Mindenképpen olvasd el ezt a cikket, ha szeretnél biztonságos weboldalt birtokolni!

2016. október 14. 07:23 - Chasetherabbit

Hogyan védd meg Wordpress weboldaladat a Brute-Force támadásoktól!

Legújabb cikkünkben arról fogunk részletes bemutatót tartani, hogyan tudod  a Wordpress weboldalad bejelentkezési felületét megvédeni. Sajnos, több szálon is megpróbálhatják támadni ezt a login felületet. Cikkünkben részletezni fogjuk nektek pontosan milyen fenyegetésekről van szó, és hogyan tudtok védekezni ellene!

wordpress-security-tips-780x400.jpg

Mi is a brute force támadás?

Az úgynevezett „Brute force” támadás azt a folyamatot jelenti, amikor egy adott weboldal admin felületéhez próbálnak hozzáférni a kártevők. A támadás során megpróbálják kitalálni a felhasználónevet és jelszót újra és újra, mellyel leterhelik a weboldalt és a mögötte lévő szervert egyaránt. Az ilyen támadások komoly károkat tudnak okozni, ezért érdemes folyamatosan figyelni weboldalunk terheltségi szintjét!

A DDOS, vagyis túlterheléses támadást és a brute force-t sokan össze szokták keverni, hiszen mind a két offenzíva, a weboldalunk leterhelését eredményezi. Viszont a brute force lényege, hogy idővel bejelentkezzen az oldalunk admin felületére és reklámokat helyezzen el az oldalon, vagy megszerezze hírlevél feliratkozóink listáját. Ezzel szemben a DDOS célja, hogy használhatatlanná tegye a weboldalunkat úgy, hogy egy ún. zombi gép hálózat segítségével folyamatosan leterheli azt.

wordpress-security-plugin.jpg

Lássuk, hogyan tudjuk megvédeni a weboldalunk admin felületét!

 

  1. Azonosítsuk a valódi személyeket a bejelentkezéskor/használj captcha-t!

Korábbi cikkünkben már meséltünk ennek a lehetőségnek a fontosságáról a form-ok kapcsán, de a wordpress admin felületünk esetében is hasznos megoldás lehet.

  1. A wp-login.php jelszavas levédése

Ezzel a lehetőséggel egy újabb védelmi vonalat helyezhetünk az admin felületünk elé. Tulajdonképpen egy egyszerű azonosításról van szó, melynek segítségével megnehezítjük a botok számára a bejelentkezést a  weboldalunkra.

recaptcha-shieldsquare.gif

Ahhoz, hogy jelszóval védett wp-login.php fájlt készíts, az alábbi lépéseket kell követned:

  • Generálj egy .htpasswd file-t az alábbi linken!
  • Másold be a kész fájlt pontosan abba a mappába, ahol a .htaccess file található. ( az esetek nagy részében a public_html mappában fogod megtalálni)
  • A következő kódot kell a .htaccess fájlba bemásolnod: ( a „felhasználóneved” részbe írd be azt a nevet, amellyek bejelentkezel a wordpress admin felületre)

 

## Stop Apache from serving .htpasswd files

<Files ~ "^\.ht"> Order allow,deny Deny from all </Files>

 <Files wp-login.php>

AuthUserFile ~/.htpasswd

AuthName "Private access"

AuthType Basic

require user felhasználóneved

</Files>

 

two-factor-authentication.png

3. Ip címek tiltása a weboldalon.

Lehetőséged van rá, adott támadás esetén, hogy csak bizonyos IP címeket engedj be az oldaldra. Nem kérdés, hogy egy leterhelt oldal esetén gyorsan kell cselekedni, hiszen potenciális vásárlókat is veszíthetsz. Ahhoz, hogy csak bizonyos IP címekről fogadj el belépést az alábbi egyszerű lépéseket kell megtenned.

 

  1. Lépj be abba a mappába, ahol a weboldalad van. ( public_html)
  2. Hozz létre egy .htaccess fájlt a /wp-admin/ mappában.
  3. Másold be az alábbi kódot:

 

 

Ezt követően semmi mást nem kell tenned mint a whitelist, vagyis a fehér lista alatti részre beírni azokat az IP címeket, amelyeket engedélyezni szeretnél.

 

 4. Használd a Brute Force Login Protection Plugin-t.

Brute Force Login Protection egy olyan plugin, amely több oldalról is kiváló védelmet nyújt a weboldaladnak. Lássuk mik ezek a szempontok:

 

  • Egy adott IP címről csak bizonyos mennyiségű bejelentkezési próbálkozásra ad lehetőséget.
  • Segítségével képesek vagyunk egy bizonyos IP címről kitiltást végezni
  • Egy sikertelen bejelentkezést követően késlelteti a hibaüzenetet, hogy lassítsa az esetleges brute force támadást
  • Továbbá informálja a felhasználót is arról, hogy pontosan hány próbálkozás maradt még hátra a kitiltás előtt. ( ez akkor lehet érdekes, ha valós személy próbál sikertelenül belépni )

brute-force-login-protection-screenshot.png

Reméljük hasznos tanácsokkal sikerült ellátnunk a wp admin felület védelmét illetően. Természetesen, ha bármi kérdésetek lenne, forduljatok hozzánk bizalommal!:)

 

Köszönjük, hogy elolvastad!

Tetszett a cikk? Lájkolj minket Facebookon!

Rólunk

Ízelítő korábbi bejegyzéseinkből:

7 IOS applikáció, amely gazdaggá tette feltalálóját.

Mi fán terem a kulcsszó?

A tökéletes főoldal titka

8 kiváló tipp, amivel felturbózhatod a weboldaladat!

Seo és minden, ami mögötte van...

Miért kell egy vagyont fizetnem a weboldalamért?

 

Szólj hozzá!

Ajánlott bejegyzések:

A bejegyzés trackback címe:

https://crazyit.blog.hu/api/trackback/id/tr811718227

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása