Оптимизация защиты от подбора паролей

Один из способов проникновения злоумышленников на ваш сайт — угадать ваше имя пользователя и пароль. Они пытаются определить действительные имена пользователей, а затем пробуют списки общих паролей в надежде на успешный вход в систему. Эти «атаки по словарю» представляют собой тип атаки «Brute force» (грубой силы) при входе в систему.

Существуют разные плагины для защиты от перебора паролей, которые можно использовать для предотвращения доступа злонамеренных ботов к вашему сайту.

Факторы, которые следует учитывать при изменении настроек плагина защиты:

— Насколько опытны ваши пользователи? Есть ли у вас пользователи, которые часто забывают свои пароли? Входят ли они в систему время от времени и имеют ли высокую вероятность потерять свои пароли? Вы должны принять их во внимание и оставить место для ошибок пользователя.

— Ваш сайт с высоким уровнем посещаемости и высоким профилем, который часто подвергается попыткам взлома?

— Ваш сайт неоднократно подвергался атакам с применением грубой силы?

Первый аспект — сколько неудачных попыток входа разрешить и за какой период времени считать неудачи. Обычно, конфигурация по умолчанию допускает десяток отказов в течение нескольких часов. Если у вас много пользователей, особенно тех, которые более склонны забывать свои пароли, это может быть идеальным вариантом для вашего сайта. Однако, если у вас небольшая группа высокотехнологичных пользователей, вы можете усилить их. В крайнем случае, у нас есть клиенты, которые допускают только 2 попытки входа в систему в течение 5 минут.

Следующий аспект — сколько раз можно использовать форму «забыл пароль» на вашем сайте. 

Затем вам нужно решить, на какой срок блокировать пользователя (или атакующий IP-адрес) после того, как он превысит один из ваших пороговых значений сбоя входа в систему. Значение по умолчанию – несколько часов, обычно. Многие сайты увеличивают это значение до одного дня. Сайты с более агрессивной позицией в отношение перебора часто устанавливают это значение на месяц. Большим недостатком чрезмерной агрессивности этих настроек является то, что вы рискуете заблокировать своих пользователей или себя на длительный период времени.

Еще вариант — немедленная блокировка пользователей (или IP-адресов), использующих недопустимое имя пользователя. По умолчанию этот параметр обычно отключен, так как он значительно увеличивает вероятность того, что вы или другой администратор случайно заблокируете доступ к вашему сайту. Если вы уверены, что сможете избежать блокировки или у вас есть запасной план на случай, если это произойдет, включение этой опции сильно обезопасит ваш сайт.

Если предыдущий вариант слишком агрессивен для вашего сайта, можно заблокировать злоумышленников, использующих определенный список имен пользователей. В большинстве наблюдаемых атак взломщики пытаются использовать общие имена пользователей, такие как «admin», «administrator» и разные строки, основанные на имени вашего домена. Составление собственного списка на основе предсказуемых догадок может быть очень эффективным.

Существует еще много возможностей для усиления безопасности вашего сайта:

— Применять надежные пароли
— Запретить пользователям регистрировать имя пользователя admin, если его не существует
— Предотвратить обнаружение имен пользователей с помощью сканирования и WordPress API
— Блокировать IP-адреса, которые отправляют запросы POST с пустыми User-Agent и Referer
— Проверять надежность пароля при обновлении профиля


Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *