Doriti sa aflati cum sa va protejati site-ul WordPress de atacurile brute force?Aceste atacuri pot incetini site-ul dvs. web, il pot face inaccesibil sau chiar pot sparge parolele pentru a instala malware pe site. In acest articol va vom explica cum protejati site-ul dvs. WordPress de atacurile brute force.

Ce este un atac de brute force?

Atacul “brute force” este de fapt o metoda de hacking care foloseste tehnici de incercare si eroare (trial and error) pentru a “sparge” parola unui site web, a unei retele sau un sistem informatic.

Un atac brute force reusit poate oferi hackerilor acces la zona de administrare a site-ului dvs. web. Acestia pot instala un backdoor sau alte programe malware ori pot fura informatii despre utilizatori sau chiar pot sterge tot de pe site-ul dvs.

Chiar si atacurile brute force nereusite pot cauza daune prin trimiterea de prea multe solicitari, ceea ce incetinesc serverele sau chiar le pot bloca.

Acestea fiind spuse, sa aruncam o privire asupra modului in care puteti sa protejati site-ul dvs. WordPress de atacurile brute force

Pasul 1. Instalrea unui plugin WordPress

Atacurile brute force pot creea incarcare pe serverele dvs. Dupa cum spuneam chiar si cele nereusite pot incetini site-ul dvs. sau pot bloca complet serverul. Acesta este motivul pentru care este important sa le blocati inainte de a ajunge la serverul dvs.

Pentru acestea aveti nevoie de o solutie de tipul unui firewall pentru site-ul dvs. web. Un firewall filtreaza traficul malitios si il impiedica sa acceseze site-ul dvs.

Puteti utiliza doua tipuri de firewall-uri pentru site-uri web.

Firewall la nivel de aplicatie – aceste plugin-uri firewall examineaza traficul odata ce ajunge pe serverul dvs., dar inainte de a incarca majoritatea scripturilor WordPress. Aceasta metoda nu este cea mai eficientă, deoarece un atac brute force poate afecta in continuare incarcarea pe server.

Firewall la nivel DNS – aceasta protectie directioneaza traficul site-ului dvs. web prin serverele lor proxy cloud. Acest lucru permite trimiterea doar a traficului legitim catre serverul dvs. imbunatatind in acelasi timp viteza site-ului dvs. WordPress.

Va putem recomanda sa folositi Sucuri. Este lider in materie de securitate si ofera cel mai bun firewall WordPress de pe piata. Intrucat este un paravan de protectie pentru site-ul web la nivel DNS, inseamna ca tot traficul site-ului dvs. trece printr-un proxy cu care va filtrat tot traficul malitios.

Pasul 2. Efectuati toate actualizarile (update-urile) in WordPress

Unele atacuri brute force sunt cauzate de vulnerabilitatiile cunoscute din versiunile mai vechi de WordPress, plugin-uri WordPress populare sau theme.

Nucleul WordPress si cele mai populare plugin-uri WordPress sunt open source, iar vulnerabilitatile sunt adesea remediate foarte rapid cu o actualizare. Cu toate acestea, daca nu instalati actualizarile cand apar, site-ul dvs. este vulnerabil la aceste amenintari.

Accesati din Dashboard >> Updates (zona de administrare WordPress) pentru a verifica actualizarile disponibile. Aceasta pagina va afisa toate actualizarile pentru nucleul WordPress, plugin-urile si themele WordPress.

WordPress Updates

Pasul 3. Protejati (cu parola) directorul de administrare WordPress

Majoritatea atacurilor brute force pe un site WordPress incearca sa obtina acces la zona de administrare WordPress. Puteti adauga protectie prin parola pentru directorul dvs. administrativ WordPress. Acest lucru va bloca accesul neautorizat in zona dvs. de administrare WordPress.

Conectati-va la panoul de control al gazduirii WordPress (cPanel) si efectuati click pe optiunea “Directory Privacy” de la sectiunea Files.

cpanel Directory Privacy

In continuare, trebuie sa localizati folderul wp-admin si sa efectuati click pe butonul Edit din dreapta folderului ce urmeaza sa fie protejat.

password protect wp-admin

cPanel va solicita sa furnizati un nume pentru folderul restrictionat, un numele de utilizator si o parola. Dupa introducerea acestor informatii efectuati click pe butonul “Save” pentru a salva setariile.

password protect folder

Acum directorul dvs. de administrator WordPress este protejat cu parola. La accesarea admin-ului se va primi un nou prompt de logare atunci cand vizitati zona de administrare WordPress.

Pasul 4. Folositi parole puternice (complexe)

Parolele sunt practic “cheile” de acces la site-ul dvs. WordPress. Trebuie sa utilizati parole puternice sau complexe pentru toate conturile. O parola complexa este o combinatie de numere, litere si caractere speciale.

Este important sa utilizati parole puternice nu numai pentru conturile de utilizator WordPress, ci si pentru FTP, panoul de control al gazduirii web sau pentru baza de date WordPress.

Pasul 5. Dezactivati navigarea in directoare

In mod implicit, cand serverul dvs. web nu gaseste un fisier index (adica un fisier precum index.php sau index.html), acesta afiseaza automat o pagina index care prezinta continutul directorului.

index of /

in timpul unui atac brute force, hackerii pot utiliza navigarea in directoare pentru a cauta fisiere vulnerabile. Pentru a remedia acest lucru, trebuie doar sa adaugati urmatoarea linie in fisierul .htaccess din WordPress-ul dvs.

Options -Indexes

Pasul 7. Dezactivati rularea de cod PHP in anumite directoare din WordPress

Hackerii instaleaza si ulterior pot sa ruleze un script PHP in folderele WordPress. WordPress este scris in principal cu ajutorul limbajului de programare PHP, ceea ce inseamna ca nu puteti dezactiva acest lucru in toate folderele WordPress-ului.

Cu toate acestea, exista unele directoare care nu au nevoie sa ruleze scripturi PHP. De exemplu, folderul dvs. de incarcare WordPress /wp-content/uploads. Din aceasta locatie se poate dezactiva rularea PHP fara probleme pentru ca hackerii o folosesc pentru a ascunde fisierele din backdoor.

Trebuie doar sa salvati urmatorul cod intr-un fisier .htaccess situat in locatia dorita (/wp-content/uploads):

deny from all

Pasul 8. Instalati si configurati un plugin de backup in WordPress

Backup-urile sunt cel mai importante instrumente de securitate WordPress. Daca celelalte metode esueaza, atunci copiile de rezerva va pot ajuta sa restaurati cu usurinta site-ul.

Nu toate companiile de gazduire ofera optiuni de backup. Pentru toate planurile noastre de gazdurie se ofera 2 solutii de backup in cPanel, insa este recomandata si setarea propriilor copii de rezerva.

Exista mai multe plugin-uri de backup pentru WordPress, care va permit sa setati copii de rezerva automate.

Va putem recomanda sa folositi UpdraftPlus. Este simplu de utilizat si va permite sa configurati rapid copiile de rezerva automate si sa le stocati in locatii externe precum Google Drive, Dropbox, Amazon S3 sau multe altele.

Speram ca acest articol v-a ajutat sa intelegeti cum protejati site-ul dvs. WordPress de atacurile brute force

Va invitam sa consultati pagina noastra de blog – AICI pentru alte articole si tutoriale cu privire la CMS-ul WordPress.

Pentru tutoriale de hosting si domenii SkaleWeb Hosting va pune la dispozitie o gama variata de tutoriale pentru cPanel, email, domenii, etc.