Как защитить свой сайт от брутфорс атак WordPress?

Брутфорс (от англ. brute force — грубая сила).

Брутфорс атаки или (brute force attack) WordPress подавляют даже до того, как атака будет успешной. Многие администраторы сайтов наблюдают, как ресурсы их серверов быстро истощаются, их сайты перестают отвечать на запросы или даже полностью выходят из строя, что приводит к блокировке реальных пользователей. Проблема в том, что вы можете чувствовать себя беспомощным, когда боты brute force забивают страницу входа, пытаясь добраться до вашего wp-admin.

Но вы не беспомощны. Если вы видите несколько неудачных попыток входа в систему для одного пользователя, возможно, с нескольких IP-адресов, вы попали по адресу. В этой статье я расскажу, как выглядит брутфорс атака (brute force attack) WordPress и как защитить от нее ваш сайт.

Что такое брутфорс атака (brute force attack) WordPress?

Brute-force атака полным перебором – метод решения математических задач.

Брутфорс атаки WordPress — это попытки получить несанкционированный доступ к вашему wp-admin, пробуя различные комбинации имен пользователей и паролей. Хакеры разработали ботов, которые методом проб и ошибок непрерывно бомбардируют страницу входа учетными данными.

Пример брутфорс атаки на сайт, ip, гео локация.

Часто боты пробуют серию паролей из словаря и поэтому также известны как атаки по словарю или атаки с подбором пароля. Атаки могут быть настроены так, чтобы они исходили с разных IP-адресов и, таким образом, обходили основные меры безопасности. Существуют и другие типы брутфорс атак, о которых я расскажу позже в статье.

Цель брутфорс атаки (brute force attack) — получить доступ к вашему wp-admin, а затем, как правило, установить вредоносное ПО на ваш сайт.

Как защитить свой сайт от брутфорс-атак WordPress?

Испытать брутфорс атаку страшно, особенно потому, что кажется, что вы ничего не можете сделать, чтобы остановить ее. Кроме того, эффекты атаки видны сразу. Большинство сайтов имеют ограниченные серверные ресурсы, которые быстро расходуются, и часто атакуемый сайт полностью выходит из строя.

К счастью, вы можете многое сделать, чтобы предотвратить брутфорс атаки в WordPress. Вот список шагов защиты WordPress от перебора, которые заблокируют большинство атак и смягчат наихудшие последствия.

1. Ограничьте количество попыток входа

Лучший способ остановить брутфорс атаки на WordPress — ограничить количество попыток входа в систему. Если на странице входа слишком много раз вводится неправильный пароль, учетная запись временно блокируется. Это блокирует эффективность бота перебора, поскольку он использует метод проб и ошибок для подбора учетных данных. Кроме того, поскольку бот не может перепробовать несколько тысяч комбинаций, запросы на сервер не отправляются, а ресурсы на активность бота не расходуются.

По умолчанию WordPress разрешает неограниченное количество попыток входа в систему, поэтому он в первую очередь подвержен атакам методом перебора. С помощью плагинов безопасности, можно автоматически активировать ограничения защиты входа в систему. На самом деле, если пользователь на законных основаниях забыл свой пароль, он может решить капчу, чтобы легко обойти блокировку. Таким образом, ограничение попыток входа в систему препятствует проникновению ботов с полным перебором, не оказывая негативного влияния на реальных пользователей.

Остановка брутфорс атаки на сайт.

2. Блокируйте плохих и нежелательных ботов

Брутфорс атаки почти всегда выполняются ботами. Боты — это небольшие программы, предназначенные для многократного выполнения простой задачи, поэтому они идеально подходят для атак методом brute force. Бот будет пробовать ряд учетных данных на странице входа, пока не найдет совпадение.

Кроме того, более 25% всего трафика веб-сайтов приходится на ботов, поэтому существует множество систем безопасности, которые защищают от ботов. Однако здесь следует сделать важное различие: все боты неплохи. Есть хорошие, такие как другие сканеры поисковых систем и боты для мониторинга времени безотказной работы. Вы же хотите, чтобы у них был доступ к вашему сайту, поэтому важно получить защиту от ботов, которая интеллектуально блокирует только плохих и нежелательных ботов. Существуют много плагинов для защиты от ботов, такие как All In One WP Security и Wordfence Security, но по умолчанию они блокируют всех ботов, включая Googlebot.

Блокировка плохих и нежелательный ботов.

3. Установите брандмауэр веб-приложения

Защита входа — это защита от атак методом brute force, тогда как брандмауэр — это защита от всех видов атак; в том числе и брутфорс.

Брандмауэры используют правила для блокировки вредоносного трафика и многое делают для защиты вашего веб-сайта. Кроме того, брандмауэры уменьшают одну из самых серьезных проблем атак методом brute force — чрезмерную нагрузку на ресурсы сервера — путем блокировки повторяющихся неверных запросов.

Брутфорс атаки часто настраиваются для атаки с разных IP-адресов и поэтому могут обходить большинство брандмауэров. Однако с брандмауэром ваш веб-сайт становится частью глобальной защиты интеллектуальной собственности. Брандмауэр узнает, какие IP-адреса являются вредоносными, на основе поведения, зарегистрированного на более чем 153 470 сайтов, и активно блокирует трафик с них. Эти меры в первую очередь значительно уменьшают количество плохого трафика на ваш сайт, прежде чем бот даже сможет взломать страницу входа на ваш сайт.

4. Добавьте двухфакторную аутентификацию в WordPress

Имена пользователей и пароли могут быть угаданы, поэтому двухфакторная аутентификация — или даже многофакторная аутентификация — появилась как способ иметь динамические элементы для аутентификации пользователей. При двухфакторной аутентификации токен для входа в режиме реального времени, такой как OTP или QR-код, передается на устройство пользователя. Он имеет ограниченный срок действия, обычно около 10-15 минут, и может аутентифицировать пользователя только для этого сеанса.

WP 2ФА - двухфакторная аутентификация пользователя.
Дополнительный токен сложно взломать помимо логина и пароля. Таким образом, он добавляет еще один уровень безопасности на страницу входа. Вы можете установить плагин, такой как WP 2FA, чтобы легко добавить двухфакторную аутентификацию на свой сайт.

5. Используйте надежные и уникальные пароли

Самый большой недостаток в безопасности — это сам пользователь и, соответственно, установленные им пароли. Пароли являются самой большой уязвимостью в любой системе безопасности из-за (понятной) человеческой склонности устанавливать легко запоминающиеся пароли и повторно использовать их для разных учетных записей. На самом деле это две отдельные и разные проблемы с паролями.

— Во-первых, никогда не используйте пароли повторно для разных учетных записей. Многие боты для перебора используют украденные пароли из-за утечки данных для атаки на страницы входа.

— Во-вторых, как вы понимаете, такой пароль, как «пароль», очень легко угадать. Используйте минимум 12 символов тарабарщины или, что еще лучше, используйте кодовую фразу в качестве пароля.

Надежный пароль, сложный - который не возможно взломать.

Я рекомендую использовать менеджер паролей, такой как LastPass или 1Password, чтобы избежать повторного использования паролей и создавать надежные пароли по мере необходимости. Если вы подозреваете, что учетная запись была скомпрометирована, вы можете принудительно сбросить все пароли.

6. Отключить XML-RPC в WordPress

Файл XML-RPC — это еще один способ аутентификации пользователей. Другими словами, это альтернативный способ получить доступ к вашей панели администратора, поэтому он также подвержен атакам методом брутфорс. Это в значительной степени устаревший файл, который не используется активно многими плагинами или темами. Он по-прежнему включен в WordPress для обратной совместимости, и поэтому его относительно безопасно отключать.

7. Регулярно проверяйте и удаляйте неиспользуемые учетные записи пользователей

Неактивные учетные записи часто становятся мишенью для хакеров, потому что есть вероятность, что пользователи не заметят, если их учетные записи будут взломаны. Кроме того, бездействующие учетные записи имеют одни и те же пароли в течение длительного периода времени, что упрощает их подбор.

Поэтому регулярно проверяйте учетные записи пользователей и удаляйте те, которые не используются активно. Чтобы получить дополнительные баллы, убедитесь, что каждая учетная запись имеет минимальные права пользователя, необходимые для управления своей учетной записью. Например, безрассудно делать всех администраторами.

8. Рассмотрите возможность геоблокировки в WordPress

Если вы видите много трафика ботов из одного места, вы можете заблокировать всю страну. Однако я советую соблюдать осторожность при использовании геоблокировки. Это полезно только в том случае, если вы вообще не ожидаете каких-либо законных пользователей из этого места.

Кроме того, имейте в виду, что он может удерживать хороших ботов из этого региона. Например, Googlebot может работать с любого из своих серверов в мире, и вы определенно хотите, чтобы Googlebot получил доступ к вашему сайту.

9. Отключить просмотр каталогов

По умолчанию большинство основных папок и файлов WordPress открыто доступны через браузер. Например, вы можете ввести yourwebsite.ru/wp-includes в адресную строку браузера, и все содержимое папки будет сразу видно.

Хотя просмотр каталогов сам по себе не является уязвимостью, он может раскрыть информацию о сайте, которая, в свою очередь, может быть использована для использования уязвимостей. В папке /wp-content находятся плагины и темы, и если хакер сможет увидеть, какие из них установлены, и номера их версий, он потенциально может найти и использовать уязвимости. Это менее популярный тип атаки методом брутфорс, называемый методом полного перебора каталогов. Поэтому в качестве меры предосторожности имеет смысл вообще отключить просмотр каталогов.

Решения, о которых вы можете узнать в другом месте, но не должны осуществлять на своем сайте

Существует множество благонамеренных, но очень плохих советов по безопасности. Итак, в дополнение к этому списку того, что нужно делать, я также перечислю то, чего не следует делать.

  • Защитите каталог wp-admin паролем: не делайте этого вообще. Он появляется практически в каждой статье о предотвращении брутфорс. Пароль, защищающий каталог wp-admin, сломает AJAX для незарегистрированных пользователей, ограничив доступ к файлу admin-ajax.php. AJAX часто используется для поддержки динамических аспектов веб-сайтов. Предположим, на вашем сайте есть панель поиска. Если посетитель использует его для поиска продуктов, перезагрузятся только результаты поиска, а не весь веб-сайт. Это значительно экономит ресурсы и значительно ускоряет и улучшает работу пользователей с веб-сайтами. Вы также увидите множество обходных путей для исключения файла admin-ajax.php, но они не всегда работают без проблем. Суть в том, что усилия, которые влекут за собой обходные пути, не отражают соизмеримого уровня безопасности. Поэтому это огромный шаг для небольшой дополнительной выгоды.
  • Изменение URL-адреса для входа в wp: этот совет часто встречается в статьях по укреплению безопасности WordPress. Однако я настоятельно не рекомендуем изменять URL-адрес для входа, поскольку его практически невозможно восстановить, если он будет утерян. (если конечно он у вас не записан, на листочке лежащем в сейфе)
  • Избегайте использования admin в качестве имени пользователя: поскольку боты для грубой силы эффективно пытаются угадать комбинации имени пользователя и пароля, есть смысл избегать таких очевидных имен пользователей, как admin. WordPress не позволяет изменять имена пользователей с панели управления, поэтому для этого вам потребуется установить плагин. Однако эта мера имеет ограниченное значение, и я советую не тратить на нее слишком много времени и усилий. Существуют и другие способы восстановления имен пользователей с определенных типов сайтов, например, членских. Усилия, необходимые для того, чтобы иметь уникальные имена пользователей для участников, обеспечивать соблюдение политики, а затем иметь дело с неизбежными последствиями, когда люди забывают свои уникальные имена пользователей, не стоят ограниченного полезного эффекта.

Влияние атаки грубой силы в WordPress

Есть два способа думать о последствиях брутфорс атаки. Во-первых, что происходит во время атаки, а во-вторых, что происходит, если атака успешна.

Как правило, при атаках первый вопрос возникает не часто, потому что воздействие на веб-сайт практически отсутствует, так как он подвергается атаке. Последствия становятся очевидными после успешной атаки. Однако это не относится к brute force атаке.

Что происходит, когда ваш сайт подвергается брутфорсу?

Вы увидите немедленное влияние на ресурсы сервера. Поскольку атака бомбардирует вашу страницу входа запросами, сервер должен отвечать на каждый из них. Поэтому вы увидите все последствия увеличения использования сервера на своем веб-сайте: более медленный веб-сайт, некоторые пользователи не могут войти в систему, время простоя, недоступность и так далее. Веб-хосты также быстро ограничивают использование серверов, поскольку это повлияет на их показатели, особенно если вы используете виртуальный хостинг.

Что произойдет, если брутфорс атака пройдет успешно?

Если атака прошла успешно, вы можете обоснованно ожидать появления вредоносного ПО или какого-либо искажения. Есть несколько причин, по которым хакеры хотят получить доступ к вашему сайту, и ни одна из них не является хорошей.

Если этого недостаточно, ваш веб-сайт может стать частью ботнета и использоваться для атак на другие веб-сайты без вашего согласия. Это может иметь серьезные последствия, поскольку другие системы безопасности помечают ваш веб-сайт как вредоносный, если он является частью ботнета.

Устранение последствий перебора WordPress

Если брутфорс атака была успешной, вы должны предполагать худшее: ваш сайт был скомпрометирован. Поэтому ваша первоочередная задача — защитить свой сайт. Вот основные шаги, которые вы должны предпринять, чтобы ограничить ущерб:

— Принудительно выйти из системы всех пользователей и изменить все пароли;
— Немедленно просканируйте свой сайт на наличие вредоносных программ.

Как только вы убедитесь, что ваш сайт не содержит вредоносных программ, примите меры по предотвращению, перечисленные выше.

Подвержен ли ваш сайт брутфорс атакам?

Да, все системы уязвимы для брутфорс атак. Из-за того, как они работают, атаки грубой силы могут быть запущены против любой системы со страницей входа. Веб-сайты WordPress ничем не отличаются. Популярность WordPress делает его мишенью для хакеров.

— Во-первых, это потому, что большая часть Интернета работает на WordPress.
— Во-вторых, потому что некоторые аспекты WordPress хорошо известны.

В примере, особенно актуальном для атак методом брутфорс, WordPress не ограничивает неправильные попытки входа в систему. Вы можете исправить это с помощью функции ограничения входа в систему с помощью плагинов безопасности.

Кроме того, многие владельцы сайтов склонны использовать имена пользователей и пароли, которые легко запомнить. Общие включают admin в качестве имени пользователя и password1234 или 12345678 в качестве пароля. Эти факторы делают ваш сайт уязвимым для брутфорс атак.

Типы брутфорс атак (brute force attack)

Брутфорс атаки отличаются от других типов угроз и атак, таких как атаки социальной инженерии или XSS-атаки. Атаки социальной инженерии, такие как фишинг, манипулируют людьми, заставляя их делиться своими учетными данными, выдавая себя за доверенное лицо, тогда как атаки XSS используют уязвимости на веб-сайте. Брутфорс атаки для успеха полагаются на слабые или украденные учетные данные.

Вы увидите несколько разновидностей брутфорс атак в дикой природе. Все они следуют одной и той же схеме проб и ошибок, но учетные данные, которые они пробуют, или используемый ими механизм могут различаться. Вот несколько наиболее распространенных типов брутфорс атак:

  • Простые атаки: Простые атаки методом брутфорс используют логику для угадывания учетных данных на основе их знаний о пользователе, таких как имена домашних животных или дни рождения, полученные, например, с сайтов социальных сетей.
  • Заполнение учетных данных: этот тип атаки использует данные, полученные в результате взлома, исходя из предположения, что пользователи склонны использовать одни и те же имена пользователей и пароли в нескольких системах.
  • Атака по словарю: как следует из названия, эти боты используют файлы словарей для паролей. Это может быть настоящий словарь или специально созданный для подбора пароля.
  • Атаки по радужным таблицам: Подобно атаке по словарю, радужная таблица представляет собой особый вид словарного списка. Вместо списка паролей радужная таблица содержит список хешированных паролей.
  • Распыление пароля: этот тип атаки логически является атакой методом обратного перебора. В типичных брутфорс атаках целью является конкретное имя пользователя, и игра в угадайку ведется с паролем. И наоборот, при распылении паролей список паролей проверяется для нескольких имен пользователей, чтобы найти потенциальное совпадение. Это более распределенная атака, чем таргетированная.

Как администратор сайта, вам может не понадобиться знать различия между различными типами брутфорс атак. Однако эти термины часто используются взаимозаменяемо, поэтому полезно иметь представление об основных механизмах.

Другие передовые методы обеспечения безопасности

Предотвращение брутфорс атак в WordPress — замечательная цель, но это только часть безопасности веб-сайта. Вот несколько главных рекомендаций, которые помогут защитить ваш сайт от вредоносных программ:

— Установите плагин безопасности с хорошим сканером вредоносных программ и очистителем;
— Держите все в обновленных состояниях (тему, плагины, wp);
— Используйте ежедневное резервное копирование.

Вывод

Брутфорс атаки (brute force attack) могут вывести веб-сайт из строя, даже если они не увенчались успехом. Лучший способ справиться с этой потенциальной угрозой — установить брандмауэр со встроенной защитой от ботов.

Даже если атака полным перебором прошла успешно, брандмауэр поможет вам быстро обнаружить вредоносное ПО и удалить его. Как и в случае со всеми инфекциями, быстрые действия значительно ограничивают ущерб.

Спасибо, что читаешь Nicola Top

Добавить комментарий

Ваш адрес email не будет опубликован.