Несколько дней назад заметил, что резко возросла нагрузка на сервер, в частности на сайты, сделанные на WordPress. Разобрав логи, я выяснил, что кто-то активно пытается подобрать пароль. Админка у 90% пользователей находится по адресу /wp-admin и логин очень часто остаётся стандартным — admin. Многие вебмастера пренебрегают безопасностью и потому могут стать жертвами подбора паролей.

Оказалось, что последние несколько дней идёт массированный брутфорс (автоматический перебор паролей) к сайтам на вордпрессе. Для атаки используется ботнет, сеть из заражённых компьютеров, которые и посылают запросы. По статистике на этом движке работают почти 70 млн проектов по всему миру, поэтому игра может стоить свеч.

Брутфорс это самый малоэффективный, но в то же время простой способ атак. Конечно, большинство сайтов останутся невредимыми, но каждая попытка подбора пароля это лишние запросы к базе данных и лишняя нагрузка на сервер. А если таких запросов несколько в секунду, далеко не каждый хостинг такое выдержит.

Как защитить WordPress от подбора пароля

Чтобы уменьшить вероятность взлома сайта и ограничить бессмысленную нагрузку на ваш сайт, я рекомендую простой и надёжный способ — сменить адрес админки. Каждый посетитель, который не будет знать её адрес, увидит ошибку 404 и даже не сможет начать подбор :). Для смены адреса рекомендую воспользоваться плагином WP Better Security.

После установки в левом меню появится пункт со значком плагина, выбирайте пункт “Hide Backend”:

В пункте ADMIN SLUG указываете новый адрес вашей админки.

Теперь по адресу /wp-admin неавторизованный пользователь увидит 404 ошибку, а после авторизации по секретному адресу здесь будет админ-панель. Рекомендую также осмотреть остальные возможности этого плагина, в нём есть много интересного.

    Отправить ответ

    4 Комментарий на "Как защитить сайт на WordPress от подбора пароля"

    Уведомлять
    avatar
    5000
    Влад
    Гость

    Как ни странно я это сразу сделал, но не помогло, через 1-2 часа этот же плагин продолжил вопить, что продолжается перебор паролей. Проверил он все сделал, он переименовывал вход и вроде как ключь к пути требовал wp-login.php?3ssarzcry1b2. Почему не работает не понятно. Возможно атака учитывает этот антивирус.

    Помог дополнительный пароль средствами Апача! Кстати на форумах пишут что некоторые хостеры это тоже сделали. Защита сайта с помощью .htaccess и .htpasswd закрыть паролем апача(сервера) один файл.

    AuthType Basic AuthName "Private zone. Only for administrator!" AuthUserFile /var/www/.htpasswd require valid-user

    Влад
    Гость

    дык все проверил по старому адресу не открывается, в htaccess все прописалось без проблем. И сообщения об отрубе ip из за множественных переборов пароля перестали приходить с 2-х сайтов, ни с одного(что может быть случайным).

    А через 1-2 часа опять пошли сообщения, о переборе паролей и об отключении ip.
    Кстати сканер пиратский может знать этот антивирус а в htaccess я вижу вот такую строку(и он ее может видеть).
    RewriteRule ^.*$ /wp-login.php?m2wrows2byprt0pbgnppd [R,L]

    Возможно что совпало с застреванием почты, я с перепугу :) закрыл все одинаково, тем более что у меня еще сайты на джомле есть.

    wpDiscuz