Kompletny przewodnik po WordPress Brute Force Protection (+ 4 najlepsze wtyczki)

Ataki typu brute force mają miejsce, gdy hakerzy próbują uzyskać dostęp do plików witryny, stale próbując nowych haseł. Jeśli im się to uda, mogą ukraść Twoje prywatne dane, dodać złośliwe oprogramowanie, a nawet całkowicie usunąć Twoją witrynę.

Na szczęście możesz łatwo zapobiec atakom brutalnej siły. Po prostu aktualizując swoje dane logowania lub włączając uwierzytelnianie dwuskładnikowe, możesz utrudnić hakerom dostęp do Twojej witryny. Inną skuteczną metodą jest zainstalowanie wtyczki chroniącej przed brute force, takiej jak Jetpack.

W tym poście wyjaśnimy, czym są ataki brute force i jak możesz im zapobiec. Następnie polecimy najlepsze wtyczki do ochrony przed atakami brute force.

Wprowadzenie do ataków brute force

Ataki typu brute force mają miejsce, gdy hakerzy używają prób i błędów, aby uzyskać dostęp do Twojej witryny. Zwykle wiąże się to z odgadnięciem danych logowania za pomocą zautomatyzowanego oprogramowania. Zasadniczo hakerzy będą próbować wielu różnych haseł i kombinacji nazw użytkownika, dopóki nie znajdą Twojego.

Inne formy hakowania zwykle wykorzystują luki w Twojej witrynie WordPress. Na przykład hakerzy mogą uzyskać dostęp do Twoich danych za pośrednictwem nieaktualnego oprogramowania, wtyczek lub motywów. Nawet stara wersja PHP może narazić Twoją witrynę na ataki.

Z drugiej strony ataki typu brute force opierają się na słabych poświadczeniach logowania. Jeśli masz łatwe do odgadnięcia hasło, takie jak „123456”, hakerzy mogą użyć zautomatyzowanego oprogramowania, aby wejść na Twoją witrynę.

Ataki brute force są częstsze, niż mogłoby się wydawać. W rzeczywistości stają się większym zagrożeniem niż kiedykolwiek wcześniej. Pod koniec 2021 r. wskaźnik ataków brute force wzrósł o 160 procent.

Jeśli Twoja witryna ucierpi w wyniku ataku brute force, hakerzy mogą:

• Ukraść swoje prywatne dane
• Dodaj złośliwe oprogramowanie do swojej witryny
• Zmniejsz swoją wiarygodność i/lub rankingi wyszukiwania
• Całkowicie usuń zawartość

Nie trzeba dodawać, że będziesz chciał chronić swoją witrynę przed tymi zagrożeniami. Chociaż domyślne ustawienia WordPressa nie zapewniają dodatkowej ochrony przed atakami typu brute force, możesz podjąć pewne kroki, aby im zapobiec.

Jak blokować ataki typu brute force na WordPressie

Teraz, gdy wiesz już o atakach typu brute force, omówmy, jak chronić przed nimi witrynę WordPress.

Krok 1: Zaktualizuj swoją nazwę użytkownika

Ponieważ ataki typu brute force obejmują zgadywanie danych logowania, możesz zabezpieczyć swoją witrynę WordPress, aktualizując swoje dane uwierzytelniające. Po pierwsze, powinieneś rozważyć wybór unikalnej nazwy użytkownika.

W starszych wersjach WordPressa domyślna nazwa użytkownika to „admin”. Teraz nowi posiadacze kont mogą wybrać swoje nazwy użytkownika przy pierwszym logowaniu. Jeśli masz starsze konto, może być jednak konieczne zaktualizowanie nazwy użytkownika.

Aby zobaczyć, jaka jest Twoja aktualna nazwa użytkownika, otwórz pulpit nawigacyjny WordPress. Następnie przejdź do Użytkownicy → Profil . Swoją nazwę użytkownika znajdziesz w sekcji Nazwa .

Jeśli masz już unikalną nazwę użytkownika, przejdź do następnych kroków. Jeśli widzisz admin jako swoją nazwę użytkownika, prawdopodobnie zechcesz to zmienić. Niestety nie będziesz mógł bezpośrednio edytować swojego profilu w panelu.

Jednym z najprostszych sposobów zmiany nazwy użytkownika WordPress jest utworzenie nowego użytkownika. Następnie możesz przypisać mu unikalną nazwę użytkownika i nadać mu te same uprawnienia administracyjne. Jedyną wadą tej metody jest to, że będziesz musiał użyć nowego adresu e-mail.

Najpierw przejdź do Użytkownicy → Dodaj nowy . Na tej stronie utwórz nową nazwę użytkownika i wprowadź swój adres e-mail. Pamiętaj, aby ustawić rolę użytkownika jako Administrator .

Jeśli chcesz używać tego samego adresu e-mail, możesz po prostu dodać znak plus z dodatkowymi literami po nazwie użytkownika. Na przykład, jeśli Twój normalny adres e-mail to „[email protected]”, możesz użyć „[email protected]”. WordPress uzna to za nowy adres e-mail, ale użyje tej samej skrzynki odbiorczej.

Następnie musisz wylogować się z WordPressa i użyć nowej nazwy użytkownika, aby ponownie się zalogować. Następnie przejdź do strony Wszyscy użytkownicy i kliknij usuń pod rolą administratora .

Podczas procesu usuwania musisz przenieść jego zawartość do nowej nazwy użytkownika. Aby to zrobić, wybierz opcję Przypisz całą zawartość do [nowa nazwa użytkownika] . To krytyczny krok — w przeciwnym razie Twoje treści zostaną usunięte.

Na koniec kliknij Potwierdź usunięcie . Jeśli chcesz zacząć używać tego samego adresu e-mail przypisanego do nazwy użytkownika administratora , możesz to teraz zaktualizować.

Jeśli chcesz zmienić swoją istniejącą nazwę użytkownika, musisz to zrobić za pośrednictwem swojej bazy danych WordPress. Pamiętaj, że wprowadzanie zmian w bazie danych może być niebezpieczne, więc najlepiej to zrobić, jeśli masz już doświadczenie w tej dziedzinie. Aby zmienić swoją nazwę użytkownika, wykonaj następujące czynności:

1. Kliknij narzędzie phpMyAdmin w cpanelu swojego dostawcy hostingu. Dokładna lokalizacja może się różnić w zależności od hosta.
2. Kliknij bazę danych swojej witryny WordPress w panelu po lewej stronie. Spowoduje to otwarcie tabel bazy danych.
3. Kliknij tabelę wp_users . Prefiks „wp_” jest ustawiony domyślnie, ale twój host mógł go zmienić na coś innego. Na przykład tabela może nosić nazwę „janb_users”.
4. Znajdź nazwę użytkownika, którą chcesz zmienić po prawej stronie - w tym przypadku "Administrator" - i kliknij Edytuj.
5. W polu user_login wpisz dowolną nową nazwę użytkownika, którą chcesz ustawić.
6. Kliknij przycisk Idź .

Teraz możesz zalogować się pod nową nazwą użytkownika!

Krok 2: Użyj silnego hasła

Innym sposobem ochrony witryny przed atakami typu brute force jest użycie silnego hasła. Ponieważ hakerzy używają botnetów (sieci robotów) do losowego odgadywania haseł, warto mieć taki z unikalnym ciągiem cyfr i liter.

Oto cechy silnego hasła:

• Ma od dziesięciu do 50 znaków
• Używa wielkich i małych liter
• Używa cyfr i znaków specjalnych
• Jest unikalny w porównaniu z hasłami używanymi do innych kont lub witryn

Aby zaktualizować hasło WordPress, przejdź do Użytkownicy → Profil . Następnie przewiń w dół do Zarządzanie kontem .

Następnie kliknij Ustaw nowe hasło . Gdy to zrobisz, WordPress automatycznie wygeneruje dla Ciebie silne hasło. To będzie skomplikowane uwierzytelnienie, które trudno odgadnąć.

Możesz użyć tego hasła lub stworzyć własne. Podczas pisania WordPress wskaże, jak silne lub słabe jest Twoje nowe hasło.

Aby upewnić się, że nowe hasło jest bezpieczne i losowe, możesz użyć generatora haseł. To narzędzie może automatycznie tworzyć hasło z dużymi i małymi literami, a także cyframi i symbolami.

Po wklejeniu nowego hasła w polu tekstowym przewiń na dół strony. Kliknij Aktualizuj profil , aby zapisać zmiany. Aby uzyskać maksymalną ochronę przed atakami typu brute force, rozważ zmianę hasła WordPress co cztery miesiące.

Krok 3: Dodaj uwierzytelnianie dwuskładnikowe

Kiedy logujesz się do swojej witryny WordPress za pomocą tylko hasła, nazywa się to uwierzytelnianiem jednoetapowym. Możesz także wdrożyć uwierzytelnianie dwuetapowe lub dwuskładnikowe.

W przypadku uwierzytelniania dwuetapowego udostępniasz dwie formy weryfikacji umożliwiające zalogowanie się w witrynie. Nadal będziesz wpisywać hasło, ale musisz też potwierdzić swoją tożsamość na telefonie lub innym urządzeniu.

Jetpack ułatwia dodanie bezpiecznego uwierzytelniania do Twojej witryny. Najpierw zainstaluj i aktywuj Jetpack w WordPress. Następnie na pulpicie Jetpack kliknij Zarządzaj ustawieniami bezpieczeństwa .

Przewiń na dół strony i znajdź sekcję logowania do WordPress.com . Tutaj włącz opcję Wymagaj kont, aby korzystać z uwierzytelniania dwuetapowego WordPress.com .

Następnie znajdź stronę Uwierzytelnianie dwuetapowe na karcie Zabezpieczenia . Możesz skonfigurować uwierzytelnianie dwuskładnikowe za pomocą aplikacji lub SMS-a.

Jeśli wybierzesz pierwszą opcję, musisz pobrać aplikację taką jak Google Authenticator (iPhone | Android). WordPress dostarczy kod QR, który możesz zeskanować za pomocą aplikacji, a następnie wpisać wygenerowany kod.

Gdy klikniesz Konfiguruj przez SMS , musisz podać swój numer telefonu. Po zweryfikowaniu kodu wysłanego na telefon możesz zacząć korzystać z uwierzytelniania dwuskładnikowego.

Teraz możesz weryfikować swoją tożsamość za każdym razem, gdy logujesz się do WordPressa! Ta konfiguracja może zapewnić zwiększoną ochronę przed atakami typu brute force.

Krok 4: Zainstaluj wtyczkę chroniącą przed atakami typu brute force

Po wykonaniu kilku podstawowych kroków w celu ochrony strony logowania, możesz również skorzystać z zainstalowania wtyczki chroniącej przed atakami brute force. Odpowiednie narzędzie może automatycznie blokować ataki typu brute force, zanim wpłyną one na Twoją witrynę.

Próbując wybrać najlepszą wtyczkę do ochrony przed atakami brute force, należy pamiętać o kilku czynnikach. Aby chronić swoją witrynę, będziesz chciał znaleźć wtyczkę, która działa za kulisami, aby zapobiegać i powstrzymywać ataki typu brute force.

Oto kilka podstawowych funkcji, których powinieneś szukać we wtyczce chroniącej przed brute force:

• Ograniczone próby logowania
• Uwierzytelnianie dwuskładnikowe
• Zapora sieciowa
• Lista zablokowanych adresów IP

Ponadto wiele wtyczek chroniących przed atakami brute force zapewnia ogólne bezpieczeństwo Twojej witryny. Na przykład Jetpack Security nie tylko zapobiega atakom typu brute force, ale także wykonuje skanowanie w poszukiwaniu złośliwego oprogramowania, tworzy automatyczne kopie zapasowe i ekrany pod kątem spamu.

Jetpack jest również jedną z najłatwiejszych w konfiguracji wtyczek chroniących przed atakami brute force. Po zainstalowaniu i aktywacji Jetpack, możesz włączyć ochronę Brute force na desce rozdzielczej.

Za pomocą tego jednego kliknięcia możesz włączyć Jetpack, aby zapobiec atakom brute force!

Cztery najlepsze wtyczki WordPress do ochrony przed atakami brute force

Zainstalowanie wtyczki może być najskuteczniejszym sposobem zapobiegania atakom typu brute force. Mimo to możesz nie wiedzieć, która opcja jest odpowiednia dla Twojej witryny. Chociaż istnieje wiele wtyczek chroniących przed brutalną siłą, cztery wyróżniają się jako najlepsze!

1. Plecak odrzutowy

Po pobraniu Jetpack możesz uzyskać dostęp do ochrony przed atakami brute force i wielu innych funkcji bezpieczeństwa. Jetpack oferuje również narzędzia do zwiększania wydajności i wzrostu, dzięki czemu możesz wybrać plan idealnie dopasowany do Twoich potrzeb.

Jeśli ochrona przed atakami brute force jest wszystkim, czego potrzebujesz, świetną wiadomością jest to, że jest całkowicie darmowa!

Najważniejsze cechy ochrony przed atakami brute force Jetpack :

• Aktywacja jednym kliknięciem
• Dozwolone adresy IP
• Możliwość zobaczenia liczby zablokowanych ataków
• Uwierzytelnianie dwuskładnikowe

Plusy :

• Jeśli przypadkowo stracisz dostęp do strony logowania ze względu na środki ochrony Jetpack, możesz wysłać specjalny link do logowania na swój adres e-mail.
• Jetpack porównuje każdy nowy adres IP ze swoją globalną bazą danych złośliwych adresów.
• Dzięki Jetpack możesz również uzyskać dostęp do rozszerzonych środków bezpieczeństwa, takich jak monitorowanie przestojów, tworzenie kopii zapasowych witryn i skanowanie złośliwego oprogramowania.

Minusy :

• Jetpack wymaga połączenia z kontem WordPress.com.
• Jeśli Twój serwer jest źle skonfigurowany, może nie zwracać adresu IP, co może wyłączyć funkcję ochrony przed atakami brute force.

Łatwość użytkowania :

Dzięki Jetpack możesz wdrożyć zapobieganie atakom typu brute force w jednym kroku. Po instalacji wystarczy odwiedzić główny pulpit nawigacyjny Jetpack, aby włączyć tę funkcję. Następnie możesz po prostu pozwolić Jetpackowi wykonać pracę bez żadnej konserwacji.

Cennik :

Każdy użytkownik WordPressa może zacząć korzystać z ochrony przed brute force za darmo dzięki Jetpack.

2. Sucuri

Sucuri to narzędzie specjalizujące się w monitorowaniu, ochronie i wydajności stron internetowych. Dzięki wdrożeniu zapory aplikacji internetowej (WAF), Sucuri może blokować ataki typu brute force na Twoją witrynę.

Najważniejsze cechy :

• Zapora aplikacji internetowej (WAF)
• Ogranicza próby logowania
• Zautomatyzowane narzędzia do blokowania botów
• Lista dozwolonych
• Uwierzytelnianie dwuskładnikowe, CAPTCHA i hasła

Plusy :

• Sucuri obejmuje blokowanie geograficzne, dzięki czemu możesz blokować wszystkich odwiedzających z określonych zakresów adresów IP. Ta funkcja może zapobiegać atakom siłowym z niektórych krajów.
• Zapora sieciowa Sucuri oczyszcza ruch, zanim dotrze on do Twojej witryny WordPress.

Minusy :

• Darmowa wersja Sucuri nie zapewnia zapobiegania brutalnej sile. Aby uzyskać dostęp do WAF, musisz wykupić subskrypcję.
• Chociaż Sucuri jest skuteczną opcją zapobiegania atakom brute force, jest droga. Istnieją inne bezpłatne wtyczki o podobnych funkcjach.

Łatwość użytkowania :

W porównaniu do innych wtyczek Sucuri ma bardziej skomplikowany proces konfiguracji. Aby rozpocząć korzystanie z Sucuri, musisz kupić plan i skonfigurować zaporę sieciową. Obejmuje to integrację konta cPanel i ręczną zmianę rekordów DNS.

Cennik :

W przypadku Sucuri ochrona przed brutalną siłą wymaga planu premium. Ta funkcja zawiera wszystkie opcje subskrypcji, które zaczynają się od 199,99 USD rocznie.

3. Bezpieczeństwo Wordfence

Wordfence Security to wtyczka, która zapewnia zaporę i skaner bezpieczeństwa w jednym. To narzędzie oferuje wiele form bezpieczeństwa logowania, w tym uwierzytelnianie dwuskładnikowe, adresy IP z listą dozwolonych i klucze reCAPTCHA.

Najważniejsze cechy :

• Ogranicza próby logowania
• Rejestruje udane i nieudane próby logowania
• Stale aktualizowana lista zablokowanych adresów IP
• Narzędzia do ręcznego blokowania
• Uwierzytelnianie dwuskładnikowe i reCAPTCHA

Plusy :

• Ponieważ jest wyposażony w zaporę sieciową aplikacji internetowych, Wordfence może identyfikować i blokować złośliwy ruch w Twojej witrynie.
• Jeśli jakiekolwiek hasła administracyjne zostaną naruszone, możesz zablokować wszelkie loginy tego użytkownika.
• Wordfence wykonuje zaplanowane skanowanie bezpieczeństwa co trzy dni, gdy korzystasz z bezpłatnej wersji.

Minusy :

• W przypadku darmowej wersji Wordfence wygenerowane dane są opóźnione o 30 dni. Aby otrzymywać informacje o zagrożeniach w czasie rzeczywistym, musisz przejść na plan płatny.
• Bezpłatna wtyczka nie pozwala również na ręczne planowanie skanowania.

Łatwość użytkowania :

Wordfence zapewnia bardzo prosty proces konfiguracji dla początkujących użytkowników. Po zainstalowaniu i aktywacji darmowej wtyczki zostaniesz poproszony o podanie adresu e-mail, na który Wordfence może wysyłać alerty. Następnie możesz dodać ochronę przed brutalną siłą, wdrażając zaporę i funkcje zabezpieczeń logowania.

Cennik :

Nawet darmowa wersja Wordfence Security ma wbudowaną ochronę przed brutalną siłą dla nieograniczonej liczby witryn. Jeśli potrzebujesz zaawansowanego wsparcia, możesz wykupić plan premium. Te zaczynają się od 99 USD rocznie.

4. Bezpieczeństwo iThemes

iThemes Security zapewnia, że ​​możesz zacząć chronić swoją witrynę przed atakami typu brute force w mniej niż dziesięć minut. Dzięki tej wtyczce możesz szybko dostosować swoją stronę logowania za pomocą uwierzytelniania dwuskładnikowego i wymagań dotyczących hasła. Ponadto iThemes automatycznie doda Twoją witrynę do swojej sieci ochrony Brute Force.

Najważniejsze cechy :

• Maksymalna liczba prób logowania zarówno dla hostów, jak i użytkowników
• Lokalna i sieciowa ochrona przed atakami brute force
• Wykresy ostatnich ataków brute force
• Możliwość ustawienia wymagań dotyczących hasła dla wszystkich użytkowników
• Uwierzytelnianie dwuskładnikowe

Plusy :

• Jedną z głównych zalet iThemes Security jest sieć Brute Force Protection Network. Rejestruje podejrzaną aktywność na milionie różnych stron internetowych, identyfikując złośliwe adresy IP.
• Możesz ustawić maksymalną liczbę prób logowania do swojej witryny, co może zapobiec automatycznemu zgadywaniu logowania.

Minusy :

• Jeśli chcesz dodać dodatkowe funkcje bezpieczeństwa do swojej strony logowania, takie jak pole reCAPTCHA, musisz kupić wtyczkę premium.
• Darmowa wtyczka nie zawiera raportów bezpieczeństwa w czasie rzeczywistym.

Łatwość użytkowania :

Po instalacji wtyczka iThemes przeprowadzi Cię krok po kroku przez proces instalacji. Tutaj możesz włączyć zarówno lokalną, jak i sieciową ochronę przed brute force. Możesz także dodać uwierzytelnianie dwuskładnikowe, aby zapewnić dodatkowe bezpieczeństwo.

Cennik :

iThemes Security to darmowa wtyczka WordPress. Jeśli chcesz korzystać z pulpitu bezpieczeństwa w czasie rzeczywistym, możesz kupić wersję premium, zaczynając od 80 USD rocznie.

Porównanie najlepszych wtyczek blokujących ataki typu brute force

Często zadawane pytania (FAQ)

Teraz, gdy wiesz już wszystko o atakach brute force i o tym, jak im zapobiegać, odpowiedzmy na kilka pytań!

Ile kosztuje ochrona przed brutalną siłą w WordPress?

Ochrona przed brutalną siłą może być bezpłatna, jeśli pobierzesz wtyczkę do ochrony przed brutalną siłą, taką jak Jetpack. Inni dostawcy, tacy jak Sucuri, wymagają płatnej subskrypcji.

Jak mogę skonfigurować ochronę przed atakami brute force w WordPress?

Konfiguracja ochrony przed brutalną siłą będzie się różnić w zależności od wybranego dostawcy. Niektóre opcje wymagają skonfigurowania zapory, co może być skomplikowane. Alternatywnie Jetpack to wtyczka, która ułatwia ten proces. Po aktywacji możesz włączyć ochronę przed brutalną siłą za pomocą tylko jednego ustawienia.

Co jeszcze mogę zrobić, aby zabezpieczyć swoją witrynę WordPress?

Istnieje wiele ogólnych środków bezpieczeństwa, które możesz zastosować, aby chronić swoją witrynę. Najpierw rozważ przeprowadzanie spójnych aktualizacji podstawowego oprogramowania, motywów i wtyczek. Możesz również zabezpieczyć swoje dane, tworząc kopię zapasową swojej witryny.

Innym prostym środkiem bezpieczeństwa jest blokowanie spamu. Dobrym pomysłem jest również usunięcie nieużywanych wtyczek i monitorowanie aktywności w witrynie. Na koniec upewnij się, że regularnie skanujesz w poszukiwaniu złośliwego oprogramowania i podejmujesz natychmiastowe działania, jeśli coś zostanie znalezione.

Zabezpiecz swoją witrynę przed atakami typu brute force

Bez odpowiedniej ochrony Twoja witryna może paść ofiarą ataków typu brute force. Na szczęście wtyczka chroniąca przed atakami brute force jest prostym dodatkiem do Twojej witryny. Dzięki odpowiednim środkom bezpieczeństwa możesz powstrzymać hakerów przed kradzieżą danych.

Aby przejrzeć, oto jak zaimplementować ochronę przed atakami brute force w WordPress:

1. Zaktualizuj swoją nazwę użytkownika.
2. Użyj silnego hasła.
3. Dodaj uwierzytelnianie dwuskładnikowe.
4. Zainstaluj wtyczkę chroniącą przed atakami brute force, taką jak Jetpack.

Po wykonaniu tych kroków będziesz w stanie zachować prywatność i bezpieczeństwo swoich informacji! Następnie wystarczy tylko aktualizować oprogramowanie, tworzyć kopie zapasowe plików i monitorować witrynę pod kątem spamu i podejrzanej aktywności.