Оптимизация защиты от подбора паролей

Оптимизация защиты от подбора паролей

Один из способов проникновения злоумышленников на ваш сайт — угадать ваше имя пользователя и пароль. Они пытаются определить действительные имена пользователей, а затем пробуют списки общих паролей в надежде на успешный вход в систему. Эти «атаки по словарю» представляют собой тип атаки «Brute force» (грубой силы) при входе в систему.

Существуют разные плагины для защиты от перебора паролей, которые можно использовать для предотвращения доступа злонамеренных ботов к вашему сайту.

Факторы, которые следует учитывать при изменении настроек плагина защиты:

— Насколько опытны ваши пользователи? Есть ли у вас пользователи, которые часто забывают свои пароли? Входят ли они в систему время от времени и имеют ли высокую вероятность потерять свои пароли? Вы должны принять их во внимание и оставить место для ошибок пользователя.

— Ваш сайт с высоким уровнем посещаемости и высоким профилем, который часто подвергается попыткам взлома?

— Ваш сайт неоднократно подвергался атакам с применением грубой силы?

Первый аспект — сколько неудачных попыток входа разрешить и за какой период времени считать неудачи. Обычно, конфигурация по умолчанию допускает десяток отказов в течение нескольких часов. Если у вас много пользователей, особенно тех, которые более склонны забывать свои пароли, это может быть идеальным вариантом для вашего сайта. Однако, если у вас небольшая группа высокотехнологичных пользователей, вы можете усилить их. В крайнем случае, у нас есть клиенты, которые допускают только 2 попытки входа в систему в течение 5 минут.

Следующий аспект — сколько раз можно использовать форму «забыл пароль» на вашем сайте. 

Затем вам нужно решить, на какой срок блокировать пользователя (или атакующий IP-адрес) после того, как он превысит один из ваших пороговых значений сбоя входа в систему. Значение по умолчанию – несколько часов, обычно. Многие сайты увеличивают это значение до одного дня. Сайты с более агрессивной позицией в отношение перебора часто устанавливают это значение на месяц. Большим недостатком чрезмерной агрессивности этих настроек является то, что вы рискуете заблокировать своих пользователей или себя на длительный период времени.

Еще вариант — немедленная блокировка пользователей (или IP-адресов), использующих недопустимое имя пользователя. По умолчанию этот параметр обычно отключен, так как он значительно увеличивает вероятность того, что вы или другой администратор случайно заблокируете доступ к вашему сайту. Если вы уверены, что сможете избежать блокировки или у вас есть запасной план на случай, если это произойдет, включение этой опции сильно обезопасит ваш сайт.

Если предыдущий вариант слишком агрессивен для вашего сайта, можно заблокировать злоумышленников, использующих определенный список имен пользователей. В большинстве наблюдаемых атак взломщики пытаются использовать общие имена пользователей, такие как «admin», «administrator» и разные строки, основанные на имени вашего домена. Составление собственного списка на основе предсказуемых догадок может быть очень эффективным.

Существует еще много возможностей для усиления безопасности вашего сайта:

— Применять надежные пароли
— Запретить пользователям регистрировать имя пользователя admin, если его не существует
— Предотвратить обнаружение имен пользователей с помощью сканирования и WordPress API
— Блокировать IP-адреса, которые отправляют запросы POST с пустыми User-Agent и Referer
— Проверять надежность пароля при обновлении профиля


Уязвимости в системе безопасности: на шаг впереди злоумышленников

Уязвимости в системе безопасности: на шаг впереди злоумышленников

Помимо атак методом грубой силы (brutforce), которые пытаются угадать ваш пароль, просто используя экран входа в систему или XML-RPC, есть еще боты, которые пытаются использовать уязвимости в PHP-коде вашего веб-сайта. Они являются наиболее распространенной формой атак, нацеленных на веб-сайты WordPress. Большую часть времени на обеспечение безопасности вашего сайта вы будете тратить на установку обновлений для устранения уязвимостей в PHP-коде вашего сайта. Когда вы обновляете ядро ​​WordPress для защиты от нового вида атак, вы выполняете обновление, чтобы предотвратить атаку на PHP-код WordPress. То же самое применимо, когда вы обновляете свои темы и плагины для исправления уязвимости.

Уязвимости в PHP-коде обычно вызваны ошибкой, которую допустил разработчик при написании исходного кода. Довольно часто разработчик запускает идеально работающее PHP-приложение, такое как сам WordPress, но не предвидит всех способов, которыми хакеры попытаются получить доступ. По мере того, как приложение используется все чаще и чаще, разработчик узнает от пользователей и их опыта в отношении атак, как сделать веб-сайт более безопасным. Разработка приложения PHP — это эволюционный процесс, поэтому важно быть в курсе предупреждений системы безопасности.

Единственное, что вы можете сделать сами, чтобы не стать жертвой атаки  — это поддерживать ядро, темы и плагины WordPress в актуальном состоянии. Как правило, разработчики выпускают исправления сразу после обнаружения уязвимостей. Применение обновлений обеспечивает безопасность вашего сайта.

Включите автоматические обновления, где это возможно. А также заходите на свой сайт, чтобы проверять наличие необходимых обновлений часто, хотя бы несколько раз в месяц.

Бизнес на паузе, но не веб-сайт. Карантин

Бизнес на паузе, но не веб-сайт. Карантин

Вывести сайт в ТОП

Пока жизнь на паузе и большинство бизнесов зависло в ожидании… Интернет не подвис, а наоборот – еще активней «растет и развивается». Нагрузка на Интернет возрастает и практической экономической пользы он приносит все больше и больше.

В связи с тем, что потребности людей временно переориентировались, изменилась ситуация и на просторах Интернета. У какого-то владельца бизнеса опускаются руки, когда он понимает, что его товары или услуги уже перестали быть актуальными. Кто-то пытается быстро переформатироваться под новые тренды. А кто-то стал еще упорней заниматься продвижением сайта в своей рыночной нише. Ведь кризис не вечен — и карантин закончится. Экономика начнет восстанавливаться. Интересы и потребности человека начнут возвращаться в прежнее русло. Товары и услуги вновь будут востребованы. Конечно, с некоторыми поправками.

А за этот кризисный период ситуация в Интернете сильно изменится. Сильней, чем в докризисный.  Много кто уйдет из ТОП-ов поисковой выдачи… скатится на задворки. Их места займут другие. Кто-то прорвется с низов наверх. Когда экономики начнут восстанавливаться – подорожает Интернет-реклама. Так как те, кто пережил сложные времена, захотят активно наверстывать упущенное.

По примерным подсчетам, в мире уже порядка 1 млрд веб-сайтов. Пробиваться в этом море становится с каждым годом (месяцем, днем) все сложней и сложней. А экономические выгоды от популярного и посещаемого веб-сайта – все растут и растут.

Поэтому, пользуясь случаем и временной экономической паузой, разумно было бы сейчас заняться своим сайтом.

Ведь в нашем Интернет-регионе «раскрутка веб-сайта» и выведение в ТОП пока не упирается в запредельные бюджеты, как в более цивилизованном цифровом мире (…пока). Там люди/организации берут кредиты, вкладывают десятки-сотни тысяч долларов в продвижение.

У нас же, по большей мере, продвижение сайта на первые страницы поисковой выдачи упирается в догму: «сайтом надо заниматься!»

Вы же понимаете, что сейчас потенциальный клиент придерживает деньги, в ситуации неясного будущего. А когда оно начнет проясняться (а мы все верим – что непременно начнет), клиент захочет их тратить… И сможет ли он найти ваш товар или услугу, чтобы на них потратиться – это уже зависит от вас.

Заказать веб-сайт / продвижение / консультацию