zintegrowany. Jeśli jakaś osoba lub bot będzie próbował zalogować się na Twojej stronie zbyt często podając błędne dane do logowania, zablokujemy odpowiednie IP na 20 minut. Jeśli próby logowania będą kontynuowane z nieprawidłowymi danymi, IP zostanie zablokowane nawet na 24 godziny. Oczywiście można też samemu określić liczbę prób i okres blokowania.

Próby Logowania Limitowego i Co. mają datę ważności

Jest jednak jedna ważna rzecz do zrozumieniaPlugins: ograniczenie prób logowania się do adresu IP ma poważną wadę. Nie może przewidzieć zmiany adresu IP. Oznacza to, że na przykład ataki z wykorzystaniem botnetów mogą być odpierane tylko przy odpowiednim nakładzie pracy lub wcale. Ponadto, dzięki nowej generacji adresów IP (adresów IPv6), pojedynczy atakujący może zmienić swój adres IP w ułamku sekundy. Fakt ten zwiększa zagrożenie, jakie stwarzają ataki botnetów.

I: Duża liczba Brute Forceataków nie powinna być tylko grą w zgadywanie. Jak wynika z obliczeń w sekcji dotyczącej bezpiecznych haseł, nawet botnet z milionem urządzeń nie potrafi odgadnąć bezpiecznych haseł. To dlatego wielu hakerów pracuje z listami haseł. Zmniejsza to liczbę prób logowania do możliwych kombinacji odpowiedniej biblioteki haseł.

Chociaż ograniczenie prób logowania na IP nadal ma sens, znaczenie tego mechanizmu bezpieczeństwa w przyszłości gwałtownie się zmniejszy. Jedynym naprawdę bezpiecznym mechanizmem ochrony przed atakami przy zmieniających się IP jest uwierzytelnianie dwuskładnikowe.

4. dwuczynnikowe uwierzytelnienie

Ideą przyświecającą koncepcji uwierzytelniania dwuskładnikowego jest wymaganie podczas logowania drugiego potwierdzenia oprócz hasła. Jest to zazwyczaj inny kod alfanumeryczny. Szczególne jest to, że jest on przekazywany poza właściwą procedurą logowania - na przykład za pomocą generatora kodów lub telefonu komórkowego. I tylko właściciel tego urządzenia jest w końcu w stanie się zalogować.

Dzięki Google App Google Authenticator i odpowiadającej Pluginmu aplikacji, zaawansowane uwierzytelnianie może być WordPress realizowane stosunkowo łatwo. Często używane są na przykład Plugins Google Authenticator przez Hendrika Schacka lub Google Authenticator z miniOrange.

Aby dodać dodatkową ochronę, pobierz aplikację Google na swój smartfon i zainstaluj ją Pluginw WordPress . Tutaj generowany jest kod QR, który skanuje się za pomocą aplikacji. Alternatywnie można utworzyć konto ręcznie. Teraz twój WordPress -Konto użytkownika i aplikacja w telefonie.

Aplikacja generuje teraz co 30 sekund nowy kod zabezpieczający. Każdy użytkownik, dla którego aktywna jest dwuczynnikowa autoryzacja, widzi teraz w obszarze logowania wiersz "Kod Google Authenticator" oraz "Nazwa użytkownika" i "Hasło". Aby się zalogować, potrzebny jest smartphone, na którym generowane są kody. Duże wtyczki zabezpieczające, jak np. Wordfenceoferują częściowo podobny mechanizm.

Proces podwójnego uwierzytelniania może wydawać się skomplikowany, ale z punktu widzenia bezpieczeństwa jest to bardzo dobra ochrona przed Brute Forceatakami. Szczególnie w związku ze wspomnianą wcześniej zmianą z adresów IPv4 na IPv6.

Silne hasła, zmiany nazw użytkowników, takie Pluginsjak Limit Login Attempts, oraz dwuczynnikowe uwierzytelnianie to środki, które można łatwo, szybko i bez wiedzy programistycznej wdrożyć. A przede wszystkim dodatkowe uwierzytelnienie i naprawdę silne hasła skutecznie chronią również przed Brute Forceatakami.

Ale jeśli chcesz, możesz zrobić więcej. Możesz zabezpieczyć swój obszar administracyjny WP dodatkowym hasłem, utworzyć czarną lub białą listę, lub stworzyć swoją Ukryć obszar administracyjny WP. Jednakże wszystkie te środki nie oferują zazwyczaj większego bezpieczeństwa, lecz powinny być raczej postrzegane jako opcje lub alternatywy.

5. dodatkowa ochrona hasłem

Jeśli chcesz WordPress -page na serwerze Apache, masz możliwość uruchomienia wielopoziomowej procedury logowania bez Pluginkonieczności implementacji wielopoziomowej procedury logowania. Ponieważ każdy WordPress -instalacja na serwerze Apache zawiera tzw. plik .htaccess. W tym pliku można dodać kod do dodatkowego uwierzytelniania HTTP, aby dodać ochronę hasłem do strony logowania. Serwer wymaga już hasła, aby umożliwić odwiedzającym przejście do strony logowania.

# Protect wp-login
AuthUserFile ~/.htpasswd
 AuthName "Prywatny dostęp"
 AuthType Basic
 wymagają użytkownika mysecretuser

Za pomocą tego polecenia tworzone jest żądanie hasła, zanim obszar wp-admin będzie mógł być nawet dostępny. Tutaj wprowadzasz dodatkową nazwę użytkownika i hasło, aby uzyskać dostęp do obszaru logowania. Dane dla dodatkowego użytkownika muszą być zdefiniowane w pliku .htpasswd. W tym celu nazwa użytkownika i hasło muszą być wprowadzone do pliku w postaci zaszyfrowanej. WordPress -Codex wyjaśnia, jak ten proces zasadniczo działa.

ebook: Zmierz wydajność swojej strony internetowej jak profesjonalista

6. czarne listy i białe listy

Mówiąc o... htaccessie: Z ten kartoteka, ty móc jeszcze jeden potężny ochrona Kilka linii kodu zapewnia, że tylko niektóre IP mają dostęp do WordPress tablicy rozdzielczej lub poszczególnych katalogów.

W tym celu należy dodać do odpowiedniego katalogu dodatkowy kod .htaccess z następującym kodem - najlepiej wp-admin:

# Zablokuj dostęp do wp-admin.
 nakazać zaprzeczenie, pozwolić
 pozwolić od x.x.x.x
 zaprzeczać przed wszystkimi

x.x.x.x należy zastąpić x.x.x adresami IP, które oczywiście powinny mieć dostęp do strony. Przykład pokazuje białą listę, listę adresów IP, które są dopuszczone do dostępu do strony. Tak więc strona logowania jest zablokowana dla wszystkich innych IP. Kolejność rozkazów - "zezwolić", a następnie "zaprzeczyć" - jest niezwykle ważna, nawiasem mówiąc, ponieważ są one wykonywane w kolejności. Jeśli "zaprzeczanie od wszystkiego" będzie pierwsze, również będziesz miał do czynienia z zamkniętymi drzwiami.

Czarna lista wdrożyłaby dokładnie odwrotny mechanizm: Określałby on, które IP nie mają prawa dostępu do strony. Oczywiście istnieją rozwiązania pluginowe dla obu. Na przykład, znane wtyczki bezpieczeństwa, takie jak Bezpieczeństwo All In One WP, Wordfence lub Sucurikażdy z funkcją czarnej listy lub białej listy. Należy jednak zauważyć, że te trzy mogą Pluginsoczywiście robić znacznie więcej niż tylko tworzyć czarne listy czy białe listy. Dlatego nie należy instalować ich wyłącznie do tych funkcji. Popularną alternatywą byłaby tutaj Plugin Loginizerktóra obecnie posiada ponad 500.000 aktywnych instalacji.

7. ukryć obszar rejestracji

Brute Force Ataki atakują twoją stronę logowania. Bardzo prostym sposobem zapobiegania tym atakom jest uniemożliwienie napastnikom nawet wejścia na stronę logowania. W tym celu niektórzy webmasterzy ukrywają stronę logowania. Obszar logowania jest wtedy dostępny tylko poprzez tajny adres URL.

Środek ten jest zgodny z zasadą (sporną) Bezpieczeństwo poprzez bezpieczeństwo i nie jest samo w sobie znaczącym środkiem bezpieczeństwa. Nie RAIDBOXES jesteśmy wielkimi przyjaciółmi tej zasady. Ponieważ, jeśli wdrożysz powyższe środki, zabezpieczyłeś już bardzo dobrze swój obszar logowania i nie musisz go dodatkowo przenosić. Środek ten może jednak przyczynić się do zwiększenia postrzeganego bezpieczeństwa, które może być szczególnie ważne dla percepcji klientów.

Jeśli chcesz ukryć obszar wp-admin możesz użyć jednego z dużych pluginów zabezpieczających (które, jak powiedziałem, oferują o wiele więcej funkcji). Albo możesz spróbować jednego z tych popularnychPlugins:

Jak już wcześniej powiedziano: Naszym zdaniem, ukrywanie wp-adminu nie jest rozsądnym środkiem - przynajmniej nie po to, aby chronić swoją stronę przed Brute Force by chronić przed atakami. Jeśli wybrałeś silne hasło i zaimplementowałeś rozsądną metodę wykluczania IP lub uwierzytelniania dwuskładnikowego, istnieje ryzyko, że uda Ci się osiągnąć sukces. Brute Force Atak już znacznie ograniczony.

Wniosek

Przy obecnym udziale w rynku wynoszącym ponad 32% jest WordPress to zdecydowanie największy na świecie system CMS. Prawdopodobnie nie zmieni się to w przyszłości. Prawdopodobieństwo, że stanie się celem Brute Forceataku jest zatem, czysto matematycznie, niezwykle wysoka. Musisz być tego świadomy. Na szczęście można się przed nimi również bardzo łatwo chronić. Ponieważ kilka środków, tj. bezpieczne hasła i dwuczynnikowe uwierzytelnienie, można wdrożyć w ciągu kilku chwil i całkowicie bez wiedzy programistycznej.

Można też Pluginswdrożyć rzekomo trudniejsze środki, takie jak czarna lub biała lista, dodatkowa ochrona hasłem lub mechanizm blokady obszaru logowania. Jeśli więc weźmiesz pod uwagę tylko pierwsze trzy lub cztery punkty tego stanowiska, jesteś już dobrze chroniony przed Brute Forceatakami. Oczywiście zawsze można zrobić więcej, np. stworzyć dodatkową ochronę hasłem lub ustawić czarne lub białe listy. Ale w takich przypadkach należy rozważyć, czy dodatkowe mechanizmy bezpieczeństwa są rzeczywiście tego warte, zwłaszcza jeśli chodzi o wysiłek administracyjny.

Artykuły pokrewne

Komentarze do tego artykułu

Napisz komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola oznaczone są * Zaznaczone.