Cum să blocați încercările eșuate de conectare pe WordPress

Publicat: 2021-10-26

Autentificarea eșuată se poate întâmpla din mai multe motive. Adesea, este pur și simplu rezultatul unui utilizator care și-a uitat cu adevărat parola. Li se întâmplă celor mai buni dintre noi, astfel încât să nu judecăm prea aspru. Uneori, totuși, se poate întâmpla ceva mai grav - cineva încearcă să intre.

Arta de a depana autentificarea eșuată

La fel ca toate celelalte probleme legate de WordPress, depanarea (aka a ajunge la fundul lucrurilor) este primul pas pe care trebuie să-l facem. Acest lucru ne va ajuta să ne asigurăm că avem de-a face cu problema reală și nu cu simptomul acesteia. Din fericire, există o modalitate ușoară de a începe acest proces - priviți datele. În esență, ar trebui să vedeți unul dintre cele două lucruri:

  • Combinații greșite de nume de utilizator și parole greșite

Combinațiile greșite de nume de utilizator și parolă se pot întâmpla din unul dintre cele două motive. Fie cineva sau ceva încearcă să ghicească o combinație de nume de utilizator/parolă pentru a obține acces, fie este un atac țintit. În cazul primei opțiuni, aceasta este o întâmplare destul de comună. În caz contrar, ar putea fi un atac direcționat asupra site-ului dvs. fie pentru a obține acces, fie pentru a vă supraîncărca site-ul (DoS/DDoS).

  • Combinații corecte de nume de utilizator și parole greșite

Combinațiile corecte de nume de utilizator și parole greșite pot însemna unul din două lucruri. Fie este un caz autentic de cineva care și-a uitat parola, fie cineva a descoperit un nume de utilizator real înregistrat pe WordPress și acum încearcă să ghicească parola.

Un alt lucru pe care ar trebui să vă amintiți să vă uitați este frecvența. Un număr mare de încercări într-o perioadă scurtă este de obicei semnul unui atac automat. Pe de altă parte, o cronologie lentă și neregulată este un semn revelator al unei persoane care nu și-a băut încă cafeaua.

Pericolele prea multor încercări de conectare eșuate

Atacurile de ghicire a parolei sunt destul de răspândite. Prea multe încercări eșuate de conectare la WordPress indică, în general, aceste tipuri de atacuri. Fără o modalitate de a gestiona acest lucru, ați putea lăsa site-ul deschis la atacuri și întreruperi. Din fericire, gestionarea acestui risc este foarte ușoară și necesită puțin efort administrativ.

WordPress nu oferă nicio funcționalitate pentru a limita sau a întreprinde acțiuni evazive atunci când există încercări eșuate de autentificare. Un utilizator poate continua să încerce ad nauseam până când înțelege bine. În timp ce acordarea oamenilor de șanse suplimentare poate fi considerată a fi lucrul etic de făcut, impunerea de limite și controale poate contribui în mare măsură la asigurarea securității și integrității site-ului dvs. WordPress.

Cum să preveniți încercările eșuate de conectare pe WordPress

Implementarea unei politici de conectare eșuate WordPress este mai ușoară decât pare. Există în primul rând două opțiuni din care să alegeți, pe care le vom discuta acum.

Limitați manual conectările eșuate

Dacă doriți să limitați conectările eșuate la WordPress fără un plugin, puteți modifica fișierul function.php al temei active și puteți adăuga codul relevant. Există mai multe moduri de a adăuga cod personalizat site-urilor WordPress; totuși, acest lucru necesită o bună înțelegere a PHP și a modului în care funcționează WordPress.

Instalați un plugin

Există o altă opțiune și cea mai practică - folosiți un plugin. Pluginurile vin în toate formele și dimensiunile, inclusiv pluginurile care limitează doar încercările de autentificare și pluginurile care vă permit să aplicați o politică de securitate a parolelor pe WordPress pentru un control și securitate și mai stricte.

WPassword este un astfel de plugin WordPress. Oferă administratorilor un control mai mare asupra modului în care parolele sunt utilizate și gestionate pe site-urile lor WordPress. Include capacitatea de a configura o politică care tratează în mod explicit încercările eșuate de conectare, printre multe alte caracteristici ale sale.

Alte lucruri de luat în considerare

O altă opțiune care merită menționată este CAPTCHA. Pluginurile precum Advanced noCaptcha și invisible Captcha sunt excelente pentru a vă ajuta să opriți atacurile automate. Deoarece un CAPTCHA trebuie să fie finalizat înainte de a se face o încercare de logare, roboții din spatele unor astfel de atacuri eșuează testul și nu vor face o singură încercare de conectare.

O altă opțiune care tinde să apară în conversațiile despre politicile de conectare eșuate este aceea de a bloca IP-urile. Prin această opțiune, IP-ul ofensator este inclus pe lista neagră, împiedicându-l să acceseze site-ul dvs. în primul rând. Deși acest lucru este corect din punct de vedere tehnic, un actor rău intenționat persistent poate utiliza pur și simplu o altă IP - ceea ce poate face cu ușurință. Din această cauză, strategia de blocare a IP-urilor ajunge adesea să fie un joc cu pisica și șoarecele.

O opțiune mai bună este să utilizați un CDN (Content Delivery Network) și să le lăsați să se ocupe de blocarea IP-urilor ofensive. Acest lucru vă poate economisi timp prețios, pe care îl puteți investi în lucruri productive.

Cum să proiectați o politică de autentificare WordPress eșuată

Înainte de a începe să aplicăm o politică de conectare eșuată pe un site web WordPress, există câteva lucruri la care trebuie să ne gândim. La fel ca toate celelalte probleme legate de securitate, gestionarea încercărilor eșuate de conectare suferă de paradoxul securității/utilizabilității. Cu cât ceva este mai sigur, cu atât devine mai puțin utilizabil. Reversul este la fel de adevărat. A nu permite nimănui să se autentifice este foarte sigur, dar greu de utilizat. Oferirea utilizatorilor de șanse nelimitate la înregistrare poate compromite securitatea, dar crește gradul de utilizare.

Ceea ce trebuie să înțelegi este cât de mult ești dispus să le oferi utilizatorilor tăi. În mod tradițional, trei încercări sunt considerate atât adecvate, cât și rezonabile. Unii nu sunt de acord cu această noțiune și plasează numărul maxim de încercări de conectare permise la zece. Oricum ar fi, oferirea de încercări de conectare nelimitate nu este o strategie bună și poate avea repercusiuni negative.

Adevărul este că nu există un răspuns corect sau greșit. Trei este un număr sigur, dar va crește cheltuielile administrative. Zece ar putea avea cheltuieli administrative mai mici, dar prezintă mai multe riscuri.

Ca atare, poate doriți să începeți cu limitarea numărului de încercări de conectare la trei și apoi să evaluați situația. Când utilizați WPassword, este foarte ușor să schimbați acest număr. Ca atare, puteți adapta foarte ușor politica la utilizatorii și circumstanțele dvs.

Cel mai bine ar fi să vă gândiți și la ce se întâmplă atunci când un cont este blocat. Contul ar trebui să se deblocheze automat după o fereastră de timp preconfigurată sau ar trebui un administrator să-l deblocheze manual? Această întrebare cedează la aceeași problemă ca înainte: trebuie să decideți între utilizare și securitate. Un alt aspect esențial care ar putea influența această parte a politicii este locația utilizatorilor dvs. Dacă oamenii se conectează din cealaltă parte a lumii, ești fericit să te trezești la două dimineața pentru a debloca un cont? Și dacă nu, cât timp ar trebui să aștepte un utilizator înainte de a se putea conecta din nou? Va afecta acest lucru productivitatea lor sau rezultatul final?

Alegerea pluginurilor (și a politicii) potrivite pentru a gestiona conectările WordPress eșuate

Odată ce înțelegeți cum ați dori să arate parola și politica de autentificare eșuată, trebuie să începeți să lucrați la implementare. Am menționat anterior WPassword ca principal candidat. Oferă multe opțiuni de configurare, permițându-vă o libertate considerabilă atunci când configurați și implementați politica de parole.

După ce activați politica de conectare eșuată pentru WordPress, puteți alege câte încercări au utilizatorii înainte ca contul lor să fie blocat. De asemenea, puteți decide cum este deblocat și dacă doriți să forțați utilizatorii să-și schimbe parolele sau nu, așa cum este explicat mai jos.

Pasul 1: Instalați și activați WPassword

Instalarea WPassword este ușoară. Puteți descărca pluginul pentru securitatea parolei direct de pe site-ul web WP White Security și apoi îl puteți încărca pe site-ul dvs. WordPress.

După ce instalați pluginul, faceți clic pe Plugins din meniul lateral WordPress, localizați pluginul și faceți clic pe Activare . Aceasta va adăuga o nouă opțiune de meniu numită Politici privind parola , pe care trebuie să faceți clic.

Pasul 2: Activați Politica de autentificare eșuată

Bifați caseta de selectare de lângă Activare politici de conectare eșuate pentru a limita încercările eșuate de conectare pe site-ul dvs. WordPress. Introduceți Numărul de încercări eșuate de conectare înainte de a bloca un utilizator, 3 – 5 fiind, în general, considerat un bun început.

Activarea politicii de conectare eșuate

Alte opțiuni de configurare includ ce se întâmplă odată ce un cont este blocat și dacă utilizatorii blocați trebuie să-și reseteze parola la deblocare. Consultați articolul din baza de cunoștințe privind politica de conectare eșuată WordPress pentru mai multe informații.

Pasul 3: Luați măsuri suplimentare de securitate

CAPTCHA

Am atins, de asemenea, CAPTCHA – testul omniprezent prezent în multe autentificări și forme care este conceput pentru a lăsa oamenii să treacă în timp ce oprește roboții și alte forme de atacuri automate. Plugin-uri precum Advanced no Captcha și invisible Captcha fac implementarea unor astfel de teste foarte ușoară, oferind în același timp compatibilitate universală și suport pentru diferite versiuni.

Autentificare cu doi factori

În creșterea securității proceselor de conectare, autentificarea cu doi factori este o necesitate. Prin acest proces, utilizatorii trebuie să se autentifice a doua oară introducând o parolă unică furnizată prin intermediul smartphone-ului lor. Utilizând 2FA, pe care îl puteți face cu ușurință prin plugin-uri precum WP 2FA, vă puteți asigura că, chiar dacă parolele sunt compromise, cu excepția cazului în care persoana are telefonul conectat la acel cont de utilizator, nu se va putea conecta.

Pasul 4: Mergeți cu un pas mai departe (Opțional)

Cu parola și politicile de conectare eșuate, CAPTCHA și autentificarea cu doi factori, ar trebui să fiți bine acoperit.

Cu toate acestea, dacă site-ul dvs. înregistrează încă volume mari de încercări de conectare eșuate, ar trebui să luați în considerare utilizarea unui serviciu CDN. Poate doriți să vorbiți cu furnizorul dvs. de găzduire web pentru a vă ajuta cu implementarea unei soluții potrivite pentru atacuri la scară largă.

Securitatea parolei WordPress necesită o abordare 360

După cum am văzut pe parcursul articolului, mai mulți factori trebuie luați în considerare atunci când implementați o politică de parole. Deși blocarea conectărilor WordPress eșuate este un prim pas bun (și unul necesar în acest sens), luând o abordare 360, puteți fi atât de mult mai în siguranță. Acest lucru nu numai că vă ajută să vă acoperiți toate bazele, dar vă poate ajuta și să inspirați mai multă încredere în site-ul dvs. WordPress.

O abordare de 360 ​​de grade analizează mai mulți factori, inclusiv pluginuri și teme, găzduire, TLS, nucleu WordPress și alții. În acest fel, vă puteți asigura că securitatea dvs. WordPress este în stare bună.