Fiecare site într-o anumită măsură, periodic sau permanent, este supus la diverse atacuri ale hackerilor. Unul dintre cele mai frecvente atacuri este selectarea parolelor pentru a accesa resursele web - atacurile Brute Force (bruteforce). Atacurile de acest tip pe paginile de conectări la site-uri au fost, sunt și vor fi întotdeauna. Lupta împotriva lor este posibilă și necesară, chiar și în ciuda faptului că 100% din protecția nimănui nu poate fi asigurată.
În acest articol vom lua în considerare câteva recomandări din cadrul forumului BulletProof Security Pro privind protejarea blogurilor pe WordPress împotriva atacurilor de forță brute asupra paginilor de conectare și a înregistrărilor. Și, deși exemplele WordPress vor fi discutate aici, aceleași metode pot fi aplicate cu succes oricăror alte tipuri de site-uri, pentru care trebuie doar să faceți corecțiile corespunzătoare la cod.
Atenție vă rog!
Înainte de a începe experimentul, asigurați-vă că aveți acces (cu posibilitatea de a edita) la fișierul .htaccess rădăcină al site-ului și fișierele de curent WordPress temă blog-ul cel puțin prin FTP sau SSH, sau de la hosting panoul de administrare.
Dezactivați autentificările sau înregistrările pentru străini pe baza protocolului
Această metodă va permite blocarea a peste 90% din încercările de atacuri automate Brute Force, deoarece protocolul de versiune HTTP / 1.0 este tipic pentru atacurile automate de forță brute.
După adăugarea acestui cod în fișierul .htaccess, accesul la pagina de conectare a blogului (wp-login.php) va fi blocat pentru toate cererile care utilizează protocolul HTTP / 1.0.
Dacă încă nu v-ați putut conecta la site-ul dvs. și nu aveți acces la fișierele sale prin FTP sau SSH, atunci va trebui să vă adresați serviciului de asistență pentru găzduire pentru ajutor.
Combinarea accesului la IP și a blocării protocolului
Permisiunea de a accesa pagina de conectare numai pentru dvs.
Această metodă se bazează pe verificarea parametrului suplimentar (sau mai mulți parametri) din interogare. De exemplu:
În mod natural, pe lângă SecretKey = 25637653269, puteți utiliza un nume de parametru diferit și valorile acestuia, la discreția dvs.
Pentru a implementa metoda propusă, trebuie să adăugați un cod similar cu acesta în fișierul functions.php al blogului dvs.:
Când utilizați acest cod, toate solicitările pe pagina wp-login.php. în care există sau nu se potrivește cu SecretKey = 25637653269. va fi redirecționat automat la pagina principală a blogului. Folosind această metodă de protejare a paginilor de conectare de atacurile Brute Force, nu uitați să modificați perechile cheie-valoare pentru solicitările SecretKey 25637653269 de mai multe ori. și încercați, de asemenea, să folosiți cele mai unice nume și semnificații pentru ele.
Alte articole din subiecte similare:
Protecția cea mai "rece" împotriva încercărilor de conectare este ștergerea, redenumirea sau golirea (ceva de genul