Bu 7 önlemle, Brute Force Saldırılar boşluğa doğru koşar

8 Dk.
Bu yıl en az 4 milyar bireysel saldırıyla, Brute Force saldırılar tartışmasız en büyük tehdit WordPress Sayfa.
Son güncelleme

Yılda birkaç milyar bireysel saldırı yla, Brute Force saldırılar tartışmasız en büyük tehdit WordPress Sayfa. Neyse ki, saldırı bu tür de çok beceriksiz ve hile kolaydır. Size hacker saldırılarına karşı dört basit ve hızlı eylem göstereceğiz. Ve ayrıca üç karmaşık koruma mekanizması daha.

Sadece Nisan 2017'de, güvenlik sağlayıcısı Wordfence bir milyardan fazla Brute Force Saldırı -ını WordPress dünya çapında sayfalar. Ve bu sadece bir yaklaşım - rapor edilmemiş vaka sayısı bir kez daha çok daha yüksektir. Bu nedenle, parolaları ve kullanıcı adlarını otomatik olarak tahmin etmeye çalışan saldırılar, WordPress dünya çapında sayfalar. Ama sadece bu da değil. Çünkü yaklaşık Yüzde 37.5 10 milyon en büyük web sitelerinin şu anda altında çalışıyor WordPress . Ve bu da etkili güvenlik önlemleri sorusunun WordPress bir bütün olarak Internet'i de etkiler.

Tam olarak nasıl olduğunu bilmek istiyorsanız Brute Force saldırılar iş ve ne kadar tehlikeli, bizim kontrol Konuyla ilgili arka plan makalesi Brute Force Saldırı Hedef.

Onların çok sayıda rağmen, iyi bir haber var: karşı mantıklı güvenlik önlemleri vardır Brute Force Çok fazla çaba harcamadan ve her şeyden önce programlama bilgisi olmadan kendinizi uygulayabileceğiniz saldırılar. Ve .htaccess dosyasıyla ilgili en azından temel bilgiler gerektiren önlemler vardır.

Bu yedi önlem bugün tehlikede:

  1. Güçlü şifreler (çok önemli!)
  2. Kullanıcı adı olarak "yönetici" kullanmayın
  3. Geçersiz giriş sayısını sınırlama
  4. İki faktörlü kimlik doğrulama
  5. Çok düzeyli giriş
  6. Kara listeye
  7. Giriş alanını gizle (tartışmalıdır)

1. Güçlü bir parola kullanın

A güçlü parola karşı bir koruma olarak kullanılır Brute Force Saldırılar son derece önemli. Botlar ve botnetler kendi "tahmin oyunları" için büyük şifre veritabanları kullanın. Bunlar açıkça denenmiş. Parolanız ne kadar sıra dışı ve zorsa, parolanızın görünme olasılığı da o kadar artar.

Parolanız ne kadar uzun ve daha zor olursa, parolayı da liste olmadan tahmin etmeye çalışırlarsa, uzun botların parolayı çözmesi gerekir.

Şifreniz bu nedenle farklı karakter kombinasyonları olmalıdır ...

  • 10 farklı sayı (0 - 9)
  • 52 farklı harf (A'dan Z'ye ve a'dan z'ye)
  • 32 farklı özel karakter ...

... ve en az 8 karakter uzunluğunda olmalıdır.

Password Manager Password-Depot bazı açık sağlar Hesaplama örnekleri Hazır. Burada güçlü bir tek bilgisayar saniyede iki milyar parola üretebilir varsayılır. Somut açıdan, bu demektir ki:

  • 5 karakterlik bir parola (3 küçük harf, 2 sayı) 60 466 176 kombinasyona sahiptir ve 0,03 saniyede kırılabilir.
  • 8 karakterli bir parola (4 küçük harf, 2 özel karakter, 2 sayı) zaten 457 163 239 653 376 olası kombinasyona sahiptir. Burada, bilgisayar yaklaşık iki buçuk gün sürer.
  • Ve 12 karakter (3 büyük harf, 4 küçük harf, 3 özel karakter, 2 sayı) bir kuyruklu 475 920 314 814 253 376 475 136 kombinasyonları vardır bir şifre. Tek bir bilgisayarın bu şifreyi çözmesi 7.5 milyon yıl sürüyor.

Inç WordPress -Kodeks bu tür parolaların oluşturulması için, Plugin Güçlü Parolaları Zorla Önerilen. Bu, kullanıcıları karmaşık parolalar seçmeye zorlar. Bu yapar Plugin sayfalar doğrudan daha güvenli değildir, ancak kullanıcıları güçlü parolalar kullanmaları konusunda eğitir. Ve özellikle müşterileriniz adına çalışıyorsanız, bu küçük yardım önlemi çok pratik olabilir.

Şifreleri hatırlamak zorunda değilsin!

Parola yöneticileri güvenli parolalar oluşturmanıza ve yönetmenize yardımcı olur. Sadece bir ana şifre (tabii ki mümkün olduğunca karmaşık) hatırlamak gerekir. Program gerisini senin için yapıyor. Apple bilgisayarlarzaten Anahtarlık Yönetimi yüklü olarak adlandırılan bir uygulama var. 1Password, LastPass veya KeyPass gibi bulut tabanlı parola yönetimi araçları aynı şekilde çalışır.

Böylece tüm parolalarınızı hatırlamak zorunda kalmamanız gerekir. Özellikle birden fazla sayfanız varsa ve çeşitli hizmetler kullanıyorsanız, profesyonel şifre yönetimi bir nimettir.

FREE DEV Program RAIDBOXES

2. Kullanıcı adı "admin" kullanmayın

Dediğim gibi: Brute Force Saldırılar temelde tahmin girişimleri vardır. Bu nedenle, bilgisayar korsanlarının kullanıcı adınızı tahmin etmesini mümkün olduğunca zorlaştırmalısınız. Bu nedenle, kullanmayın WordPress varsayılan kullanıcı adı "admin" - ve bu nedenle sistemin sizin için önceden ayarlanmış birini kullanmayın. Çünkü bu kullanıcı adı diğer tüm WordPress varsayılan olarak kullanıcılar.

3. Çok fazla başarısız denemeden sonra giriş sayfasını engelleyin

Brute Force Saldırılar binlerce kullanıcı adı ve parola birleşimini sınar. Tersine, bu, sınırlamak için binlerce ve binlerce oturum açma girişimi oluşturduğunuz anlamına gelir.

Yani sunucunuz çalılıkta bir şey olduğunu fark edecektir. Uygun bir Plugin belirli sayıda başarısız denemeden sonra erişimi engellemeyi seçebilirsiniz, böylece bilgisayar korsanlarının saldırılarını beklemeye almaları gerekir. Bu korumayı, örneğin, Plugin Nasıl WP Limit Giriş Denemeleri Veya Limit Giriş Denemeleri Yeniden Yüklendi Uygulamak.

At RAIDBOXES her WordPress yükleme, oturum açma girişimlerini sınırlamak için fonksiyon, Varsayılan olarak tümleşikBir kişi veya bot sitenize çok sık yanlış kimlik bilgileri ile giriş yapmaya çalışırsa, biz başlangıçta 20 dakika boyunca söz konusu ip engelleyecektir. Oturum açma denemeleri yanlış verilerle devam ederse, IP 24 saat boyunca engellenir. Tabii ki, deneme sayısını ve kilitleme süresini kendiniz de tanımlayabilirsiniz.

Limit Giriş Girişimleri ve Co. bir son kullanma tarihi var

Bu durumda, Plugins ancak, anlaşılması gereken önemli bir şey vardır: bir IP adresinin oturum açma denemelerini sınırlamak ciddi bir güvenlik açığına sahiptir. Bir IP adresinin geçişini öngöremez. Bu botnetler ile saldırılar, örneğin, sadece acı ya da hiç püskürtülebilir anlamına gelir. Yeni nesil IP adresleri (IPv6 adresleri) aynı zamanda tek bir saldırganın IP adresini saniyenin kesirleriyle değiştirmesine de olanak tanır. Bu botnet saldırılarının oluşturduğu tehlikeyi artırır.

Ve: Çok sayıda Brute Force Saldırılar sadece tahmin oyunları olmamalıdır. Çünkü, güvenli parolalar bölümündeki faturanın da gösterdiği gibi, bir milyon cihazı olan bir botnet bile güvenli parolaları tahmin edemez. Bu nedenle birçok bilgisayar korsanı parola listeleriyle çalışır. Bu, ilgili parola kitaplığı kombinasyon seçeneklerine giriş denemelerinin sayısını azaltır.

IP başına oturum açma denemelerini sınırlamak hala mantıklı olsa da, bu yedekleme mekanizmasının önemi gelecekte hızla azalacaktır. Değişen IP'lerle yapılan saldırılara karşı gerçekten güvenli tek koruma mekanizması iki faktörlü kimlik doğrulamadır.

4. İki faktörlü kimlik doğrulama

İki faktörlü kimlik doğrulama kavramının arkasında, oturum açarken parolaya ek olarak ikinci bir onay isteme fikri yatsın. Bu genellikle başka bir alfasayısal koddur. Bu konuda özel bir şey gerçek kayıt prosedürü dışında iletilen olmasıdır - örneğin bir kod jeneratör veya cep telefonu üzerinden. Ve sadece bu cihazın sahibi oturum açabilir.

Google Authenticator uygulaması ve ilgili bir Plugin bu gelişmiş kimlik doğrulamanispeten kolay hale getirir WordPress Uygulamak. Sık kullanılan, örneğin, Plugins Google Authenticator tarafından Hendrik Schack veya Google Authenticator miniOrange tarafından.

Ek güvenlik koruması yüklemek için Google uygulamasını d'or-e-*-*-*-*-*-*-*-*-*-*-*-*------------------------------------------- Plugin Inç WordPress . Burada uygulamayla tizleyapabileceğiniz bir QR kodu oluşturulur. Alternatif olarak, hesabı el ile oluşturabilirsiniz. Şimdi seninki. WordPress kullanıcı hesabı ve telefonunuzdaki uygulama.

Uygulama artık her 30 saniyede bir yeni bir güvenlik kodu oluşturuyor. İki faktörlü kimlik doğrulamasının etkin olduğu her kullanıcı artık oturum açma alanında "Kullanıcı Adı" ve "Parola" satırının yanında "Google Authenticator Code" satırını görür. Giriş yapmak için kodların üretildiği akıllı telefona ihtiyacı var. Büyük güvenlik eklentileri gibi Wordfence benzer bir mekanizma sunuyoruz.

Çift kimlik doğrulama süreci karmaşık görünse de, Brute Force Saldırı. Özellikle IPv4'ten IPv6 adreslerine yukarıda belirtilen geçiş le ilgili olarak.

Kullanıcı adını değiştirme, güçlü parolalar, Plugins Limit Giriş Denemeleri ve iki faktörlü kimlik doğrulama gibi, programlama becerileri olmadan kolayca, hızlı bir şekilde uygulayabileceğiniz tüm önlemlerdir. Ve her şeyden önce, ek kimlik doğrulama ve gerçekten güvenli şifreleri de etkili bir şekilde karşı korumak Brute Force Saldırı.

İstersen daha fazlasını yapabilirsin. WP yönetici alanınızı ek bir parolayla güvenli hale getirebilir, bir kara liste veya beyaz liste oluşturabilir veya WP Yönetici Alanını GizleAncak, tüm bu önlemler daha fazla güvenlik sunmak için değil eğilimindedir, ancak seçenek veya alternatif olarak anlaşılmalıdır.

5. Ek parola koruması

İstersen WordPress bir Apache sunucusunda sayfa, olmadan çalıştırmak için seçeneğiniz var Plugin çok düzeyli bir giriş yordamı sunar. Çünkü her WordPress bir Apache sunucusunda yükleme sözde .htaccess dosyası içerir. Bu dosyada, giriş sayfasına ek parola koruması yüklemek için ek HTTP kimlik doğrulaması için kod depolayabilirsiniz. Sunucu, ziyaretçilerin oturum açma maskesinde oturum açmasına izin vermek için bir parola gerektirir.

wp-login'i koruyun
AuthUserFile .htpasswd
 AuthName "Özel erişim"
 AuthType Temel
 kullanıcı mysecretuser gerektirir

Bu komutla, wp-admin alanı hiç çağrılmadan önce bile bir parola sorgusu oluşturulur. Burada hiç giriş alanına ulaşmak için ek bir kullanıcı adı ve şifre girin. Ancak, ek kullanıcıya ait veriler .htpasswd'de tanımlanmalıdır. Bunu yapmak için, kullanıcı adı ve parolanın dosyaya şifreli olarak eklenmesi gerekir. Bu, WordPress -Kodeks bu sürecin temelden nasıl işlediğini açıklar.

ebook: Sitenizin performansını profesyonel gibi ölçün

6. Kara Liste & Beyaz Liste

.htaccess'te bulunduğumuz yer: Bu dosya ile başka bir güçlü koruma uygulayabilirsiniz. Birkaç kod satırı, yalnızca belirli IP'lerin WordPress pano veya bireysel dizinler.

Bunu yapmak için, ilgili dizinde aşağıdaki kodu içeren ek bir .htaccess depolayabilirsiniz – tercihen wp-admin:

wp-admin erişimi engelleyin.
 sipariş inkar, izin
 x.x.x.x'ten izin
 tüm inkar

Tabii ki, sayfaya erişmek istediğiniz IP'lerle x.x.x.x'i değiştirmeniz gerekir. Örnek, sayfaya erişmesine izin verilen IP'lerin bir listesi olan bir beyaz liste gösterir. Bu, oturum açma sayfasının diğer tüm IP'ler için kilitli olduğu anlamına gelir. Bu arada, komutların sırası - "izin" "inkar" takip - onlar sırayla yürütülür çünkü son derece önemlidir. Önce "her şeyden inkar" gel, sen de kapalı kapılar önünde dur.

Bir kara liste tam tersi mekanizmayı uygular: hangi IP'lerin sayfaya erişmesine izin verilmediğini belirler. Her ikisi için de, tabii ki, eklenti çözümleri de vardır. Örneğin, gibi iyi bilinen güvenlik eklentileri Hepsi Bir WP Güvenlik, Wordfence Veya Sucuri, bir defada bir kara liste veya beyaz liste işlevi. Ancak, bu üç unutulmamalıdır Plugins tabii ki, çok daha fazla sadece blaklists veya whitelists oluşturma. Bu nedenle, bunları yalnızca bu özellikler için yüklememelisiniz. Popüler bir alternatif olacaktır Plugin Giriş, şu anda 500.000'den fazla etkin kuruluma sahiptir.

7. Giriş alanını gizleme

Brute Force Saldırılar giriş sayfanıza saldırır. Bu nedenle saldırıları önlemenin çok basit bir yolu, saldırganların ilk etapta giriş sayfasında yer alamamasıdır. Bu amaçla, bazı web yöneticileri giriş maskesini gizler. Giriş alanına yalnızca gizli bir URL üzerinden erişilebilir.

Bu tedbir, (tartışmalı) ilkesini takip eder Belirsizlik ile Güvenlik ve kendi başına mantıklı bir güvenlik önlemi değildir. Biz de RAIDBOXES bu ilkenin büyük arkadaş değildir. Çünkü yukarıdaki önlemleri uygularsanız, giriş alanınızı zaten çok iyi güvence altına almış sınız ve daha da ertelemek zorunda kalmamışsınız. Ancak, bu tedbir, özellikle müşterilerinizin algılanması için önemli olabilir algılanan güvenlik, katkıda bulunabilir.

İstersen wp-admin alanını gizlemek büyük güvenlik eklentilerinden birini kullanabilirsiniz (dediğim gibi, çok daha fazla özellik sunar). Ya da bu popüler birini deneyebilirsiniz Plugins Kaynak:

Dediğim gibi: Bizim görüşümüze göre, wp-admin gizleme mantıklı bir tedbir değildir - en azından sitenizi korumak için değil Brute Force saldırıları koruyun. Güçlü bir parola seçtiyseniz ve yararlı bir IP dışlama yordamı veya iki faktörlü kimlik doğrulama uyguladıysanız, başarılı bir IP dışlama yordamı veya iki faktörlü kimlik doğrulama riskini çalıştırırsınız. Brute Force saldırı zaten önemli ölçüde azalmıştır.

Sonuç

Şu anki pazar payı yüzde 32'den fazla olan, WordPress şimdiye kadar dünyanın en büyük CMS tarafından. Bunun gelecekte değişmesi pek olası değil. Bu, Bir olasılık hedefi Brute Force Saldırı olmak için bu nedenle, tamamen matematiksel olarak, son derece yüksektir. Bunun farkında olmalısın. Neyse ki, ancak, aynı zamanda onlardan kendinizi korumak için çok kolaydır. Çünkü birkaç önlem, yani güvenli parolalar ve iki faktörlü kimlik doğrulama, programlama bilgisi olmadan ve birkaç dakika içinde uygulanabilir.

Ayrıca, siyah veya beyaz liste, oturum açma alanı için ek bir parola koruması veya kilitleme mekanizması gibi sözde daha zor önlemleri de kullanabilirsiniz. Plugins Uygulamak. Yani sadece bu yazının ilk üç veya dört puan fark ederseniz, zaten karşı iyi Brute Force Saldırı. Tabii ki, her zaman daha fazlasını yapabilirsiniz, yani ek parola koruması oluşturmak veya siyah veya beyaz listeler kurmak. Ancak bu gibi durumlarda, daha fazla güvenlik mekanizmasının, özellikle idari çaba açısından gerçekten buna değip değmeyeceğini düşünmelisiniz.

Benzer makaleler

Bu makaledeki yorumlar

Yorum yaz

E-posta adresiniz yayınlanmayacaktır. Gerekli alanlar * Işaretlenmiş.