Ochrona WordPressa przed atakiem „Brute Force”

O atakach Brute Force na WordPressa można się wiele naczytać, co więcej temat ten bywa często zniechęcający dla tych którzy chcą rozpocząć swoją przygodę z tym CMS- em. W całym tym zamieszaniu dotyczącym teorii, że WordPress jest najbardziej „podatny” na tego typu ataki hakerskie powinniśmy sobie zdać sprawę z jednej podstawowej rzeczy. Każda strona dostępna w sieci jest narażona na cyberataki, jedna mniej druga w większym stopniu. Problem ataków dotyczy zwykle stron, które po prostu nie przestrzegają podstawowych zasad bezpieczeństwa.

Atak Brute Force

Atak hakerski przeprowadzony metodą Brute Force polega na sprawdzaniu wszelkich możliwych kombinacji znaków, do momentu kiedy nie zostanie złamane hasło. Żądania logowania wysyłane są za pośrednictwem interfejsu XML-RPC. Atakujący aby natrafić na właściwe hasło administratora używa zazwyczaj w tym celu słownika popularnych haseł.

Jak więc zminimalizować zagrożenie?

Przed atakami Brute Force możemy się ochronić, zmniejszyć ryzyko ich wystąpienia. Wystarczy zastosować się do kilku prostych ale bardzo istotnych zasad.

Zmień login

Dużym błędem jest korzystanie z domyślnej nazwy użytkownika (admin). Użytkownicy często wykorzystują ją jako login, który po prostu łatwo da się zapamiętać. Dobrze jest odejść od tego przyzwyczajenia i wykazać się odrobiną kreatywności, która na pewno wyjdzie nam na dobre.

Silne hasło

Następny krok to zastosowanie mocnego hasła. W praktyce zalecane jest stosowanie niesłownikowego hasła, najlepiej do tego celu użyć generatora haseł. Przydatnym narzędziem może okazać się program KeePass, który dodatkowo przechowuje hasło w zaszyfrowanym pliku. Ogółem zasada jest taka –  im dłuższe hasło tym lepiej, takie trudniej jest złamać.

Wsparcie wtyczek

Kolejnym sposobem zabezpieczenia panelu administracyjnego jest zainstalowanie rozszerzeń. WordPress ma ich dość trochę w swoim repozytorium ale dobrze jest skorzystać z tych sprawdzonych i najczęściej wybieranych.

Ithemes seciurity

To jedna z najczęściej wybieranych WordPressowych wtyczek z kategorii security. Okiem statystyk – ponad 700 000 pobrań. Wtyczka wychwytuje boty próbujące włamać się na stronę, pozwala także zmienić domyślny adres logowania. Oferuje ponad 30 różnych sposobów na ochronę strony przed złośliwymi atakami hakerów.

WordFence Security

Kolejny dodatek poprawiający bezpieczeństwo strony. Skanuje pliki WordPress w poszukiwaniu złośliwego kodu, przedstawia w czasie rzeczywistym informację o użytkownikach, którzy akurat przebywają na stronie. Dodatkowo posiada wiele mechanizmów zabezpieczających WordPressa przed cyberatakami.

Skutki ataku Brute Force

Powody ataków hakerskich mogą być różne, tak więc różne mogą być w konsekwencji ich skutki. Otóż po uzyskaniu dostępu do panelu administracyjnego haker może zrobić tak naprawdę to na co ma kaprys.

Może więc…

  • dodać linki i uruchamiać strony pornograficzne
  • wysyłać spam z Twojego konta pocztowego
  • instalować niechciane wtyczki o różnym przeznaczeniu
  • przechwycić bazę zawierającą dane dostępowe wszystkich użytkowników
  • podmienić stronę główną i zastąpić ją na inną

Zachowaj czujność!

Jeśli prowadzisz stronę opartą na WordPressie dobrze jest zadbać o podstawowe procedury związane z bezpieczeństwem ale i tak mimo to stale kontrolować działanie strony. Dużym ułatwieniem są tzw. skanery bezpieczeństwa. Te narzędzia nie tylko skanują stronę pod kątem występowania na niej złośliwego kodu ale potrafią wychwycić słabe punkty naszej witryny.

Dedykowane temu wtyczki to między innymi:

Możemy także skorzystać z ciekawej alternatywy – bezpłatnego skanera online. Takie narzędzie udostępnia serwis Sucuri. Zaś swoją witrynę możemy sprawdzić w kilka chwil wpisując adres strony i klikając Scan Website.

 

 

W czym możemy pomóc?

Napisz do nas i opowiedz o swoim projekcie.

Skontaktuj się z nami