Начало > Помощен център > Апликации > WordPress > Защита на WordPress от Brute Force атаки с плъгина Loginizer

Защита на WordPress от Brute Force атаки с плъгина Loginizer

Помощен център

Защита на WordPress от Brute Force атаки с плъгина Loginizer

При инсталиране на WordPress в cPanel през инсталатора Softaculous приложението предоставя възможност за активиране на плъгин Loginizer със следното кратко обяснение:

Защитете сайта си от brute force атаки, като ограничите броя на опитите за влизане във вашата WordPress инсталация. Ако е избрана опцията, приставката "Loginizer" ще бъде инсталирана и активирана с вашата инсталация.

Какво представляват brute force атаките?

Атаката brute force се използва за откриване на пароли като се изпробват множество комбинации от пароли (и/или потребителски имена), докато се открие комбинация, която работи.

В общия случай скрипт изпълнява последователно база данни от пароли (и/или потребителски имена) във формуляр за логване докато открие успешна комбинация или до изчерпване на данните. За да не подценявате опасността от този тип атака представете си база данни с десетки, дори стотици хиляди комбинации.

Популярни типове brute force атаки използват речници, модифицирани варианти на домейна или потребителски имена чрез добавяне/премахване на букви и цифри, данни, получени при хакване на информационни масиви и други подобни.

Как работи Loginizer?

Loginizer ви позволява да ограничите броя на опитите за логване в администрацията на WordPress и след изчерпване на зададения брой опити блокира IP адреса на заявките (атаките) за 15 минути. В настройките по подразбиране след три последователни блокирания на един IP адрес, следва блокиране за 24 часа, тъй като явно е в ход brute force атака. Освен това Loginizer позволява създаване на черен и бял списък със съответно блокирани или одобрени IP адреси.

Инсталиране на Loginizer в WordPress

В статията ще инсталираме и конфигурираме плъгина Loginizer за да видим как той защитава достъпа до администрацията на нашия WordPress сайт.

Влезте в администрацията и инсталирайте плъгина Loginizer по стандартния за WordPress начин - отворете Разширения > Добавяне на още, в полето за търсене въведете loginizer, инсталирайте и активирайте плъгина през бутона Инсталиране сега (Activate).

Инсталиране на Loginizer в WordPress

След успешното инсталиране на Loginizer, brute force защитата е незабавно активирана. Трябва да прегледате настройките по подразбиране и да ги промените според вашите нужди.

Конфигуриране на Loginizer

В панела Dashboard може да се абонирате за безплатен бюлетин и да напишете ревю за плъгина. Също така се предоставя системна информация като IP адрес на сървъра и на логнатия потребител, права на файлове и директории, и др.

Достъп до Loginizer през главното меню

През линка Brute Force влизате в панела Loginizer Brute Force Settings, в който се намират всички секции с настройки за управление.

В панела Failed Login Attempts Logs се записва регистър (лог) на всички опити за логване с некоректни данни. По-късно в статията ще покажем реални записи в този лог.

Таблица за логове в панел Failed Login Attempts Logs

В панела Brute Force Settings управлявате броя на некоректните опити за логване и времето на блокиране.

Настройки в панела Brute Force Settings

  • Max Retries - показва разрешения брой неуспешни опити за логване преди блокиране.
  • Lockout Time - показва продължителността на блокиране в минути.
  • Max Lockouts - показва допустимия брой блокировки преди прилагане на удължено заключване.
  • Extend Lockout - показва продължителността на удълженото заключване в часове.
  • Reset Retries - въведете брой часове, след които броят на повторните опити за логване ще бъде нулиран.
  • Email Notification - Въведете брой на заключвания (lockouts), преди да получите известие по имейл.

Логично ако посетител продължи с опитите за логване с невалидни данни, да бъде добавен в списъка с блокирани IP адреси Blacklist IP. Ако желаете да добавите само един IP адрес трябва да го въведете в полето Start IP и да оставите полето End IP (Optional) празно.

Ако желаете да добавите диапазон от IP адреси, въведете последния адрес в полето End IP (Optional) и запазете въведените данни като натиснете бутона Add Blacklist IP Range. За да изтриете всички блокирани адреси натиснете бутона Delete All Blacklist IP Range(s).

Настройки в панела Blacklist IP

По абсолютно същия начин управлявате настройките в панела Whitelist IP - само че в него разрешавате достъп за отделен IP адрес или диапазон от адреси.

Настройки в панела Whitelist IP

В панела Error Messages може да промените съобщенията за грешки, които Loginizer показва по подразбиране на потребителите:

Настройки в панела Error Messages

Loginizer тест

Нека проверим как работи Loginizer като използваме безплатния VPN на браузъра Opera за да подаваме некоректни данни за логване към тестов WordPress сайт и ползваме настройките по подразбиране на плъгина.

След всеки опит за логване с некоректни данни Loginizer зарежда конкретно текстово съобщение във формуляра за логване, давайки точна информация за статуса на процеса. След първия опит за логване с грешни данни се зарежда съобщението:

Съобщение след логване с невалидни данни

След изчерпване броя на разрешените опити формата за логване се заключва за 15 минути:

Съобщение за заключване на логването за 15 минути

и подробна информацията се записва в лога с неуспешните опити за логване:

Запис в лога за неуспешно влизане

Ако през време на заключване същия потребител реши да въведе данни, отново текстово съобщение го информира за статуса на защитата. Това е много добра практика тъй като потребителя няма как да не разбере, че има активирана brute force защита, и че той/тя въвежда умишлено грешни данни за достъп:

Съобщение за заключен достъп

През времето на удълженото заключване потребителя ще вижда следното съобщение:

Съобщение за удължено заключване

За да добавите IP адрес в списъка със забранени адреси, трябва да го въведете в полето Start IP и да натиснете бутона Add Blacklist IP Range:

Добавяне на IP адрес в списъка със забранени адреси

Ако бъде направен опит за логване от блокирания IP адрес, потребителя ще види съобщението:

Съобщение за блокиран IP адрес

Важно: съобщенията във формуляра за логване се зареждат само за потребителя, който е въвел некоректните данни за достъп. За всички други потребители формата за логване работи напълно нормално.

Опции в платената версия на Loginizer

В безплатната версия на Loginizer е включена само brute force защитата, която разгледахме дотук в статията.

Пълната версия на плъгина включва още:

  • MD5 Checksum (MD5 Контролна сума) - гарантира автентичност на основните WordPress файлове.
  • PasswordLess Login (вход без парола) - при логване ще бъде поискано потребителско име / имейл адрес и ще бъде изпратено съобщение на имейл адреса на акаунта с временна връзка за влизане.
  • Two Factor Auth via Email (двуфакторно удостоверяване чрез имейл) - при логване ще бъде изпратено съобщение на имейл адреса на акаунта с временен 6-цифрен код за завършване на влизането.
  • Two Factor Auth via App (двуфакторно удостоверяване чрез приложение) - потребителят може да конфигурира акаунта с приложение 2FA като Google Authenticator, Authy и др. за генериране на еднократна парола.
  • Login Challenge Question (въпрос с таен отговор) - потребителят може да настрои въпрос и отговор за предизвикателство като допълнителен защитен слой. След влизане потребителят ще трябва да отговори на въпроса, за да завърши влизането.
  • reCAPTCHA – Google’s reCAPTCHA v3/v2 - приложението може да бъде конфигурирано за вход, коментари, регистрация и др., за да се предотвратят автоматизирани brute force атаки (поддържа и WooCommerce).
  • Rename Login Page (преименуване на страницата за вход) - администраторът може да преименува URL адреса за вход на нещо различно от wp-login.php, за да предотврати автоматизирани brute force атаки.
  • Rename WP-Admin URL (преименуване на WP-Admin URL) - с Loginizer може да промените стандартното wp-admin с произволен израз.
  • Rename Login with Secrecy (преименуване на входния URL с таен) - всички URL адреси за вход ще сочат към wp-login.php и потребителите ще трябва да получат достъп до New Login Slug, като го въведат в браузъра.
  • Disable XML-RPC (деактивиране на XML-RPC) - повечето WordPress потребители не се нуждаят от XML-RPC и могат да го деактивират, за да предотвратят автоматизирани brute force атаки.
  • Rename XML-RPC (преименуване на XML-RPC) - позволява да преименувате XML-RPC на нещо различно от xmlrpc.php, за да предотвратите автоматизирани brute force атаки.
  • Username Auto Blacklist (автоматичен черен списък с потребителски имена) - автоматично поставяне в черен списък IP адресите на клиентите, които се опитват да използват база данни с популярни потребителски имена.
  • New Registration Domain Blacklist (черен списък за нова регистрация от домейн) - може да забраните нови регистрации от определен домейн.
  • Change the Admin Username (промяна на потребителското име на администратора) - администраторът може да преименува потребителското име admin с различно име.
  • Auto Blacklist IPs (автоматичен списък с IP адреси) - ако определени потребителски имена, запазени от администратора, се използват за влизане, IP адресите ще бъдат автоматично включени в черния списък.
  • Disable Pingbacks - лесен начин за деактивиране на функцията Pingbacks.

Защита от brute force и DDoS атаки в ICN.Bg

При brute force атаките целта е да се отгатнат данните за логване, докато при DoS/DDoS целта е да се изчерпят ресурсите на машината и услугите (сайтовете) да бъдат недостъпни.

Затова приложенията, които се използват за DoS/DDoS защита не могат да предотвратят brute force атаки, още по-малко brute force защита може да противодейства на DoS/DDoS атака.

Тъй като потребителите на споделен хостинг нямат възможност да се защитят при DoS/DDoS атака, всички хостинг сървъри в ICN.Bg ползват професионално оборудване Radware Defense Pro напълно безплатно.

За защита на отделните акаунти при brute force атаки се използва интегрираното в cPanel приложение cpHulk.

Съвсем логично идва въпросът - каква е ползата от използване на плъгина Loginizer?

Инсталирайки Loginizer вие ще може да получите подробна информация за brute force атаки към вашия WordPress сайт и за източника на тези атаки. Гъвкавата система за настройване интервалите на блокиране и заключване също ви дават възможност за създаване на персонално настроена система за защита.