Brute Force Attack,  jak wcześnie pisałem to metoda działania osoby, osób, bootów, które próbują wielu loginów i haseł dążąc do odgadnięcia hasła konta administracyjnego witryny, serwa itp.  

Atakujący systematycznie sprawdza wszystkie możliwe hasła, aż poprawna zostanie znalezione. Alternatywnie, atakujący może próbować odgadnąć klucz , który jest zwykle utworzony z hasłem przy użyciu funkcji uzyskiwania klucza.

Wiele osób korzysta z prostego hasła, które jest łatwe do odgadnięcia. Może być łatwo skradzione podczas korzystania z wielu urządzeń, to samo hasło w wielu usługach lub niezabezpieczonych połączeń, takich jak publiczne sieci Wi-Fi. Botnety jak młot udarowy będą atakować  twoją stronę opartą na  WordPressie przy użyciu milionów wspólnych haseł i kombinacji znaków.

Jak się przed tym zabezpieczyć

Pierwsza propozycją jest wtyczka Brute Force Login Protection, której działanie opisałem w poście dotyczącej tego pluginu. Teraz czas na krótkie naświetlenia jej konfiguracji w sposób praktyczny a więc do dzieła.

Po zainstalowaniu Brute Force Login Protection oraz aktywowaniu wtyczki przechodzimy w panelu zarządzania do sekcji “ustawienia”, szukamy i  klikamy “Brute Force Login Protection” naszym oczom ukaże się strona

screenshot-1

Oczywiście u was nie będzie jeszcze żadnych IP. Przechodzimy teraz do poszczególnych ustawień wtyczki

brute-force-login-protection-settings-1

,gdzie liczba Allowed login attempts before blocking IP oznacza liczbę dozwolonych prób logowania przed zablokowaniem IP ja wpisałem 5 z uwagi na odmienne stany świadomości u mnie :-), żartowałem.

Opcja Minutes before resetting login attempts count to liczba minut jakie muszą upłynąć aby podjąć następną próbę logowania, ustawiłem 60.

brute-force-login-protection-settings-2

Delay in seconds when a login attempt has failed (to slow down brute force attack), opóźnienie w sekundach, gdy próba logowania nie powiodła się (aby spowolnić atak brute force) ja mam wpisaną 1 sekundę, można więcej. Inform user about remaining login attempts on login page, informuje użytkownika o liczbie pozostałych próby logowania na stronie logowania, warto zaznaczyć.

brute-force-login-protection-settings-5

Send email to administrator when an IP has been blocked,  opcja po zaznaczeniu wysyła e-mail do administratora, gdy IP zostaje jakiś zablokowany ja nie lubię spamu więc nie zaznaczyłem, przecież po 60 sekundach zostanie odblokowany. Message to show to blocked users (leave empty for default message) – w wiadomości email  wtyczka poinformuje o loginie zablokowanego użytkownika (pozostaw puste dla domyślnej wiadomości). .htaccess file location  lokalizacja pliku .htaccess .

brute-force-login-protection-settings-4

Blocked IPs – tutaj możemy ręcznie wpisać IP do stałego zablokowania oraz będziemy widzieć IP zablokowane automatycznie. Jeżeli dostęp do sieci Internet posiadamy za pomocą usługi o stałym IP, warto zastosować Whitelisted IPs  tzw. białą listę IP, gdzie możemy wpisać swój adres IP lub znajomych, współpracowników w obu przypadkach po wpisaniu IP potwierdzamy to przyciskiem Manually bloc IP – dla blokady IP, Add to whitelist dla dodania zaufanego adresu IP.

Wtyczka jest całkowicie darmowa i pozwoli nam na zabezpieczenie swojego konta jak i użytkowników waszej strony przed atakiem typu Brute Force.

 

Następną wtyczką, która pozwala nam zabezpieczenie konta administratora przed atakami  Brute Force jest Rublon Two-Factor Authentication nie będę się tutaj rozwodził odnośnie konfiguracji tej wtyczki z uwagi, że praktycznie nie wymaga konfiguracji o czym pisałem w opisie wtyczki Rublon Two-Factor Authentication,  po zainstalowaniu znajdziemy ją jako samodzielny w wpis w konsoli administracyjnej, poniżej widok konfiguracji:

 

 

 

Należy jednak zauważyć, że wtyczka  Rublon Two-Factor Authentication jest darmową wtyczką tylko do zabezpieczenia jednego konta, aby zabezpieczyć innych użytkowników witryny należy zakupić plugin w wersji płatnej, bardzo dobra wtyczka dla firm i korporacji, wysoki standard bezpieczeństwa. Brute Force Login Protection jest natomiast wpełni bezpłatną wtyczką i chroni wszystkie konta.

O zabezpieczeniu wordpress-a znajdziecie niezły artykuł na stronie wpmagus.pl.

Co wybierzecie żeby zabezpieczyć się przed atakami Brute Force Attack, zależy tylko od was a może znacie jakieś inne pluginy o których warto napisać, jak coś znacie lub się zetknęliście dajcie “znak, sygnał” jak to mówił pewien aktor w pewnym filmie.