Kuinka estää raa’an voiman hyökkäys WordPressissä?
Raa’an voiman hyökkäys on tapa yrittää avata salasanalla suojattujen verkkosivujen lukitus kokeilu- ja erehdysmenetelmällä. Kaappaajat käyttävät monimutkaisia botteja arvatakseen käyttäjänimen ja salasanan kirjautumis-, rekisteröinti- ja muilla sivuilla olevilla lomakkeilla ja yrittäessään vallata sivuston. Botit yrittävät jatkuvasti arvata kirjautumistiedot ja kuormittaa palvelinta paljon. Joten vaikka et ajattelekaan turvallisuusnäkökulmasta, on välttämätöntä estää kyseiset robotit / käyttäjät, jotta voit vähentää isäntäpalvelimesi kuormitusta. Tässä artikkelissa keskustellaan siitä, miten estää raa’an voiman hyökkäys WordPressissä.
Jetpack -laajennuksen käyttö raa’an voiman ehkäisyyn
Jetpack tarjoaa monia moduuleja, ja "Protect" on yksi moduuli, joka estää raa’an voiman hyökkäykset. Voit vain aktivoida "Protect" -moduulin pysäyttääksesi raa’an voiman hyökkäykset WordPress -sivustollasi.
Poista Jetpack Protect käytöstä
Kun tämä on käytössä, Jetpack näyttää automaattisesti matemaattisen captchan järjestelmänvalvojan kirjautumissivulla ja pysäyttää robotit. Lisäksi voit määrittää IP -osoitteet sallittujen luettelon hallinnassa. Vain sallittujen luettelossa olevat IP -osoitteet saavat pääsyn WordPress -kirjautumissivullesi ja kaikki muut IP -osoitteet estetään kirjautumasta järjestelmänvalvojan hallintapaneeliin.
IP -sallittujen luettelo Jetpack -laajennuksella
Brute Force Prevention All in One WP Security & Firewall -laajennuksella
Jetpackin raa’an voiman esto on hyvin yksinkertainen eikä sillä ole monia muita vaihtoehtoja. All in One WP Security & Firewall -laajennus on yksi suosituista ja ilmaisista suojauslaajennuksista, jotka auttavat suojaamaan WordPress -sivustoasi tehokkaasti. Asenna ja aktivoi laajennus WordPress -hallintapaneelista. Se luo uuden valikon "WP Security" järjestelmänvalvojan kojelaudan sivupalkkiin.
Finding All in One WP Security and Firewall Plugin
Laajennus mittaa sivustosi turvallisuuden pisteasteikolla ja yksittäisten suojausvaihtoehtojen aktivointi lisää pisteet. Voit estää raa’an voiman siirtymällä "WP Security> Brute Force" -osioon nähdäksesi useita vaihtoehtoja, kuten alla:
Brute Force Attack Prevention -vaihtoehdot
Varmista, että sinulla on seuraavat asiat ennen käsittelyä millä tahansa suojausasetuksella:
- Varmuuskopioi koko sivusto sivustotiedostoilla ja tietokannalla. Laajennus luo tietokantataulukoita ja muokkaa sivustotiedostoja, kuten .htaccess.
- Varmista, että sinulla on FTP -yhteys isäntäpalvelimellesi. Tämä on tarpeen tiedostojen palauttamiseksi, kun olet lukittu järjestelmänvalvojan hallintapaneelista etkä voi kirjautua sisään.
- Ota käyttöön vain, jos vaihtoehto sopii sinulle ja sitä tarvitaan.
Nimeä kirjautumissivu uudelleen
WordPress-kirjautumissivulle pääsee helposti lisäämällä jälkiliitteen "/wp-admin/" tai "/wp-login.php?action=login" sivustoosi. Koska kuka tahansa voi käyttää sivustoasi jollakin näistä URL -osoitteista, ensimmäinen askel raa’an voiman estämisessä on kirjautumissivun nimeäminen uudelleen. Valitse Ota käyttöön nimeä kirjautumisominaisuus uudelleen -ruutu ja anna haluamasi merkkijono, jota on vaikea arvata.
Nimeä WordPress -kirjautumissivu uudelleen
Jos haluat esimerkiksi muuttaa kirjautumissivun URL -osoitteen muotoon "oma sivusto.com/login/", kirjoita tekstikenttään sana "kirjautuminen".
1 Kirjautumissivun nimeäminen uudelleen kirjaa sinut ulos ja sinun on kirjauduttava sisään uudelleen uudella URL -osoitteella.
2 Tämä toiminto vaikuttaa kaikkiin käyttäjiin, joten älä aktivoi sitä, jos sinulla on käyttäjärekisteröinti tai rekisteröinti, jota tarvitset kommentoidaksesi sivustossasi.
3 Tämä toiminto vaikuttaa muiden laajennusten ominaisuuksiin, jotka käyttävät oletuskirjautumissivua.
Evästeisiin perustuva raa’an voiman ehkäisy
Toinen vaihtoehto on estää raa’an voiman hyökkäykset selaimessa saatavilla olevan evästeen perusteella. Ota käyttöön valintaruutu "Ota käyttöön raa’an voiman hyökkäyksen estäminen" ja lisää salainen sana seuraavaan "Salainen sana" -tekstikenttään.
Evästeisiin perustuva Brute Force Login Prevention for WordPress
Jos haluat esimerkiksi lisätä salaisen sanan "testi", kirjautumisen URL -osoite on " http://yursite.com/?test=1 ". Voit lisätä kirjautumissivulle "/? Secret-word = 1" sivustosi URL-osoitteeseen.
Lisäksi voit määrittää uudelleenohjaavan URL-osoitteen ohjaamaan luvattomat käyttäjät kyseiselle sivulle. Yleensä voit asettaa tämän localhostin IP -osoitteeksi " http://127.0.0.1 " estääksesi palvelimen kuormituksen. Jos sinulla on salasanasuojattuja sivuja, ota käyttöön valintaruutu "Sivustollani on viestejä tai sivuja, jotka on suojattu salasanalla".
Jos sinulla on teema tai laajennus, joka käyttää Ajaxia, ota käyttöön valintaruutu "Sivustollani on teema tai laajennuksia, jotka käyttävät AJAXia". Yleensä suurin osa teemoista ja laajennuksista käyttää Ajaxia, joten sinun pitäisi ottaa tämä vaihtoehto käyttöön ja testata, latautuuko sivustosi oikein.
1 Tämä menetelmä on samanlainen kuin uudelleennimeä kirjautumissivu, joten kaikki yllä mainitut varoitukset koskevat myös tätä menetelmää.
2 Koska sekä "uudelleennimeä kirjautumissivu" että "evästeisiin perustuva raa’an voiman esto" menetelmät muuttavat kirjautumissivun URL -osoitteen, voit käyttää jompaakumpaa tapaa kerrallaan sivustossasi.
Kirjaudu sisään Captcha
Koska kaksi ensimmäistä vaihtoehtoa vaikuttavat monikäyttäjäympäristöihin, kuten sivustoihin, joissa on kirjautumis-, rekisteröinti- ja verkkokauppaominaisuudet, vain captchan ottaminen käyttöön on yksi yksinkertaisimmista tavoista, joilla voit lopettaa raa’an voiman hyökkäyksen. Tässä osiossa on kolme vaihtoehtoa ottaa matemaattinen captcha käyttöön lomakkeissa:
- Ota captcha käyttöön oletusarvoisella WordPress -kirjautumissivulla.
- Ota captcha käyttöön kaikissa WordPress -toimintoa "wp_login_form()” käyttävien sivustojen lomakkeissa.
- Ota captcha käyttöön kadonneen salasanan pyyntölomakkeella.
Kirjaudu Captcha -asetukset All in One WP Security -laajennuksessa
Kirjautumisen sallittujen luettelo
Samalla tavalla kuin Jetpackin sallittujen luettelojen hallinta, All in One WP Security & Firewall -laajennus tarjoaa myös "Kirjaudu valkoiseen luetteloon" -vaihtoehdon. Tämä sallii vain lueteltujen IP -osoitteiden pääsyn WordPress -kirjautumissivullesi ja kaikki muut IP -osoitteet estetään.
Kirjaudu sisään IP -luetteloon, jossa on kaikki yhdessä WP -suojauslaajennus
Hunajapurkki
Viimeinen vaihtoehto on ottaa käyttöön "Ota Honeypot käyttöön kirjautumissivulla". Tämä asettaa uuden kentän kirjautumislomakkeelle, joka on näkymätön ihmisille ja vain botille. Koska robotit täyttivät kaikki kirjautumislomakkeen kentät, laajennus lopettaa pääsyn, jos piilotettu kenttä täytetään. Tämä auttaa pysäyttämään robotit tehokkaasti.
Honeypot -asetukset WordPress -kirjautumissivulle
Johtopäätös
All in One WP Security & Firewall -laajennus tarjoaa kattavia tapoja suojata WordPress -sivustosi. Vaikka tämä näyttää houkuttelevalta, muista testata jokainen ominaisuus ja käyttää sitä vain, jos se on tarpeen sivustollesi. Nimeä kirjautumissivu, evästepohjainen vaihtoehto ja IP -luettelo voidaan käyttää yksittäisten käyttäjien sivustoilla, joilla ei ole käyttäjän rekisteröintiä. Jäljellä olevia vaihtoehtoja, kuten käyttöön kirjautumista captcha ja honeypot, voidaan käyttää kaikentyyppisillä sivustoilla ilman ongelmia.
Voit myös käyttää Jetpack- ja All in One WP Security & Firewall -laajennuksia yhdessä lopettaaksesi raa’an voiman hyökkäykset sivustollasi.