Med dessa 7 mått kan du Brute Force Attacker stöter på tomrummet

8 Min.
Med minst 4 miljarder enskilda attacker i år, Brute Force attacker är utan tvekan det största hotet mot WordPress Sidor.
Senast uppdaterad den

Med flera miljarder enskilda attacker per år Brute Force attacker är utan tvekan det största hotet mot WordPress Sidor. Lyckligtvis är denna typ av attack också mycket klumpig och lätt att lura. Vi visar dig fyra enkla och snabba åtgärder mot hackerattackerna. Och även tre mer komplexa skyddsmekanismer.

Bara i april 2017 Wordfence mer än en miljard Brute Force Attacker På WordPress sidor över hela världen. Och det är bara en approximation - antalet orapporterade fall är återigen mycket högre. De attacker som automatiskt försöker gissa lösenord och användarnamn utgör därför en stor risk för WordPress sidor över hela världen. Men inte bara det. Eftersom ungefär 37,5 procent av de 10 miljoner största webbplatserna för närvarande drivs under WordPress . Och det innebär att frågan om effektiva skyddsåtgärder för WordPress påverkar också Internet som helhet.

Om du vill veta exakt hur Brute Force attacker fungerar och hur farliga de är, kolla in våra Bakgrundsartikel om ämnet Brute Force Attacker Att.

Trots deras stora antal finns det goda nyheter: det finns förnuftiga säkerhetsåtgärder mot Brute Force Attacker som du kan genomföra själv utan större ansträngning och framför allt utan programmering kunskap. Och det finns åtgärder som kräver åtminstone grunderna i hanteringen av .htaccess-filen.

Dessa sju åtgärder står på spel i dag:

  1. Starka lösenord (mycket viktigt!)
  2. Använd inte "admin" som användarnamn
  3. Begränsa antalet ogiltiga inloggningar
  4. Tvåfaktorsautentisering
  5. Inloggning på flera nivåer
  6. Svartlistning
  7. Dölj inloggningsområdet (är kontroversiellt)

1. Använd ett starkt lösenord

A starkt lösenord används som skydd mot Brute Force Attacker oerhört viktigt. Bots och botnets använda enorm lösenord databaser för deras "gissa spel". Dessa prövas rakt på sak. Ju mer ovanligt och svårt ditt lösenord är, desto mer sannolikt är det att visas.

Ju längre och svårare ditt lösenord, desto längre bots kommer också att behöva knäcka det om de dessutom försöker gissa lösenordet utan en lista.

Ditt lösenord bör därför vara olika tecken kombinationer från ...

  • 10 olika nummer (0 till 9)
  • 52 olika bokstäver (A till Ö och a till z)
  • 32 olika specialtecken ...

... och vara minst 8 tecken långa.

Password Manager Password-Depot ger några tydliga Exempel på beräkning Redo. Här antas att en stark enda dator kan generera två miljarder lösenord per sekund. Rent konkret innebär detta:

  • Ett lösenord på 5 tecken (3 gemener, 2 siffror) har 60 466 176 kombinationer och kan knäckas på 0,03 sekunder.
  • Ett lösenord med 8 tecken (4 gemener, 2 specialtecken, 2 siffror) har redan 457 163 239 653 376 möjliga kombinationer. Här tar datorn ungefär två och en halv dag.
  • Och ett lösenord på 12 tecken (3 versaler, 4 gemener, 3 specialtecken, 2 siffror) har hela 475 920 314 814 253 376 475 136 kombinationer. Det tar 7,5 miljoner år för en enda dator att knäcka detta lösenord.

I WordPress -Codex för att skapa sådana lösenord, Plugin Tvinga starka lösenord Rekommenderas. Detta tvingar användare att välja komplexa lösenord. Detta gör att detta Plugin sidorna är inte direkt säkrare, men det utbildar användare att använda starka lösenord. Och särskilt om du arbetar på uppdrag av dina kunder, kan denna lilla stödåtgärd vara mycket praktiskt.

Du behöver inte komma ihåg lösenorden!

Lösenordshanterare hjälper dig att skapa och hantera säkra lösenord. Du behöver bara komma ihåg ett huvudlösenord (naturligtvis så komplext som möjligt). Programmet gör resten för dig. Apple-datorer har redan ett program som heter Nyckelringshantering installerat. Molnbaserade verktyg för lösenordshantering som 1Password, Lastpass eller KeyPass fungerar på samma sätt.

Så du behöver inte komma ihåg alla dina lösenord. Speciellt om du har mer än en sida och använder en mängd olika tjänster, är professionell lösenordshantering en välsignelse.

FREE DEV Program RAIDBOXES

2. Använd inte användarnamnet "admin"

Som jag sa: Brute Force Attacker är i grunden gissa försök. Så du bör göra det så svårt som möjligt för hackare att gissa ditt användarnamn. Använd därför inte WordPress standard användarnamn "admin" - och därför inte använda en systemet har förinställda för dig. Eftersom detta användarnamn även gäller alla andra WordPress användare som standard.

3. Blockera inloggningssidan efter för många misslyckade försök

Brute Force Attacker testar tusentals kombinationer av användarnamn och lösenord. Omvänt innebär detta att du genererar tusentals inloggningsförsök att begränsa.

Så din server kommer att märka att det finns något i bushen. Med en lämplig Plugin Du kan välja att blockera åtkomst efter ett visst antal misslyckade försök, så att hackare måste lägga sin attack på is. Du kan använda detta skydd, till exempel via en Plugin Hur WP Limit inloggningsförsök Eller Begränsa inloggningsförsök ominstallerat Genomföra.

På RAIDBOXES har varje WordPress installation, funktionen för att begränsa inloggningsförsök, Integrerad som standardOm en person eller bot försöker logga in på din webbplats alltför ofta med fel referenser, kommer vi inledningsvis blockera ip i fråga i 20 minuter. Om inloggningsförsöken fortsätter med felaktiga data kommer IP till och med att blockeras i 24 timmar. Naturligtvis kan du också definiera antalet försök och lockoutperioden själv.

Limit Login Attempts and Co. har ett utgångsdatum

I detta fall Plugins Det finns dock en viktig sak att förstå: att begränsa inloggningsförsöken för en IP-adress har en allvarlig sårbarhet. Den kan inte förutse byte av en IP-adress. Detta innebär att attacker med botnät, till exempel, endast kan stötas bort smärtsamt eller inte alls. Den nya generationen IP-adresser (IPv6-adresser) gör det också möjligt för en enda angripare att byta sin IP-adress i bråkdelar av en sekund. Detta ökar faran med botnetattacker.

Och: Ett stort antal Brute Force Attacker bör inte bara gissa spel. Eftersom, som fakturan i avsnittet om säkra lösenord visar, kan inte ens ett botnät med en miljon enheter gissa motsvarande säkra lösenord. Det är därför många hackare arbetar med lösenordslistor. Detta minskar antalet inloggningsförsök till kombinationsalternativen för respektive lösenordsbibliotek.

Samtidigt begränsa inloggningsförsök per IP fortfarande vettigt, vikten av denna backup mekanism kommer att minska snabbt i framtiden. Den enda verkligt säkra skyddsmekanismen mot attacker med förändrade IPs är tvåfaktorsautentisering.

4. Tvåfaktorsautentisering

Bakom begreppet tvåfaktorsautentisering ligger tanken på att begära en andra bekräftelse utöver lösenordet när du loggar in. Detta är vanligtvis en annan alfanumerisk kod. Det speciella med detta är att det överförs utanför själva registreringsförfarandet - till exempel via en kodgenerator eller en mobiltelefon. Och bara ägaren av den här enheten kan logga in.

Med Google Authenticator-appen och en motsvarande Plugin Detta gör avancerad autentisering relativt enkel för WordPress Genomföra. Används ofta, till exempel Plugins Google-autentiserare av Hendrik Schack eller Google-autentiserare av miniOrange.

Om du vill installera det extra säkerhetsskyddet läser du in Google-appen på din d'or-e-*-*-*-******************-------------------------------------------********************************************************************************** Plugin I WordPress . En QR-kod genereras här, som du kan skanna med appen. Du kan också skapa kontot manuellt. Nu är din WordPress och appen på telefonen.

Appen genererar nu en ny säkerhetskod var 30:e sekund. Varje användare för vilken tvåfaktorsautentisering är aktiverad kommer nu att se raden "Google Authenticator Code" i inloggningsområdet bredvid "Användarnamn" och "Lösenord". Så för att logga in behöver han smartphone som koderna genereras på. Stora säkerhetsinsticksprogram som Wordfence erbjuda en liknande mekanism.

Även om processen med dubbel autentisering låter komplex, är det ett mycket bra skydd mot Brute Force Attacker. Särskilt när det gäller ovannämnda övergång från IPv4 till IPv6-adresser.

Starka lösenord, ändra användarnamn, Plugins till exempel Begränsa inloggningsförsök och tvåfaktorsautentisering är alla åtgärder du kan implementera enkelt, snabbt och utan programmeringskunskaper. Och framför allt skyddar den extra autentiseringen och de riktigt säkra lösenorden också effektivt mot Brute Force Attacker.

Om du vill kan du göra mer. Du kan skydda ditt WP-administratörsområde med ytterligare ett lösenord, skapa en svart lista eller vitlista eller även skapa Dölj WP-administrationsområdeAlla dessa åtgärder tenderar dock inte att erbjuda mer säkerhet, utan ska förstås som alternativ eller alternativ.

5. Ytterligare lösenordsskydd

Om du vill WordPress på en Apache-server har du möjlighet att arbeta utan att Plugin införa en inloggningsprocedur på flera nivåer. Eftersom varje WordPress installationen på en Apache-server innehåller en så kallad HTACCESS-fil. I den här filen kan du lagra kod för ytterligare HTTP-autentisering för att installera ytterligare lösenordsskydd på inloggningssidan. Servern kräver ett lösenord för att besökare överst ska kunna logga in på inloggningsmasken.

Skydda wp-login
AuthUserFile .htpasswd
 AuthName "Privat åtkomst"
 AuthType Grundläggande
 kräver användare mysecretuser

Med det här kommandot skapas en lösenordsfråga redan innan wp-admin-området kan anropas alls. Här anger du ytterligare ett användarnamn och lösenord för att komma till inloggningsområdet alls. Data för den ytterligare användaren måste dock definieras i .htpasswd. För att göra detta måste användarnamnet och lösenordet infogas i filen i krypterad form. Det är WordPress -Codex förklarar hur denna process fungerar i grunden.

ebook: Mät webbplatsens prestanda som en professionell

6. Svartlistning & Vitlistning

Där vi befinner oss på .htaccess: Med den här filen kan du implementera ännu ett kraftfullt skydd. Några få rader kod orsakar endast vissa IPs att ha tillgång till WordPress instrumentpanelen eller enskilda kataloger.

För att göra detta kan du lagra ytterligare .htaccess med följande kod i motsvarande katalog – helst wp-admin:

Blockera åtkomst till wp-admin.
 för att neka,tillåt
 tillåta från x.x.x.x
 förneka från alla

Naturligtvis måste du ersätta x.x.x.x med de IPs som du vill ha tillgång till sidan. Exemplet visar en vitlista, som är en lista över IPs som har åtkomst till sidan. Det innebär att inloggningssidan är låst för alla andra IPs. Förresten, ordningen på kommandona - "tillåt" följt av "förneka" - är oerhört viktigt eftersom de utförs sekventiellt. Kom först "förneka från alla", du står också framför stängda dörrar.

En svart lista skulle implementera exakt motsatt mekanism: det skulle avgöra vilka IPs som inte får komma åt sidan. För båda, naturligtvis, det finns också plugin lösningar. Till exempel välkända säkerhetsinsticksprogram som Allt i ett WP Säkerhet, Wordfence Eller Sucuri (sucuri), en svart lista eller vitlistningsfunktion åt gången. Det bör dock noteras att dessa tre Plugins naturligtvis mycket mer än att bara skapa blaklister eller vitlistor. Därför bör du inte installera dem enbart för dessa funktioner. Ett populärt alternativ skulle vara att Plugin Loginizer (in-, som för närvarande har mer än 500 000 aktiva installationer.

7. Dölj inloggningsområdet

Brute Force Attacker angriper din inloggningssida. Ett mycket enkelt sätt att förhindra attackerna är därför inte att låta angriparna på inloggningssidan i första hand. För detta ändamål döljer vissa webbansvariga inloggningsmasken. Inloggningsområdet är då endast tillgängligt via en hemlig webbadress.

Denna åtgärd följer den (kontroversiella) principen om Säkerhet genom dunkel och är inte en förnuftig säkerhetsåtgärd på egen hand. Vi på RAIDBOXES är inte goda vänner av denna princip. För om du genomför ovanstående åtgärder har du redan säkrat ditt inloggningsområde mycket bra och behöver inte skjuta upp det ytterligare. Denna åtgärd kan dock bidra till den upplevda säkerheten, vilket kan vara särskilt viktigt för dina kunders uppfattning.

Om du vill dölja wp-admin-område du kan använda en av de stora säkerhet plugins (som, som jag sa, erbjuder många fler funktioner). Eller så kan du prova en av dessa populära Plugins Från:

Som jag sa: Enligt vår mening, dölja wp-admin är inte en förnuftig åtgärd - åtminstone inte för att skydda din webbplats från Brute Force skydda attacker. Om du har valt ett starkt lösenord och implementerat en användbar IP-uteslutningsprocedur eller tvåfaktorsautentisering, riskerar du att en lyckad IP-uteslutningsprocedur eller tvåfaktorsautentisering. Brute Force attacken har redan minskat avsevärt.

Slutsats

Med en nuvarande marknadsandel på mer än 32 procent WordPress den överlägset största CMS i världen. Det kommer sannolikt inte att förändras i framtiden. Det är Sannolikhetsmål för en Brute Force Att bli en attack är därför rent matematiskt extremt hög. Det måste du vara medveten om. Lyckligtvis är det dock också mycket lätt att skydda dig från dem. Eftersom några åtgärder, dvs säkra lösenord och tvåfaktorsautentisering, kan genomföras i en liten stund och helt utan programmering kunskap.

Och du kan också använda de förment svårare åtgärderna, till exempel svart eller vitlistning, ytterligare lösenordsskydd eller låsmekanism för inloggningsområdet. Plugins Genomföra. Så om du bara märker de första tre eller fyra punkterna i det här inlägget, du är redan bra mot Brute Force Attacker. Naturligtvis kan du alltid göra mer, dvs skapa ytterligare lösenordsskydd eller ställa in svarta eller vitlistor. Men i sådana fall bör man överväga om de mer säkerhetsmekanismer som faktiskt är värda det, särskilt när det gäller administrativa insatser.

Liknande artiklar

Kommentarer om den här artikeln

Skriv en kommentar

Din e-postadress kommer inte att publiceras. Obligatoriska fält är * Markerade.