Сайтты WordPress шабуылынан қалай қорғауға болады?

Бұл мақаланы тыңдаңыз

Қауіпті күш шабуылы немесе (қатал күш шабуылы) WordPress шабуыл сәтті болғанға дейін басылады. Көптеген сайт әкімшілері сервер ресурстарының тез таусылатынын көреді, олардың сайттары жауап бермейді немесе тіпті толығымен бұзылады, нәтижесінде нақты пайдаланушыларға тыйым салынады. Мәселе мынада, қатал күш боттары wp-admin-ге кіруге тырысқанда кіру бетін жауып тастаған кезде өзіңізді дәрменсіз сезінесіз.

Бірақ сен дәрменсіз емессің. Бір пайдаланушы үшін, мүмкін бірнеше IP мекенжайларынан, бірнеше сәтсіз кіру әрекеттерін көріп жатсаңыз, сіз дұрыс жерге келдіңіз. Бұл мақалада мен WordPress шабуылының қалай көрінетінін және сайтты одан қалай қорғау керектігін түсіндіремін.

Мақаланың мазмұны:

• WordPress дөрекі күш шабуылы дегеніміз не?
• Сайтты WordPress шабуылынан қалай қорғауға болады?
• WordPress-тегі дөрекі күш шабуылының әсері
• WordPress итерациясының әсерін жойыңыз
• Сіздің сайтыңыз дөрекі күштердің шабуылдарына осал ма?
• Дөрекі күшпен шабуылдардың түрлері
• Басқа қауіпсіздіктің ең жақсы тәжірибелері
• Шығару

WordPress дөрекі күш шабуылы дегеніміз не?

WordPress-ке дөрекі күш шабуылы пайдаланушы аттары мен құпия сөздердің әртүрлі тіркесімін қолданып көру арқылы wp-admin жүйесіне рұқсатсыз кіру әрекеттері. Хакерлер сынақ және қате арқылы кіру бетін тіркелгі деректерімен үздіксіз бомбалайтын боттарды әзірледі.

Боттар сөздік құпия сөздерінің сериясын жиі қолданады, сондықтан сөздік шабуылдары немесе құпия сөзді болжау шабуылдары ретінде де белгілі. Шабуылдар әртүрлі IP мекенжайларынан туындайтын және осылайша негізгі қауіпсіздік шараларын айналып өтетін етіп конфигурациялануы мүмкін. Дөрекі күштердің шабуылдарының басқа түрлері бар, мен оларды кейінірек мақалада талқылаймын.

Дөрекі күш шабуылының мақсаты - wp-admin-ге қол жеткізу, содан кейін әдетте сайтыңызға зиянды бағдарламаны орнату.

Сайтты WordPress шабуылынан қалай қорғауға болады?

Дөрекі күшпен шабуыл жасау қорқынышты, әсіресе оны тоқтату үшін ештеңе істей алмайтын сияқты. Сонымен қатар, шабуылдың салдары бірден көрінеді. Көптеген сайттарда жылдам пайдаланатын шектеулі сервер ресурстары бар және көбінесе шабуылға ұшыраған сайт толығымен жойылады.

Бақытымызға орай, WordPress шабуылдарының алдын алу үшін сіз көп нәрсені жасай аласыз. Мұнда көптеген шабуылдарды блоктайтын және ең нашарларын азайтатын WordPress дөрекі күш қадамдарының тізімі берілген.

1. Жүйеге кіру әрекеттерінің санын шектеңіз

WordPress шабуылын тоқтатудың ең жақсы жолы - кіру әрекеттерінің санын шектеу. Кіру бетінде қате құпия сөз тым көп енгізілсе, есептік жазба уақытша құлыпталады. Бұл дөрекі күш ботының тиімділігін блоктайды, себебі ол тіркелгі деректерін анықтау үшін сынақ және қателерді пайдаланады. Сонымен қатар, бот бірнеше мың комбинацияларды сынап көре алмайтындықтан, серверге ешқандай сұрау жіберілмейді және бот әрекетіне ешқандай ресурстар жұмсалмайды.

Әдепкі бойынша, WordPress кіру әрекеттерінің шектеусіз санына мүмкіндік береді, сондықтан ол бірінші кезекте дөрекі күш шабуылдарына сезімтал. Қауіпсіздік плагиндері арқылы кіруді қорғау шектеулерін автоматты түрде белсендіруге болады.

Шын мәнінде, егер пайдаланушы өзінің құпия сөзін заңды түрде ұмытып қалса, олар құлыпты оңай айналып өту үшін captcha шеше алады. Осылайша, кіру әрекеттерін шектеу дөрекі күш боттарының нақты пайдаланушыларға теріс әсер етпей енуіне жол бермейді.

2. Жаман және қажетсіз боттарды блоктау

Дөрекі күш шабуылдарын әрқашан дерлік боттар жасайды. Боттар - қарапайым тапсырманы қайта-қайта орындауға арналған шағын бағдарламалар, бұл оларды дөрекі күш шабуылдары үшін тамаша етеді. Бот сәйкестікті тапқанша кіру бетінде бірнеше тіркелгі деректерін қолданып көреді.

Сонымен қатар, барлық веб-сайт трафигінің 25% астамы боттардан келеді, сондықтан боттардан қорғайтын көптеген қауіпсіздік жүйелері бар. Дегенмен, бұл жерде маңызды айырмашылық бар: барлық боттар жаман емес. Басқа іздеу жүйесінің тексеріп шығушылары және жұмыс уақытын бақылау боттары сияқты жақсылары бар.

Сіз олардың сайтыңызға кіре алатынын қалайсыз, сондықтан тек нашар және қажетсіз боттарды ақылды түрде блоктайтын боттан қорғауды алу маңызды. All In One WP Security және Wordfence Security сияқты көптеген анти-бот плагиндері бар, бірақ олар әдепкі бойынша барлық боттарды, соның ішінде Googlebot-ты блоктайды.

3. Веб қолданбасының брандмауэрін орнатыңыз

Жүйеге кіруді қорғау дөрекі күш шабуылдарынан қорғау болып табылады, ал брандмауэр барлық шабуылдардан қорғау болып табылады; оның ішінде дөрекі күш.

Брандмауэр зиянды трафикті блоктау үшін ережелерді пайдаланады және веб-сайтыңызды қорғау үшін көп нәрсе жасайды. Сонымен қатар, брандмауэрлер қайталанатын нашар сұрауларды блоктау арқылы дөрекі күш шабуылдарының ең маңызды мәселелерінің бірін - сервер ресурстарының шамадан тыс жүктемесін азайтады.

Күшті шабуылдар көбінесе бірнеше IP мекенжайларынан шабуыл жасау үшін конфигурацияланады және сондықтан көптеген желіаралық қалқандарды айналып өтуі мүмкін. Дегенмен, брандмауэр арқылы веб-сайтыңыз жаһандық зияткерлік меншікті қорғаудың бір бөлігі болады. Брандмауэр 153 470-ден астам веб-сайтта тіркелген әрекеттер негізінде қандай IP мекенжайларының зиянды екенін біледі және олардан келетін трафикті белсенді түрде блоктайды. Бұл шаралар, ең алдымен, бот сіздің сайтыңыздың кіру бетін бұзып алмас бұрын, сіздің сайтыңызға келетін нашар трафикті айтарлықтай азайтады.

4. WordPress-ке екі факторлы аутентификацияны қосыңыз

Пайдаланушы аттары мен құпия сөздерді болжауға болады, сондықтан екі факторлы аутентификация — тіпті көп факторлы аутентификация — пайдаланушы аутентификациясы үшін динамикалық элементтерге ие болу тәсілі ретінде пайда болды. Екі факторлы аутентификация кезінде OTP немесе QR коды сияқты нақты уақыттағы кіру таңбалауышы пайдаланушының құрылғысына тасымалданады. Оның шектеулі қызмет ету мерзімі бар, әдетте шамамен 10-15 минут және тек сол сеанс үшін пайдаланушыны аутентификациялай алады.

Логин мен парольден басқа қосымша токенді бұзу қиын. Осылайша ол кіру бетіне қауіпсіздіктің тағы бір қабатын қосады. Сайтыңызға екі факторлы аутентификацияны оңай қосу үшін WP 2FA сияқты плагинді орнатуға болады.

5. Күшті және бірегей құпия сөздерді пайдаланыңыз

Қауіпсіздіктің ең үлкен кемшілігі - пайдаланушының өзі және сәйкесінше ол орнатқан құпия сөздер. Құпия сөздер адамның есте сақтауға оңай құпия сөздерді орнатуға және оларды әртүрлі тіркелгілер үшін қайта пайдалануға (түсінікті) бейімділігіне байланысты кез келген қауіпсіздік жүйесіндегі ең үлкен осалдық болып табылады. Бұл шын мәнінде екі бөлек және әртүрлі құпия сөз мәселесі.

- Біріншіден, әртүрлі есептік жазбалар үшін құпия сөздерді ешқашан қайта қолданбаңыз. Көптеген өрескел күш боттары кіру парақтарына шабуыл жасау үшін деректердің ағып кетуіне байланысты ұрланған құпия сөздерді пайдаланады.

– Екіншіден, сіз түсінгендей, «пароль» сияқты құпия сөзді табу өте оңай. Кемінде 12 сөзсіз таңбаны пайдаланыңыз немесе одан да жақсысы құпия сөз ретінде құпия сөзді пайдаланыңыз.

Құпия сөзді қайта пайдалануды болдырмау және қажет болған жағдайда күшті құпия сөздерді жасау үшін LastPass немесе 1Password сияқты құпия сөз реттеушісін пайдалануды ұсынамын. Есептік жазбаға қауіп төнді деп күдіктенсеңіз, барлық құпия сөздерді күштеп қалпына келтіруге болады.

6. WordPress жүйесінде XML-RPC өшіріңіз

XML-RPC файлы пайдаланушыларды аутентификациялаудың тағы бір жолы болып табылады. Басқаша айтқанда, бұл әкімші панеліне қол жеткізудің балама жолы, сондықтан ол қатал шабуылдарға да бейім. Бұл көптеген плагиндер немесе тақырыптар белсенді пайдаланбайтын ескірген файл. Ол әлі де кері үйлесімділік үшін WordPress жүйесіне енгізілген, сондықтан оны өшіру салыстырмалы түрде қауіпсіз.

7. Пайдаланылмаған пайдаланушы тіркелгілерін үнемі тексеріп, жойыңыз

Белсенді емес тіркелгілер көбінесе хакерлердің шабуылына ұшырайды, себебі пайдаланушылар тіркелгілері бұзылғанын байқамай қалуы мүмкін. Сондай-ақ, әрекетсіз тіркелгілерде ұзақ уақыт бойы бірдей құпиясөздер болады, бұл оларды дөрекі күшпен қолдануды жеңілдетеді.

Сондықтан пайдаланушы тіркелгілерін үнемі тексеріп, белсенді пайдаланылмайтындарын жойыңыз. Қосымша ұпайлар алу үшін әрбір тіркелгінің есептік жазбасын басқаруға қажетті ең аз пайдаланушы құқықтары бар екеніне көз жеткізіңіз. Мысалы, барлығын әкімші ету – әбестік.

8. WordPress-те геоблоктауды қарастырыңыз

Егер сіз бір жерден көп бот трафигін көрсеңіз, бүкіл елді блоктай аласыз. Дегенмен, мен геоблоктауды қолданғанда сақ болуға кеңес беремін. Бұл орыннан заңды пайдаланушыларды мүлдем күтпесеңіз ғана пайдалы.

Сондай-ақ, ол жақсы боттарды сол аймақтан сақтай алатынын есте сақтаңыз. Мысалы, Googlebot әлемдегі кез келген серверден жұмыс істей алады және сіз Googlebot-тің сайтыңызға кіруін қалайсыз.

9. Каталогтарды шолуды өшіріңіз

Әдепкі бойынша, WordPress негізгі қалталары мен файлдарының көпшілігі шолғыш арқылы жалпыға қолжетімді. Мысалы, браузеріңіздің мекенжай жолына yourwebsite.ru/wp-includes енгізе аласыз, сонда қалтаның барлық мазмұны бірден көрінеді.

Каталогтарды шолу өздігінен осалдық болмаса да, ол сайт туралы ақпаратты аша алады, бұл өз кезегінде осалдықтарды пайдалану үшін пайдаланылуы мүмкін.

/wp-content қалтасында плагиндер мен тақырыптар бар және егер хакер олардың қайсысы орнатылғанын және олардың нұсқа нөмірлерін көре алса, олар осалдықтарды тауып, пайдалана алады. Бұл дөрекі күш шабуылы деп аталатын аса танымал емес шабуыл түрі. Сондықтан, сақтық шарасы ретінде каталогтарды қарауды мүлдем өшіру мағынасы бар.

Басқа жерден білуге болатын, бірақ сайтыңызда енгізбеуіңіз керек шешімдер

Онда көптеген жақсы ниет, бірақ өте нашар қауіпсіздік кеңестері бар. Сонымен, не істеу керектігі туралы осы тізімнен басқа, мен не істеуге болмайтынын да тізімдеймін.

• wp-admin каталогын құпия сөзбен қорғаңыз: мүлде жасама. Ол дөрекі күштің алдын алу туралы әрбір дерлік мақалада кездеседі. wp-admin каталогын қорғайтын құпия сөз admin-ajax.php файлына кіруді шектеу арқылы тіркелмеген пайдаланушылар үшін AJAX жүйесін бұзады. AJAX көбінесе веб-сайттардың динамикалық аспектілерін қолдау үшін қолданылады. Сіздің сайтыңызда іздеу жолағы бар делік. Егер келуші оны өнімдерді іздеу үшін пайдаланса, бүкіл веб-сайтты емес, тек іздеу нәтижелері қайта жүктеледі. Бұл көптеген ресурстарды үнемдейді және веб-сайттардың пайдаланушы тәжірибесін айтарлықтай жылдамдатады және жақсартады. Сондай-ақ admin-ajax.php файлын алып тастау үшін көптеген уақытша шешімдерді көресіз, бірақ олар әрқашан қиындықсыз жұмыс істей бермейді. Түпнұсқа мынада: уақытша шешімдерді талап ететін күш-жігер қауіпсіздіктің сәйкес деңгейін көрсетпейді. Сондықтан бұл қосымша пайда үшін үлкен қадам.
• wp кіру URL мекенжайын өзгерту: Бұл кеңес WordPress қауіпсіздігін күшейту туралы мақалаларда жиі кездеседі. Дегенмен, мен кіру URL мекенжайын өзгертуге кеңес беремін, себебі ол жоғалған жағдайда оны қалпына келтіру мүмкін емес. (әрине, егер сіз оны сейфте жатқан қағазға жазып алмасаңыз)
• Пайдаланушы аты ретінде әкімші пайдаланудан аулақ болыңыз: Қауіпсіз күш боттары пайдаланушы аты/құпия сөз тіркесімдерін тиімді табуға тырысатындықтан, әкімші сияқты анық пайдаланушы атын қолданбаған жөн. WordPress басқару тақтасынан пайдаланушы атын өзгертуге мүмкіндік бермейді, сондықтан ол үшін плагинді орнату қажет. Дегенмен, бұл шараның құндылығы шектеулі, мен сізге көп уақыт пен күш жұмсамауға кеңес беремін. Мүшелік сайттар сияқты белгілі бір сайт түрлерінен пайдаланушы атын қалпына келтірудің басқа жолдары бар. Мүшелер үшін бірегей пайдаланушы аттары болуы, саясатты орындау, содан кейін адамдардың бірегей пайдаланушы атын ұмытып кетуінің болмай қоймайтын салдарын шешу үшін талап етілетін күш шектеулі пайдаға тұрарлық емес.

WordPress-тегі дөрекі күш шабуылының әсері

Дөрекі шабуылдың салдары туралы ойлаудың екі жолы бар. Біріншіден, шабуыл кезінде не болады, екіншіден, шабуыл сәтті болса не болады.

Әдетте, бірінші сұрақ шабуылдарда жиі туындамайды, себебі ол шабуылға ұшырағандықтан веб-сайтқа әсер ету аз немесе мүлдем болмайды. Салдары сәтті шабуылдан кейін көрінеді. Дегенмен, бұл дөрекі күшпен жасалған шабуылдарға қолданылмайды.

Сайтыңыз дөрекі түрде қолданылғанда не болады?

Сіз сервер ресурстарына бірден әсер ететінін көресіз. Шабуыл сіздің кіру бетіңізді сұраулармен бомбалағандықтан, сервер олардың әрқайсысына жауап беруі керек. Сондықтан, сіз өзіңіздің веб-сайтыңызда серверді пайдалануды арттырудың барлық салдарын көресіз: веб-сайттың баяулауы, кейбір пайдаланушылар жүйеге кіре алмайды, бос уақыт, қол жетімсіздік және т.б. Веб-хосттар серверді пайдалануды тез шектейді, себебі бұл олардың өнімділігіне әсер етеді, әсіресе ортақ хостингті пайдалансаңыз.

Дөрекі күшпен шабуыл сәтті болса не болады?

Егер шабуыл сәтті болса, зиянды бағдарламаны немесе қандай да бір сыбайлас жемқорлықты күтуге болады. Хакерлердің сіздің сайтыңызға кіруге бірнеше себептері бар және олардың ешқайсысы жақсы емес.

Бұл жеткіліксіз болса, сіздің веб-сайтыңыз ботнеттің бір бөлігі болуы мүмкін және сіздің келісіміңізсіз басқа веб-сайттарға шабуыл жасау үшін пайдаланылуы мүмкін. Мұның ауыр салдары болуы мүмкін, өйткені басқа қауіпсіздік жүйелері веб-сайтыңызды ботнеттің бөлігі болса, зиянды деп белгілейді.

WordPress итерациясының әсерін жойыңыз

Егер дөрекі күш шабуылы сәтті болса, сіз ең нашар деп санауыңыз керек: сіздің сайтыңыз бұзылды. Сондықтан сіздің бірінші кезектегі міндетіңіз - сайтыңызды қорғау. Зақымдануды шектеу үшін келесі әрекеттерді орындау керек:

1. Барлық пайдаланушылардан шығуға және барлық құпия сөздерді өзгертуге;
2. Веб-сайтыңызды зиянды бағдарламаларға дереу сканерлеңіз.

Сайтыңызда зиянды бағдарлама жоқ екеніне көз жеткізгеннен кейін, жоғарыда аталған алдын алу шараларын орындаңыз.

Сіздің сайтыңыз дөрекі күштердің шабуылдарына осал ма?

Иә, барлық жүйелер дөрекі күш шабуылдарына осал. Олардың жұмыс істеу тәсіліне байланысты дөрекі күш шабуылдары кіру беті бар кез келген жүйеге қарсы іске қосылуы мүмкін. WordPress веб-сайттары басқаша емес. WordPress-тің танымалдығы оны хакерлердің мақсатына айналдырады.

• Біріншіден, бұл интернеттің көпшілігі WordPress арқылы жұмыс істейтіндіктен.
• Екіншіден, WordPress-тің кейбір аспектілері жақсы белгілі болғандықтан.

Әсіресе қатал шабуылдарға қатысты мысалда WordPress жарамсыз кіру әрекеттерін шектемейді. Мұны қауіпсіздік плагиндері арқылы кіруді шектеу мүмкіндігімен түзете аласыз.

Сондай-ақ, көптеген сайт иелері есте сақтау оңай пайдаланушы аттары мен құпия сөздерді пайдаланады. Жалпыға пайдаланушы аты ретінде admin және құпия сөз ретінде құпия сөз1234 немесе 12345678 кіреді. Бұл факторлар сіздің сайтыңызды дөрекі күш шабуылдарына осал етеді.

Дөрекі күшпен шабуылдардың түрлері

Дөрекі күш шабуылдары әлеуметтік инженерлік шабуылдар немесе XSS шабуылдары сияқты басқа қауіптер мен шабуылдардан ерекшеленеді. Фишинг сияқты әлеуметтік инженерлік шабуылдар адамдарды сенімді тұлға ретінде көрсету арқылы өздерінің тіркелгі деректерін бөлісу үшін манипуляциялайды, ал XSS шабуылдары веб-сайттағы осалдықтарды пайдаланады. Дөрекі күш шабуылдары табысқа жету үшін әлсіз немесе ұрланған тіркелгі деректеріне сүйенеді.

Сіз жабайы табиғатта дөрекі күш шабуылдарының бірнеше түрін көресіз. Олардың барлығы бірдей сынақ және қате үлгісін ұстанады, бірақ олар қолданатын тіркелгі деректері немесе пайдаланатын механизм әртүрлі болуы мүмкін. Міне, дөрекі күш шабуылдарының ең көп таралған түрлері:

• Қарапайым шабуылдар: Қарапайым дөрекі шабуылдар, мысалы, әлеуметтік желі сайттарынан алынған үй жануарларының аттары немесе туған күндері сияқты пайдаланушы туралы білімдеріне негізделген тіркелгі деректерін табу үшін логиканы пайдаланады.
• Тіркелгі деректерін толтыру: Шабуылдың бұл түрі пайдаланушылар бірнеше жүйелерде бірдей пайдаланушы аттары мен құпия сөздерді пайдаланады деген болжамға негізделген бұзылған деректерді пайдаланады.
• сөздік шабуылы: Аты айтып тұрғандай, бұл боттар құпия сөздер үшін сөздік файлдарын пайдаланады. Бұл нақты сөздік немесе құпия сөзді табу үшін арнайы жасалған сөздік болуы мүмкін.
• Радуга үстелінің шабуылдары: Сөздік шабуылына ұқсас, кемпірқосақ кестесі сөздік тізімінің ерекше түрі болып табылады. Парольдер тізімінің орнына кемпірқосақ кестесінде хэштелген құпия сөздердің тізімі бар.
• Құпия сөзді бүрку: Шабуылдың бұл түрі логикалық тұрғыдан дөрекі күшпен жасалған шабуыл болып табылады. Әдеттегі дөрекі күш шабуылдарында мақсат белгілі бір пайдаланушы аты болып табылады, ал болжау ойыны құпия сөзбен ойналады. Керісінше, құпия сөзді бүрку кезінде ықтимал сәйкестікті табу үшін құпия сөздердің тізімі бірнеше пайдаланушы аттарымен салыстырылады. Бұл мақсатты шабуылға қарағанда көбірек таралған шабуыл.

Сайт әкімшісі ретінде сізге дөрекі күш шабуылдарының әртүрлі түрлері арасындағы айырмашылықтарды білу қажет болмауы мүмкін. Дегенмен, бұл терминдер жиі өзара ауыстырылады, сондықтан негізгі механизмдерді түсіну пайдалы.

Басқа қауіпсіздіктің ең жақсы тәжірибелері

WordPress дөрекі күш шабуылдарының алдын алу - тамаша мақсат, бірақ бұл веб-сайт қауіпсіздігінің бір бөлігі ғана. Міне, сіздің сайтыңызды зиянды бағдарламалардан қорғауға көмектесетін негізгі кеңестер:

1. Жақсы зиянды бағдарлама сканері мен тазартқышы бар қауіпсіздік плагинін орнатыңыз;
2. Барлығын жаңартып отырыңыз (тақырып, плагиндер, wp);
3. Күнделікті сақтық көшірмелерді пайдаланыңыз.

Шығару

Дөрекі күш шабуылдары сәтті болмаса да, веб-сайтты жоюы мүмкін. Бұл ықтимал қауіппен күресудің ең жақсы жолы - кірістірілген бот қорғауы бар брандмауэр орнату.

Қатаң күшпен жасалған шабуыл сәтті болса да, брандмауэр зиянды бағдарламаны жылдам анықтауға және оны жоюға көмектеседі. Барлық инфекциялар сияқты, жылдам әрекет залалды айтарлықтай шектейді.

Осы мақаланы оқу:

• WordPress-те елді қалай блоктауға болады?
• WordPress SQL инъекциясы: қорғауға арналған толық нұсқаулық

Оқығаныңыз үшін рахмет: SEO HELPER | NICOLA.TOP