Защита сайта от брутфорс атаки

Здравствуйте, уважаемые читатели!

В этой статье хочу разобрать вопрос защиты сайта от взлома методом бутфорс атаки. Для начала давайте разберемся, что это за штука такая вредная и опасная.

Признаюсь сразу, идеального метода защиты сайта от взлома не существует до сих пор, но существенно снизить риск наездов хакеров нам вполне по силам. Цель бутфорс атаки заключается в подборе пары логин-пароль.

При создании сайта по умолчанию для входа в админку используется логин admin. Это самая зияющая дыра в безопасности сайта. Поэтому надо сразу заменить логин на другой. Чтобы это сделать, надо установить плагин iTemes security.

Установка стандартная из панели. «Плагины» — «Добавить новый», далее вводим название , система находит его, устанавливаем, активируем. В панели появляется кнопка Security со щитом. Жмем на нее и видим розовое поле. Это список мероприятий, которые надо выполнить в первую очередь. Самое главное сменить логин admin на другой.

В строке The admin user still exists кликаем Fix it, после чего на вновь открывшейся странице в Enaible Change Admin User ставим галочку. Ниже в New Admin Username вводим новый логин. Еще ниже в Change User ID1 ставим галочку.

Это необходимо для смены идентификатора, потому что при создании сайта по умолчанию делается логин Admin, а ему присваивается номер 1. После всех этих манипуляций жмем Save Admin User, после чего нас выкидывает из админки, и система просит ввести новый логин. Вводим и снова попадаем в панель. Пароль вводим старый, мы его не меняли.

Теперь, если взломщик попытается войти на сайт под логином Admin, он потерпит фиаско. Часто брутфорс атаки осуществляются одновременно с большого числа компьютеров. При этом нагрузка на сервер такова, что попасть в админпанель становится невозможно. Многие программы взлома работают путем перебора вариантов пароля, которые они берут со словаря. Поэтому надо придумать заковыристый пароль, который бы не являлся обычным словом.

Атака идет на страницу, где вводится пара логин-пароль, то есть на файл wp-login.php. Но если название этого файла сделать другим, то программа, осуществляющая атаку, его не найдет, соответственно, не сможет атаку произвести. При этом необходимо убрать все ссылки, которые ведут с темы сайта на данный файл, чтобы нельзя было его вычислить.

Надо иметь ввиду, что после переименования файла wp-login.php, вход в админпанель можно будет сделать только введя новое имя в адресную строку браузера, то есть вводится название сайта, потом через слеш новое название файла. Кому-то покажется неудобным, но поверьте, оно того стоит.

Надеюсь достаточно ясно объяснил, как защитить сайт от взлома способом брутфорс атаки. Конечно, это самые азы защиты, но именно с них и надо начинать. Желаю, чтобы Ваши сайты никогда не ломали.

С уважением, Владислав Заболотный.

Поделитесь статьей в соцсетях.

3 комментария на “Защита сайта от брутфорс атаки”

  • Полезная статья и очень кстати, меня уже ломали как раз методом Брутфорц и на всех статьях были установлены баннеры казино, благо вовремя обнаружил… После этого я всерьез задумался о защите сайта. Теперь руки дошли и до логина «admin». На многих ресурсах предлагается менять его путем переименования логин в базах данных на хостинге или созданием второго админа в админке, а тут плагин-удобнее намного. Буду тестить.

  • Владислав, в названии плагина скорее всего опечатка: не Temes, а Themes. Только так я нашел этот плагин «iThemes security». Он ли?

Оставить комментарий