Kuidas kaitsta oma saiti WordPressi toore jõu rünnakute eest?

Kuulake seda artiklit

Brute force attack või (toore jõu rünnak) WordPress surutakse alla isegi enne, kui rünnak on edukas. Paljud saidiadministraatorid näevad, et nende serveriressursid ammenduvad kiiresti, saidid ei reageeri või jooksevad isegi täielikult kokku, mille tulemuseks on tegelike kasutajate keeld. Probleem on selles, et võite tunda end abituna, kui jõhkra jõuga robotid ummistavad teie wp-admini juurde pääsemiseks sisselogimislehe.

Aga sa ei ole abitu. Kui näete sama kasutaja jaoks mitut ebaõnnestunud sisselogimiskatset, võib-olla mitmelt IP-aadressilt, olete jõudnud õigesse kohta. Selles artiklis selgitan, kuidas WordPressi jõhkra jõu rünnak välja näeb ja kuidas oma saiti selle eest kaitsta.

Artikli sisu:

• Mis on WordPressi toore jõu rünnak?
• Kuidas kaitsta oma saiti WordPressi toore jõu rünnakute eest?
• Julma jõu rünnaku mõju WordPressis
• Likvideerige WordPressi iteratsiooni mõjud
• Kas teie sait on haavatav toore jõu rünnakute suhtes?
• Toore jõu rünnakute tüübid
• Muud turvalisuse parimad tavad
• Väljund

Mis on WordPressi toore jõu rünnak?

Jõhja jõu rünnak WordPressile on katsed saada volitamata juurdepääsu teie wp-adminile, proovides erinevaid kasutajanimede ja paroolide kombinatsioone. Häkkerid on välja töötanud robotid, mis katse-eksituse meetodil pommitavad sisselogimislehte pidevalt mandaatidega.

Botid proovivad sageli mitmeid sõnastikus kasutatavaid paroole ja seetõttu tuntakse neid ka kui sõnaraamaturünnakuid või parooli äraarvamise rünnakuid. Rünnakuid saab konfigureerida nii, et need pärinevad erinevatelt IP-aadressidelt ja jäävad seega mööda põhilistest turvameetmetest. On ka teisi toore jõu rünnakuid, mida käsitlen artiklis hiljem.

Toore jõu rünnaku eesmärk on saada juurdepääs oma wp-adminile ja seejärel tavaliselt installida oma saidile pahavara.

Kuidas kaitsta oma saiti WordPressi toore jõu rünnakute eest?

Toore jõu rünnakut on hirmutav kogeda, eriti kuna tundub, et selle peatamiseks pole midagi teha. Lisaks on rünnaku tagajärjed kohe näha. Enamikul saitidel on piiratud serveriressursid, mis kuluvad kiiresti ära ja sageli kaob rünnatud sait täielikult.

Õnneks saate WordPressi jõhkrate jõurünnakute vältimiseks palju ära teha. Siin on loend WordPressi jõhkra jõu sammudest, mis blokeerivad enamiku rünnakuid ja leevendavad halvimaid.

1. Piirake sisselogimiskatsete arvu

Parim viis WordPressi jõhkra jõu rünnaku peatamiseks on sisselogimiskatsete arvu piiramine. Kui sisselogimislehel sisestatakse liiga palju kordi vale parool, lukustatakse konto ajutiselt. See blokeerib jõhkra jõuga roboti tõhususe, kuna see kasutab volituste ära arvamiseks katse-eksituse meetodit. Lisaks, kuna bot ei saa proovida mitut tuhat kombinatsiooni, ei saadeta serverile päringuid ega kulutata ressursse roboti tegevusele.

Vaikimisi lubab WordPress piiramatul arvul sisselogimiskatseid, seega on see peamiselt vastuvõtlik toore jõu rünnakutele. Turvapluginatega saate automaatselt aktiveerida sisselogimiskaitse piirangud.

Tegelikult, kui kasutaja on seaduslikult oma parooli unustanud, saab ta lahendada captcha, et lukust hõlpsalt mööda minna. Seega takistab sisselogimiskatsete piiramine jõhkra jõuga robotite imbumist tegelikke kasutajaid negatiivselt mõjutamata.

2. Blokeerige halvad ja soovimatud robotid

Toore jõu rünnakuid sooritavad peaaegu alati robotid. Botid on väikesed programmid, mis on loodud lihtsa ülesande korduvaks täitmiseks, muutes need ideaalseks jõhkra jõu rünnakute jaoks. Bot proovib sisselogimislehel mitmeid mandaate, kuni leiab vaste.

Lisaks tuleb üle 25% kogu veebisaidi liiklusest robotitelt, seega on palju turvasüsteeme, mis kaitsevad robotite eest. Siin tuleb aga teha oluline vahe: kõik robotid pole halvad. On häid, nagu teised otsingumootori indeksoijad ja tööaja jälgimise robotid.

Soovite, et neil oleks juurdepääs teie saidile, seetõttu on oluline hankida robotikaitse, mis blokeerib intelligentselt ainult halvad ja soovimatud robotid. Botivastaseid pistikprogramme, nagu All In One WP Security ja Wordfence Security, on palju, kuid vaikimisi blokeerivad need kõik robotid, sealhulgas Googlebot.

3. Installige veebirakenduse tulemüür

Sisselogimiskaitse on kaitse toore jõu rünnakute eest, tulemüür aga kaitse igasuguste rünnakute eest; sealhulgas toore jõuga.

Tulemüürid kasutavad reegleid pahatahtliku liikluse blokeerimiseks ja teevad palju teie veebisaidi kaitsmiseks. Lisaks leevendavad tulemüürid üht kõige tõsisemat toore jõu rünnakute probleemi – serveriressursside liigset koormust –, blokeerides korduvad halvad taotlused.

Jõhja jõu rünnakud on sageli konfigureeritud ründama mitmelt IP-aadressilt ja võivad seetõttu enamikust tulemüüridest mööda minna. Tulemüüri abil saab teie veebisait aga ülemaailmse intellektuaalomandi kaitse osaks. Tulemüür õpib enam kui 153 470 veebisaidil sisselogitud käitumise põhjal teada, millised IP-aadressid on pahatahtlikud, ja blokeerib aktiivselt nendelt tuleva liikluse. Need meetmed vähendavad oluliselt teie saidi halva liikluse hulka, enne kui robot saab isegi teie saidi sisselogimislehte häkkida.

4. Lisage WordPressi kahefaktoriline autentimine

Kasutajanimesid ja paroole saab ära arvata, nii et kahefaktoriline autentimine – või isegi mitmefaktoriline autentimine – on muutunud kasutaja autentimise dünaamiliste elementide kasutamiseks. Kahefaktorilise autentimisega kantakse kasutaja seadmesse üle reaalajas sisselogimisluba, näiteks OTP või QR-kood. Sellel on piiratud kasutusiga, tavaliselt umbes 10–15 minutit, ja see suudab kasutajat autentida ainult selle seansi jaoks.

Lisamärki on peale sisselogimise ja parooli raske häkkida. Seega lisab see sisselogimislehele veel ühe turvakihi. Saate installida pistikprogrammi, näiteks WP 2FA, et lisada oma saidile hõlpsalt kahefaktoriline autentimine.

5. Kasutage tugevaid ja ainulaadseid paroole

Suurim turvaviga on kasutaja ise ja vastavalt ka tema seatud paroolid. Paroolid on iga turvasüsteemi suurim haavatavus, mis on tingitud inimeste (arusaadavast) kalduvusest määrata kergesti meeldejäävaid paroole ja neid erinevate kontode jaoks uuesti kasutada. Need on tegelikult kaks erinevat ja erinevat parooliprobleemi.

- Esiteks ärge kunagi kasutage erinevate kontode paroole. Paljud jõhkra jõuga robotid kasutavad sisselogimislehtede ründamiseks andmete lekke tõttu varastatud paroole.

- Teiseks, nagu te aru saate, on sellist parooli nagu "parool" väga lihtne ära arvata. Kasutage vähemalt 12 jaburat tähemärki või, mis veelgi parem, kasutage paroolina parooli.

Soovitan kasutada paroolihaldurit, nagu LastPass või 1Password, et vältida paroolide taaskasutamist ja luua tugevaid paroole vastavalt vajadusele. Kui kahtlustate, et kontole on ohtu sattunud, saate sundida kõik paroolid lähtestama.

6. Keelake WordPressis XML-RPC

XML-RPC-fail on veel üks viis kasutajate autentimiseks. Teisisõnu, see on alternatiivne viis juurdepääsuks teie administraatoripaneelile, nii et see on vastuvõtlik ka toore jõu rünnakutele. See on suures osas vananenud fail, mida paljud pistikprogrammid ega teemad aktiivselt ei kasuta. See on tagasiühilduvuse tagamiseks endiselt WordPressis kaasas ja seetõttu on seda suhteliselt ohutu keelata.

7. Kontrollige ja kustutage regulaarselt kasutamata kasutajakontosid

Mitteaktiivsed kontod on sageli häkkerite sihikule, kuna on võimalus, et kasutajad ei märka, kui nende kontodele häkitakse. Samuti on seisvatel kontodel pikka aega samad paroolid, mis muudab nende vägivaldse kasutamise lihtsamaks.

Seetõttu kontrollige regulaarselt kasutajakontosid ja kustutage need, mida aktiivselt ei kasutata. Lisapunktide teenimiseks veenduge, et igal kontol oleks konto haldamiseks vajalikud minimaalsed kasutajaõigused. Näiteks on hoolimatu teha kõiki administraatoriteks.

8. Kaaluge geoblokeerimist WordPressis

Kui näete ühest kohast palju botiliiklust, saate blokeerida kogu riigi. Soovitan siiski olla geoblokeeringu kasutamisel ettevaatlik. See on kasulik ainult siis, kui te ei oota asukohast üldse seaduslikke kasutajaid.

Samuti pidage meeles, et see võib hoida head robotid sellest piirkonnast eemal. Näiteks võib Googlebot töötada kõigist nende serveritest maailmas ja te kindlasti soovite, et Googlebot pääseks teie saidile juurde.

9. Keela kataloogi sirvimine

Vaikimisi on enamik WordPressi peamistest kaustadest ja failidest brauseri kaudu avalikult juurdepääsetavad. Näiteks võite brauseri aadressiribale sisestada saidi yourwebsite.ru/wp-includes ja kogu kausta sisu on kohe nähtav.

Kuigi kataloogi sirvimine ei ole iseenesest haavatavus, võib see avaldada saidi kohta teavet, mida saab omakorda kasutada turvaaukude ärakasutamiseks.

Kaust /wp-content sisaldab pistikprogramme ja teemasid ning kui häkker näeb, millised neist on installitud ja nende versiooninumbreid, võib ta potentsiaalselt turvaauke leida ja ära kasutada. See on vähem populaarne toore jõuga rünnak, mida nimetatakse toore jõuga rünnakuks. Seetõttu on ettevaatusabinõuna mõttekas kataloogi sirvimine üldse keelata.

Lahendused, mille kohta võite mujalt teada saada, kuid mida ei tohiks oma saidil rakendada

Seal on palju heade kavatsustega, kuid väga halbu turvanõuandeid. Nii et lisaks sellele nimekirjale, mida teha, panen kirja ka seda, mida mitte teha.

• Kaitske wp-admin kataloogi parooliga: ära tee seda üldse. See esineb peaaegu kõigis artiklites, mis käsitlevad toore jõu vältimist. Kataloogi wp-admin kaitsev parool katkestab registreerimata kasutajate AJAX-i, piirates juurdepääsu failile admin-ajax.php. AJAX-i kasutatakse sageli veebisaitide dünaamiliste aspektide toetamiseks. Oletame, et teie saidil on otsinguriba. Kui külastaja kasutab seda toodete otsimiseks, laaditakse uuesti ainult otsingutulemused, mitte kogu veebisait. See säästab palju ressursse ning kiirendab ja parandab oluliselt veebisaitide kasutuskogemust. Samuti näete palju lahendusi faili admin-ajax.php välistamiseks, kuid need ei tööta alati probleemideta. Lõpptulemus on see, et lahendustega kaasnevad jõupingutused ei peegelda proportsionaalset turvalisuse taset. Nii et see on tohutu samm väikese lisakasu saamiseks.
• wp sisselogimise URL-i muutmine: seda näpunäidet leiate sageli artiklitest, mis käsitlevad WordPressi turvalisuse tugevdamist. Siiski soovitan tungivalt mitte muuta sisselogimise URL-i, kuna selle kaotamise korral on seda peaaegu võimatu taastada. (kui te pole seda muidugi seifis lebavale paberile kirja pannud)
• Vältige administraatori kasutamist kasutajanimena: Kuna jõhkra jõuga robotid püüavad tõhusalt ära arvata kasutajanime/parooli kombinatsioone, on mõistlik vältida ilmseid kasutajanimesid, nagu admin. WordPress ei luba teil juhtpaneelilt kasutajanimesid muuta, seega peate selleks installima pistikprogrammi. See meede on aga piiratud väärtusega ja ma soovitan teil mitte kulutada sellele liiga palju aega ja vaeva. Teatud tüüpi saitidelt, näiteks liikmesaitidelt, kasutajanimede taastamiseks on ka teisi viise. Liikmete kordumatute kasutajanimede omamiseks, poliitika jõustamiseks ja seejärel unikaalsete kasutajanimede unustamise vältimatute tagajärgedega tegelemiseks vajalik pingutus ei ole seda piiratud kasu väärt.

Julma jõu rünnaku mõju WordPressis

Toore jõu rünnaku tagajärgedele on kaks võimalust mõelda. Esiteks, mis juhtub rünnaku ajal ja teiseks, mis juhtub, kui rünnak õnnestub.

Tavaliselt ei teki rünnakute puhul esimest küsimust sageli, kuna see mõjutab veebisaiti vähe või üldse mitte. Tagajärjed ilmnevad pärast edukat rünnakut. See ei kehti aga toore jõu rünnakute kohta.

Mis juhtub, kui teie sait on jõhkralt sunnitud?

Näete kohest mõju serveriressurssidele. Kuna rünnak pommitab teie sisselogimislehte päringutega, peab server neile kõigile vastama. Seetõttu näete oma veebisaidil kõiki suureneva serverikasutuse tagajärgi: aeglasem veebisait, mõned kasutajad ei saa sisse logida, seisakud, kättesaamatus ja nii edasi. Veebihostid piiravad ka kiiresti serveri kasutamist, kuna see mõjutab nende jõudlust, eriti kui kasutate jagatud hostimist.

Mis juhtub, kui toore jõu rünnak õnnestub?

Kui rünnak õnnestub, võib mõistlikult oodata pahavara või mingisugust korruptsiooni. On mitmeid põhjuseid, miks häkkerid soovivad teie saidile juurde pääseda, ja ükski neist pole hea.

Kui sellest ei piisa, võib teie veebisait muutuda botneti osaks ja seda kasutatakse teie nõusolekuta teiste veebisaitide ründamiseks. Sellel võivad olla tõsised tagajärjed, kuna teised turvasüsteemid märgivad teie veebisaidi pahatahtlikuks, kui see on botneti osa.

Likvideerige WordPressi iteratsiooni mõjud

Kui toore jõu rünnak õnnestus, peaksite eeldama halvimat: teie saiti on ohustatud. Seetõttu on teie esimene prioriteet saidi kaitsmine. Siin on peamised sammud, mida peaksite kahju vähendamiseks võtma:

1. Kõigi kasutajate sunniviisiline väljalogimine ja kõigi paroolide muutmine;
2. Kontrollige oma saiti viivitamatult pahavara suhtes.

Kui olete veendunud, et teie saidil pole pahavara, tehke ülaltoodud ennetusmeetmed.

Kas teie sait on haavatav toore jõu rünnakute suhtes?

Jah, kõik süsteemid on toore jõu rünnakute suhtes haavatavad. Nende tööviisi tõttu saab jõhkra jõuga rünnakuid käivitada mis tahes süsteemi vastu, millel on sisselogimisleht. WordPressi veebisaidid ei erine üksteisest. WordPressi populaarsus muudab selle häkkerite sihtmärgiks.

• Esiteks on see sellepärast, et enamikku Internetist toidab WordPress.
• Teiseks sellepärast, et mõned WordPressi aspektid on hästi teada.

Toorjõu rünnakute puhul eriti asjakohases näites ei piira WordPress kehtetuid sisselogimiskatseid. Saate selle parandada turvapluginatega sisselogimispiirangu funktsiooniga.

Samuti kipuvad paljud saidiomanikud kasutama kasutajanimesid ja paroole, mida on lihtne meeles pidada. Levinud on kasutajanimeks admin ja parooliks parool1234 või 12345678. Need tegurid muudavad teie saidi toore jõu rünnakute suhtes haavatavaks.

Toore jõu rünnakute tüübid

Toore jõu rünnakud erinevad muud tüüpi ähvardustest ja rünnakutest, nagu sotsiaalse manipuleerimise rünnakud või XSS-i rünnakud. Sotsiaalse manipuleerimise rünnakud, nagu andmepüük, manipuleerivad inimesi oma mandaate jagama, esinedes usaldusväärse isikuna, samas kui XSS-i rünnakud kasutavad veebisaidi turvaauke. Toore jõu rünnakud sõltuvad nõrkadest või varastatud volikirjadest.

Looduses näete mitmesuguseid toore jõu rünnakuid. Nad kõik järgivad sama katse-eksituse mustrit, kuid nende proovitavad mandaadid või kasutatav mehhanism võivad erineda. Siin on mõned kõige levinumad toore jõu rünnakute tüübid:

• Lihtsad rünnakud: lihtsad jõhkra jõuga rünnakud kasutavad loogikat, et arvata ära mandaadid, mis põhinevad nende teadmistel kasutaja kohta, näiteks lemmikloomade nimed või sünnipäevad, mis on saadud näiteks suhtlusvõrgustikest.
• Volikirjade täitmine: seda tüüpi rünnak kasutab häkitud andmeid, lähtudes eeldusest, et kasutajad kipuvad kasutama samu kasutajanimesid ja paroole mitmes süsteemis.
• sõnaraamatu rünnak: Nagu nimigi ütleb, kasutavad need robotid paroolide jaoks sõnaraamatufaile. See võib olla tõeline sõnastik või spetsiaalselt parooli äraarvamiseks loodud sõnastik.
• Vikerkaarelaua rünnakud: Sarnaselt sõnaraamaturünnakuga on ka vikerkaaretabel sõnaraamatuloendi eriliik. Paroolide loendi asemel sisaldab vikerkaaretabel räsitud paroolide loendit.
• Parooli pihustamine: Seda tüüpi rünnak on loogiliselt toore jõuga rünnak. Tüüpiliste jõhkra jõu rünnakute puhul on sihtmärgiks konkreetne kasutajanimi ja äraarvamismängu mängitakse parooliga. Seevastu paroolide pritsimisel võrreldakse paroolide loendit mitme kasutajanimega, et leida võimalikku vastet. See on rohkem hajutatud rünnak kui sihitud rünnak.

Saidi administraatorina ei pruugi teil olla vaja teada eri tüüpi jõhkra jõu rünnakute erinevusi. Neid termineid kasutatakse aga sageli vaheldumisi, seega on kasulik mõista nende aluseks olevaid mehhanisme.

Muud turvalisuse parimad tavad

WordPressi jõhkrate jõurünnakute ärahoidmine on suurepärane eesmärk, kuid see on vaid osa veebisaidi turvalisusest. Siin on mõned parimad näpunäited saidi kaitsmiseks pahavara eest.

1. Installige turvaplugin koos hea pahavara skanneri ja puhastiga;
2. Hoidke kõike ajakohasena (teema, pistikprogrammid, wp);
3. Kasutage igapäevaseid varukoopiaid.

Väljund

Jõhkra jõuga rünnakud võivad veebisaidi hävitada isegi siis, kui need ei ole edukad. Parim viis selle võimaliku ohuga toimetulemiseks on paigaldada sisseehitatud robotikaitsega tulemüür.

Isegi kui toore jõuga rünnak õnnestub, aitab tulemüür kiiresti pahavara tuvastada ja selle eemaldada. Nagu kõigi infektsioonide puhul, piirab kiire tegutsemine kahju oluliselt.

Seda artiklit lugedes:

• Kuidas riiki WordPressis blokeerida?
• WordPressi SQL-i süstimine: täielik kaitsmise juhend

Täname lugemise eest: SEO HELPER | NICOLA.TOP