Безопасность сайта на вордпресс. Защита от перебора пароля.

Posted on by Mike Dudin

Если ваш сайт работает на системе Вордпресс, то скорее всего он подвергается атаке с целью подобрать пароль администратора.

Стандартная установка сайта на Вордпресс не очень безопасна. Во-первых, учётная запись администратора имеет стандартное имя. Во-вторых, страница авторизации не уникальна, а следовательно её адрес известен взломщикам. Ну и, наконец, авторизация в административную панель не имеет встроенной защиты от перебора пароля.

Атака методом перебора пароля или по другому "brute force" (грубая сила) это способ последовательного подбора пароля. При этом уязвимость к такой атаке очень сильно зависит от длины пароля и количестве используемых в пароле символов. Подробнее о том, как нужно задавать пароль в этой статье .

Безопасность сайта на Вордпресс очень легко повысить. Для этого нужно сделать всего три шага. Каждый из них сильно повышает устойчивость к взлому.

Шаг 1 - логин администратора.
По-умолчанию Вордпресс задаёт логин администратора как admin или administrator. Это, конечно, можно поменять при установке, но не все это делают.

Безопасный логин администратора не должен быть похож на стандартный или очевидный. Он также не должен совпадать с именем одного из авторов статей на сайте или с адресом сайта.

Просто поменять логин администратора не получится. Для этого нужно создать нового пользователя с правами администратора. Старого же администратора нужно отключить.

Шаг 2 - пароль администратора
Безопасный пароль нового администратора должен состоять из букв разного регистра (строчных и прописных), содержать цифры и состоять не менее, чем из шести символов. В таком случае, даже если взломщику будет известен логин и будет доступен перебор пароля, на взлом уйдёт очень много времени.

Шаг 3 - защита от перебора
Защита от перебора пароля делается двумя основными способами. Первый это добавление капчи, чтобы обойти ботов. Правда в последнее время и капчи взламываются, так что это не панацея.

Другой способ защититься от перебора -- это ограничение количества попыток для входа. Если подряд с одного адреса введено несколько ошибочных паролей, то этому адресу блокируется доступ к серверу. Блокировка происходит бронебойным способом на уровне веб-сервера. Конечно, в данном случае сам владелец сайта, забывший пароль, рискует на время быть заблокированным. Но это незначительное неудобство в сравнении с уровнем защиты.

Такой метод защиты реализуется с помощью специального плагина. Похожих плагинов много, из своего опыта могу порекомендовать Limit Login Attempts.

Надёжный и удобный плагин, выполняющий свою задачу на все сто.

Эти рекомендации крайне важны для безопасности сайта, работающего на Вордпресс. Чем более раскрученным и ценным является сайт, тем больше попыток взлома будет совершаться.