Полное руководство по защите WordPress от перебора (+4 лучших плагина)

Атаки грубой силы происходят, когда хакеры пытаются получить доступ к файлам вашего сайта, постоянно пробуя новые пароли. Если им это удастся, они могут украсть ваши личные данные, добавить вредоносное ПО или даже полностью закрыть ваш сайт.

К счастью, вы можете легко предотвратить эти атаки грубой силы. Просто обновив данные для входа или включив двухфакторную аутентификацию, вы можете затруднить доступ хакеров к вашему веб-сайту. Еще один эффективный метод — установить плагин защиты от перебора, например Jetpack.

В этом посте мы объясним, что такое атаки грубой силы и как вы можете их предотвратить. Затем мы порекомендуем лучшие плагины для защиты от перебора.

Введение в атаки грубой силы

Атаки грубой силы происходят, когда хакеры используют метод проб и ошибок для доступа к вашему веб-сайту. Обычно это включает в себя угадывание вашей регистрационной информации с помощью автоматизированного программного обеспечения. По сути, хакеры перепробуют много разных паролей и комбинаций имен пользователей, пока не найдут ваш.

Другие формы взлома обычно используют уязвимости на вашем сайте WordPress. Например, хакеры могут получить доступ к вашим данным через устаревшее программное обеспечение, плагины или темы. Даже старая версия PHP может сделать ваш сайт уязвимым.

С другой стороны, атаки грубой силы основаны на слабых учетных данных для входа. Если у вас есть угадываемый пароль, например «123456», хакеры могут использовать автоматизированное программное обеспечение для входа на ваш сайт.

Атаки грубой силы встречаются чаще, чем вы думаете. Фактически, они становятся большей угрозой, чем когда-либо прежде. К концу 2021 года количество атак методом перебора увеличилось на 160 процентов.

Если ваш веб-сайт подвергся атаке методом перебора, хакеры могут:

• Украсть ваши личные данные
• Добавьте вредоносное ПО на свой сайт
• Снижение вашего авторитета и / или поискового рейтинга
• Полностью удалите свой контент

Излишне говорить, что вы захотите защитить свой сайт от этих опасностей. Хотя настройки WordPress по умолчанию не обеспечивают дополнительной защиты от атак методом перебора, вы можете предпринять некоторые шаги, чтобы предотвратить их.

Как заблокировать атаки грубой силы на WordPress

Теперь, когда вы знаете об атаках методом грубой силы, давайте обсудим, как защитить от них ваш сайт WordPress.

Шаг 1. Обновите свое имя пользователя

Поскольку атаки методом грубой силы включают в себя угадывание регистрационной информации, вы можете защитить свой веб-сайт WordPress, обновив свои учетные данные. Во-первых, вы должны подумать о выборе уникального имени пользователя.

В старых версиях WordPress имя пользователя по умолчанию было «admin». Теперь владельцы новых учетных записей могут выбирать свои имена пользователей при первом входе в систему. Но вам может потребоваться обновить свое имя пользователя, если у вас более старая учетная запись.

Чтобы узнать, какое у вас текущее имя пользователя, откройте панель управления WordPress. Затем перейдите в « Пользователи» → «Профиль ». Вы найдете свое имя пользователя в разделе « Имя ».

Если у вас уже есть уникальное имя пользователя, перейдите к следующим шагам. Если вы видите admin в качестве имени пользователя, вы, вероятно, захотите изменить его. К сожалению, вы не сможете напрямую редактировать свой профиль в панели управления.

Один из самых простых способов изменить имя пользователя WordPress — создать нового пользователя. Затем вы можете назначить ему уникальное имя пользователя и предоставить ему те же административные привилегии. Единственным недостатком этого метода является то, что вам придется использовать новый адрес электронной почты.

Сначала перейдите в Пользователи → Добавить нового . На этой странице создайте новое имя пользователя и введите свой адрес электронной почты. Не забудьте установить роль пользователя « Администратор ».

Если вы хотите использовать тот же адрес электронной почты, вы можете просто добавить знак плюса с дополнительными буквами после имени пользователя. Например, если ваш обычный адрес электронной почты — «[email protected]», вы можете использовать «[email protected]». WordPress будет считать это новым адресом электронной почты, но будет использовать тот же почтовый ящик.

Затем вам нужно будет выйти из WordPress и использовать новое имя пользователя, чтобы снова войти в систему. Затем перейдите на страницу « Все пользователи » и нажмите « Удалить » под ролью пользователя- администратора .

В процессе удаления вам нужно будет переместить его содержимое на новое имя пользователя. Для этого выберите « Атрибутировать все содержимое [новое имя пользователя]» . Это важный шаг — иначе ваш контент будет удален.

Наконец, нажмите «Подтвердить удаление ». Если вы хотите начать использовать тот же адрес электронной почты, назначенный для имени пользователя администратора , вы можете обновить его сейчас.

Если вы хотите изменить существующее имя пользователя, вам нужно будет сделать это через базу данных WordPress. Учтите, что внесение изменений в базу данных может быть опасным, поэтому лучше это делать, если у вас уже есть опыт в этой области. Чтобы изменить имя пользователя, выполните следующие действия:

1. Нажмите на инструмент phpMyAdmin в cpanel вашего хостинг-провайдера. Точное местоположение может варьироваться в зависимости от вашего хоста.
2. Нажмите на базу данных вашего сайта WordPress на левой панели. Это откроет ваши таблицы базы данных.
3. Нажмите на таблицу wp_users . Префикс «wp_» установлен по умолчанию, но ваш хост мог изменить его на что-то другое. Например, таблица может называться «janb_users».
4. Найдите имя пользователя, которое вы хотите изменить, справа — в данном случае «Администратор» — и нажмите « Изменить».
5. В поле user_login введите любое новое имя пользователя, которое вы хотите установить.
6. Нажмите кнопку Перейти .

Теперь вы можете войти под новым именем пользователя!

Шаг 2. Используйте надежный пароль

Еще один способ защитить свой сайт от атак методом грубой силы — использовать надежный пароль. Поскольку хакеры используют ботнеты (роботизированные сети) для случайного подбора паролей, может помочь пароль с уникальной последовательностью цифр и букв.

Вот характеристики надежного пароля:

• Он содержит от десяти до 50 символов.
• Он использует прописные и строчные буквы
• Он использует цифры и специальные символы
• Он уникален среди паролей, используемых для других учетных записей или веб-сайтов.

Чтобы обновить пароль WordPress, перейдите в раздел « Пользователи» → «Профиль ». Затем прокрутите вниз до раздела «Управление учетной записью» .

Далее нажмите «Установить новый пароль ». Как только вы это сделаете, WordPress автоматически сгенерирует для вас надежный пароль. Это будут сложные учетные данные, которые трудно угадать.

Вы можете использовать этот пароль или создать свой собственный. По мере ввода WordPress будет указывать, насколько надежным или слабым является ваш новый пароль.

Чтобы убедиться, что ваш новый пароль безопасный и случайный, вы можете использовать генератор паролей. Этот инструмент может автоматически создать пароль с прописными и строчными буквами, а также цифрами и символами.

Вставив новый пароль в текстовое поле, прокрутите страницу вниз. Нажмите «Обновить профиль », чтобы сохранить изменения. Для максимальной защиты от атак грубой силы рассмотрите возможность смены пароля WordPress каждые четыре месяца.

Шаг 3. Добавьте двухфакторную аутентификацию.

Когда вы входите на свой сайт WordPress только с паролем, это называется одноэтапной аутентификацией. Вы также можете реализовать двухэтапную или двухфакторную аутентификацию.

При двухэтапной аутентификации вы предоставляете две формы проверки для входа на свой сайт. Вы по-прежнему будете вводить свой пароль, но вам также необходимо будет подтвердить свою личность на телефоне или другом устройстве.

Jetpack позволяет легко добавить безопасную аутентификацию на ваш сайт. Сначала установите и активируйте Jetpack в WordPress. Затем на панели инструментов Jetpack нажмите « Управление настройками безопасности ».

Прокрутите страницу вниз и найдите раздел входа в WordPress.com . Здесь включите Требовать учетные записи для использования двухэтапной аутентификации WordPress.com .

Затем на вкладке « Безопасность » найдите страницу « Двухэтапная аутентификация ». Вы можете настроить двухфакторную аутентификацию с помощью приложения или SMS.

Если вы выберете первый вариант, вам потребуется загрузить приложение, например Google Authenticator (iPhone | Android). WordPress предоставит QR-код, который вы можете отсканировать с помощью приложения, а затем ввести сгенерированный код.

Когда вы нажмете Настроить с помощью SMS , вам нужно будет ввести свой номер телефона. Как только вы подтвердите код, отправленный на ваш телефон, вы можете начать использовать двухфакторную аутентификацию.

Теперь вы можете подтверждать свою личность каждый раз, когда входите в WordPress! Эта настройка может обеспечить повышенную защиту от атак грубой силы.

Шаг 4: Установите плагин защиты от атак методом перебора

Выполнив некоторые основные шаги для защиты своей страницы входа, вы также можете воспользоваться установкой плагина защиты от грубой силы. Правильный инструмент может автоматически блокировать атаки грубой силы до того, как они повлияют на ваш сайт.

Когда вы пытаетесь выбрать лучший плагин для защиты от грубой силы, вы должны помнить о нескольких факторах. Чтобы защитить свой веб-сайт, вам нужно найти плагин, который работает за кулисами, чтобы предотвратить и остановить атаки грубой силы.

Вот некоторые основные функции, которые вы должны искать в плагине защиты от перебора:

• Ограниченное количество попыток входа
• Двухфакторная аутентификация
• Брандмауэр
• Блокировка IP-адресов

Кроме того, многие плагины для защиты от перебора обеспечивают общую безопасность вашего сайта. Например, Jetpack Security не только предотвращает атаки методом грубой силы, но и выполняет сканирование на наличие вредоносных программ, создает автоматические резервные копии и проверяет спам.

Jetpack также является одним из самых простых в настройке плагинов для защиты от перебора. После установки и активации Jetpack вы можете включить защиту от грубой силы в панели управления.

Одним щелчком мыши вы можете включить Jetpack для предотвращения атак грубой силы!

Четыре лучших плагина WordPress для защиты от атак методом перебора

Установка плагина может быть наиболее эффективным способом предотвращения атак методом грубой силы. Тем не менее, вы можете не знать, какой вариант подходит для вашего сайта. Хотя существует множество плагинов для защиты от перебора, четыре из них выделяются как лучшие!

1. Реактивный ранец

Когда вы загружаете Jetpack, вы получаете доступ к защите от атак методом грубой силы и многим другим функциям безопасности. Jetpack также предлагает инструменты повышения производительности и роста, так что вы можете выбрать план, который идеально подходит для ваших нужд.

Если все, что вам нужно, — это защита от атак грубой силы, хорошая новость в том, что она совершенно бесплатна!

Ключевые особенности защиты Jetpack от грубой силы :

• Активация в один клик
• Разрешенные IP-адреса
• Возможность видеть количество заблокированных атак
• Двухфакторная аутентификация

Плюсы :

• Если вы случайно заблокировали свою страницу входа из-за мер защиты Jetpack, вы можете отправить специальную ссылку для входа на свой адрес электронной почты.
• Jetpack сравнивает каждый новый IP-адрес со своей глобальной базой данных вредоносных адресов.
• С Jetpack вы также можете получить доступ к расширенным мерам безопасности, таким как мониторинг простоев, резервное копирование сайтов и сканирование на наличие вредоносных программ.

Минусы :

• Jetpack требует, чтобы вы подключились к учетной записи WordPress.com.
• Если ваш сервер настроен неправильно, он может не вернуть IP-адрес, что может отключить функцию защиты от грубой силы.

Простота использования :

С помощью Jetpack вы можете за один шаг внедрить защиту от атак методом грубой силы. После установки просто зайдите на главную панель инструментов Jetpack, чтобы включить эту функцию. Затем вы можете просто позволить Jetpack выполнять работу без какого-либо обслуживания.

Цены :

Любой пользователь WordPress может бесплатно начать использовать защиту от перебора с помощью Jetpack.

2. Сукури

Sucuri — это инструмент, специализирующийся на мониторинге, защите и производительности веб-сайтов. Внедрив брандмауэр веб-приложений (WAF), Sucuri может блокировать атаки грубой силы на ваш сайт.

Ключевые особенности :

• Брандмауэр веб-приложений (WAF)
• Ограничивает количество попыток входа
• Автоматизированные инструменты для блокировки ботов
• Белый список
• Двухфакторная аутентификация, CAPTCHA и пароли

Плюсы :

• Sucuri включает геоблокировку, поэтому вы можете заблокировать всех посетителей с определенных диапазонов IP-адресов. Эта функция может предотвратить атаки грубой силы из определенных стран.
• Брандмауэр Sucuri очищает трафик еще до того, как он достигнет вашего сайта WordPress.

Минусы :

• Бесплатная версия Sucuri не обеспечивает предотвращение грубой силы. Чтобы получить доступ к WAF, вам необходимо приобрести подписку.
• Несмотря на то, что Sucuri является эффективным средством предотвращения атак методом грубой силы, он стоит дорого. Есть и другие бесплатные плагины с аналогичными функциями.

Простота использования :

По сравнению с другими плагинами Sucuri имеет более сложный процесс установки. Чтобы начать использовать Sucuri, вам необходимо приобрести план и настроить брандмауэр. Это включает в себя интеграцию вашей учетной записи cPanel и ручное изменение записей DNS.

Цены :

С Sucuri для защиты от грубой силы требуется премиум-план. Эта функция поставляется со всеми вариантами подписки, стоимость которых начинается от 199,99 долларов в год.

3. Безопасность Wordfence

Wordfence Security — это плагин, который предоставляет брандмауэр и сканер безопасности в одном. Этот инструмент предлагает множество форм безопасности входа в систему, включая двухфакторную аутентификацию, IP-адреса из белого списка и ключи reCAPTCHA.

Ключевые особенности :

• Ограничивает количество попыток входа
• Записывает успешные и неудачные попытки входа в систему
• Постоянно обновляемый черный список IP-адресов
• Инструменты ручной блокировки
• Двухфакторная аутентификация и reCAPTCHA

Плюсы :

• Поскольку Wordfence поставляется с брандмауэром веб-приложений, он может выявлять и блокировать вредоносный трафик на вашем сайте.
• Если какие-либо административные пароли скомпрометированы, вы можете заблокировать любые входы в систему от этого пользователя.
• Wordfence выполняет запланированные проверки безопасности каждые три дня, когда вы используете бесплатную версию.

Минусы :

• Для бесплатной версии Wordfence сгенерированные данные задерживаются на 30 дней. Чтобы получать информацию об угрозах в режиме реального времени, вам необходимо перейти на платный план.
• Бесплатный плагин также не позволяет вручную планировать сканирование.

Простота использования :

Wordfence обеспечивает очень простой процесс установки для начинающих пользователей. После установки и активации бесплатного плагина вам будет предложено ввести адрес электронной почты, на который Wordfence может отправлять оповещения. Затем вы можете добавить защиту от грубой силы, внедрив брандмауэр и функции безопасности входа.

Цены :

Даже бесплатная версия Wordfence Security поставляется со встроенной защитой от грубой силы для неограниченного количества сайтов. Если вам нужна расширенная поддержка, вы можете приобрести премиум-план. Они начинаются с 99 долларов в год.

4. Безопасность iThemes

iThemes Security гарантирует, что вы сможете начать защищать свой веб-сайт от атак грубой силы менее чем за десять минут. С помощью этого плагина вы можете быстро настроить свою страницу входа с помощью двухфакторной аутентификации и требований к паролю. Кроме того, iThemes автоматически добавит ваш сайт в свою сеть защиты от грубой силы.

Ключевые особенности :

• Максимальное количество попыток входа как для хостов, так и для пользователей
• Локальная и сетевая защита от брутфорса
• Графики недавних атак методом грубой силы
• Возможность установить требования к паролю для всех пользователей
• Двухфакторная аутентификация

Плюсы :

• Одним из основных преимуществ iThemes Security является сеть защиты от грубой силы. Он регистрирует подозрительную активность на одном миллионе различных веб-сайтов, выявляя вредоносные IP-адреса.
• Вы можете установить максимальное количество попыток входа на свой веб-сайт, что может предотвратить автоматическое угадывание входа.

Минусы :

• Если вы хотите добавить дополнительные функции безопасности на свою страницу входа, например, поле reCAPTCHA, вам необходимо приобрести плагин премиум-класса.
• Бесплатный плагин не включает отчеты о безопасности в реальном времени.

Простота использования :

После установки плагин iThemes проведет вас через пошаговый процесс настройки. Здесь вы можете включить как локальную, так и сетевую защиту от перебора. Вы также можете добавить двухфакторную аутентификацию для дополнительной безопасности.

Цены :

iThemes Security — бесплатный плагин для WordPress. Если вы хотите использовать панель мониторинга безопасности в режиме реального времени, вы можете приобрести премиум-версию по цене от 80 долларов в год.

Сравнение лучших плагинов, которые блокируют атаки грубой силы

Часто задаваемые вопросы (FAQ)

Теперь, когда вы знаете все об атаках грубой силы и о том, как их предотвратить, давайте ответим на несколько вопросов!

Сколько стоит защита от перебора в WordPress?

Защита от грубой силы может быть бесплатной, если вы загрузите плагин защиты от грубой силы, такой как Jetpack. Другие провайдеры, такие как Sucuri, требуют платной подписки.

Как настроить защиту от перебора в WordPress?

Настройка защиты от грубой силы зависит от выбранного вами провайдера. Некоторые параметры требуют настройки брандмауэра, что может быть сложно. Кроме того, Jetpack — это плагин, который упрощает этот процесс. После активации вы можете включить защиту от перебора всего одной настройкой.

Что еще я могу сделать, чтобы защитить свой сайт WordPress?

Существует множество общих мер безопасности, которые вы можете предпринять для защиты своего веб-сайта. Во-первых, рассмотрите возможность последовательного обновления основного программного обеспечения, тем и подключаемых модулей. Вы также можете защитить свои данные, создав резервную копию своего веб-сайта.

Еще одна простая мера безопасности — блокировка спама. Также неплохо удалить неиспользуемые плагины и следить за активностью вашего сайта. Наконец, убедитесь, что вы регулярно сканируете на наличие вредоносных программ и принимаете немедленные меры, если что-то обнаружено.

Защитите свой сайт от атак грубой силы

Без правильной защиты ваш сайт может стать жертвой атак грубой силы. К счастью, плагин защиты от перебора — это простое дополнение к вашему сайту. С правильными мерами безопасности вы можете помешать хакерам украсть ваши данные.

Чтобы просмотреть, вот как реализовать защиту от атак методом грубой силы в WordPress:

1. Обновите свое имя пользователя.
2. Используйте надежный пароль.
3. Добавьте двухфакторную аутентификацию.
4. Установите плагин защиты от грубой силы, такой как Jetpack.

Выполнив эти шаги, вы сможете обеспечить конфиденциальность и безопасность своей информации! Затем нужно просто поддерживать программное обеспечение в актуальном состоянии, создавать резервные копии файлов и отслеживать веб-сайт на предмет спама и подозрительной активности.