Однажды мы смогли помешать хакеру, который пытался получить доступ к веб-сайту WordPress, используя метод грудой силы. При атаке на сайт хакер систематически перебирает все виды часто используемых паролей. При достаточном количестве итераций простые пароли могут быть взломаны, что даст злоумышленнику доступ к сайту. Согласно TechTarget.com: это метод проб и ошибок, используемый прикладными программами для декодирования зашифрованных данных, таких как пароли или ключи стандарта шифрования данных (DES), посредством изнурительных усилий (с использованием грубой силы).
Существует несколько методов, которые могут защитить веб-сайт WordPress от атаки.
Этот пост научит вас простой технике, которая скрывает URL-адрес входа в WordPress, что затрудняет попытку злоумышленника провести атаку методом грубой силы.
Шаг № 1. Измените URL-адрес формы входа
WordPress по умолчанию устанавливает путь /wp-admin, если пользователь вошел в систему, или в качестве перенаправления на форму входа, если пользователь не вошел в систему. Форма входа находится в /wp- login.php, доступ к которому можно получить, перейдя по адресу http://yourdomain.com/wp-login.php.
Чтобы выполнить атаку на веб-сайте WordPress, хакер использует настройки по умолчанию, включая расположение формы входа.
Если веб-сайт уже защищен от нескольких неудачных попыток входа в систему (распространенный метод безопасности, используемый хостами), злоумышленник может попробовать более тонкий подход. Если хакер намерен проникнуть на веб-сайт, у него него для этого есть куча времени.
Если мы изменим местоположение формы на что-то уникальное и не связанное с чем-либо на сайте, мы можем, по крайней мере, замедлить продвижение хакера.
Однако важно отметить, что Google может индексировать URL-адреса на основе их посещения из браузера Chrome. Они также могут индексировать веб-страницы, на которые нет ссылок, но на которых установлена Google Analytics. Это хорошо для вашего рейтинга в поисковых системах, но также может сделать ваш «скрытый» URL-адрес видимым в списке результатов поиска.
Вы можете изменить свой URL-адрес для входа с помощью плагина Rename WP-login. Этот плагин поможет вам изменить расположение формы входа на любой URL-адрес, который вы захотите.
Шаг № 2: Создайте функцию PHP
Этот шаг более сложный. Путь wp-login.php будет отображать файлы CSS, файлы JS, изображения, HTML и все виды разметки каждый раз, когда хакер пытается попасть на страницу входа в систему, а браузер возвращает ошибку 404 («страница не найдена»). Весь этот рендеринг может замедлить работу вашего сайта или полностью его остановить.
Чтобы это исправить, добавьте в файл functions.php фрагмент кода, который остановит отрисовку разметки, тем самым сэкономив ресурсы и сделав нагрузку более управляемой для сервера.
Вот код:
// the function
function as_early_exit() {
// using /wp-login.php as an example,
// you may need to use the url assigned by your plugin
if ($_SERVER['REQUEST_URI'] == ‘/wp-login.php’) {
exit();
}
}
add_action('init', ‘as_early_exit');
Вот и все! Выполнив эти простые два шага, вы защитите от взлома ваш сайт и wp-login.php. Если и когда он или она это сделает (что будет очень трудно), вы будете готовы к этому.
Мы знаем, что не существует надежного способа борьбы с хакерами, особенно когда они используют атаки грубой силы на сайт. Но методы, описанные здесь, могут побудить искать хуже защищенные сайты в другом месте.
Поделиться