Защита сайта от брутфорс атаки

Здравствуйте, уважаемые читатели!

a1-1

В этой статье хочу разобрать вопрос защиты сайта от взлома методом бутфорс атаки. Для начала давайте разберемся, что это за штука такая вредная и опасная.

Признаюсь сразу, идеального метода защиты сайта от взлома не существует до сих пор, но существенно снизить риск наездов хакеров нам вполне по силам. Цель бутфорс атаки заключается в подборе пары логин-пароль.

При создании сайта по умолчанию для входа в админку используется логин admin. Это самая зияющая дыра в безопасности сайта. Поэтому надо сразу заменить логин на другой. Чтобы это сделать, надо установить плагин iTemes security.

a2-2Установка стандартная из панели. «Плагины» — «Добавить новый», далее вводим название , система находит его, устанавливаем, активируем. В панели появляется кнопка Security со щитом. Жмем на нее и видим розовое поле. Это список мероприятий, которые надо выполнить в первую очередь. Самое главное сменить логин admin на другой.

В строке The admin user still exists кликаем Fix it, после чего на вновь открывшейся странице в Enaible Change Admin User ставим галочку. Ниже в New Admin Username вводим новый логин. Еще ниже в Change User ID1 ставим галочку.

a4-4Это необходимо для смены идентификатора, потому что при создании сайта по умолчанию делается логин Admin, а ему присваивается номер 1. После всех этих манипуляций жмем Save Admin User, после чего нас выкидывает из админки, и система просит ввести новый логин. Вводим и снова попадаем в панель. Пароль вводим старый, мы его не меняли.

Теперь, если взломщик попытается войти на сайт под логином Admin, он потерпит фиаско. Часто брутфорс атаки осуществляются одновременно с большого числа компьютеров. При этом нагрузка на сервер такова, что попасть в админпанель становится невозможно. Многие программы взлома работают путем перебора вариантов пароля, которые они берут со словаря. Поэтому надо придумать заковыристый пароль, который бы не являлся обычным словом.

a3-3Атака идет на страницу, где вводится пара логин-пароль, то есть на файл wp-login.php. Но если название этого файла сделать другим, то программа, осуществляющая атаку, его не найдет, соответственно, не сможет атаку произвести. При этом необходимо убрать все ссылки, которые ведут с темы сайта на данный файл, чтобы нельзя было его вычислить.

Надо иметь ввиду, что после переименования файла wp-login.php, вход в админпанель можно будет сделать только введя новое имя в адресную строку браузера, то есть вводится название сайта, потом через слеш новое название файла. Кому-то покажется неудобным, но поверьте, оно того стоит.

Надеюсь достаточно ясно объяснил, как защитить сайт от взлома способом брутфорс атаки. Конечно, это самые азы защиты, но именно с них и надо начинать. Желаю, чтобы Ваши сайты никогда не ломали.

С уважением, Владислав Заболотный.

Поделитесь статьей в соцсетях.

Комментарии (3) на “Защита сайта от брутфорс атаки”

  • Полезная статья и очень кстати, меня уже ломали как раз методом Брутфорц и на всех статьях были установлены баннеры казино, благо вовремя обнаружил… После этого я всерьез задумался о защите сайта. Теперь руки дошли и до логина «admin». На многих ресурсах предлагается менять его путем переименования логин в базах данных на хостинге или созданием второго админа в админке, а тут плагин-удобнее намного. Буду тестить.

  • Владислав, в названии плагина скорее всего опечатка: не Temes, а Themes. Только так я нашел этот плагин «iThemes security». Он ли?

Оставить комментарий

Свежие комментарии
Хотите зарабатывать?