6 Серпень 2013
1 391
Рубрика: поради

Как защитить сайт на WordPress от подбора пароля

Как защитить сайт на WordPress от подбора пароля к админке, а заодно снизить нагрузку на сервер?

Несколько дней назад заметил, что резко возросла нагрузка на сервер, в частности на сайты, сделанные на WordPress. Разобрав логи, я выяснил, что кто-то активно пытается подобрать пароль. Админка у 90% пользователей находится по адресу /wp-admin и логин очень часто остаётся стандартным — admin. Многие вебмастера пренебрегают безопасностью и потому могут стать жертвами подбора паролей.

Оказалось, что последние несколько дней идёт массированный брутфорс (автоматический перебор паролей) к сайтам на вордпрессе. Для атаки используется ботнет, сеть из заражённых компьютеров, которые и посылают запросы. По статистике на этом движке работают почти 70 млн проектов по всему миру, поэтому игра может стоить свеч.

Брутфорс это самый малоэффективный, но в то же время простой способ атак. Конечно, большинство сайтов останутся невредимыми, но каждая попытка подбора пароля это лишние запросы к базе данных и лишняя нагрузка на сервер. А если таких запросов несколько в секунду, далеко не каждый хостинг такое выдержит.

Как защитить WordPress от подбора пароля

Чтобы уменьшить вероятность взлома сайта и ограничить бессмысленную нагрузку на ваш сайт, я рекомендую простой и надёжный способ — сменить адрес админки. Каждый посетитель, который не будет знать её адрес, увидит ошибку 404 и даже не сможет начать подбор :). Для смены адреса рекомендую воспользоваться плагином WP Better Security.

После установки в левом меню появится пункт со значком плагина, выбирайте пункт “Hide Backend”:

В пункте ADMIN SLUG указываете новый адрес вашей админки.

Теперь по адресу /wp-admin неавторизованный пользователь увидит 404 ошибку, а после авторизации по секретному адресу здесь будет админ-панель. Рекомендую также осмотреть остальные возможности этого плагина, в нём есть много интересного.

Тепер я хочу бачити коментарі 4