Brute Force атаки — одна из самых распространённых угроз для WordPress сайтов, при которой злоумышленники пытаются подобрать логин и пароль путём перебора вариантов. В этой статье мы разберём, как эффективно защитить ваш сайт от таких атак с помощью популярных плагинов и собственного кода, который можно внедрить для дополнительной безопасности.
Что такое Brute Force атаки и почему они опасны для WordPress
Brute Force атаки — это метод взлома, при котором программа перебирает множество вариантов логина и пароля, пока не найдёт правильную комбинацию. Для WordPress это особенно актуально, так как по умолчанию у всех сайтов стандартный адрес входа — /wp-login.php или /wp-admin/. Злоумышленники запускают автоматические скрипты, которые перебирают пароли, что может привести к компрометации сайта, потере данных, установке вредоносного кода и другим проблемам.
Кроме того, такие атаки создают значительную нагрузку на сервер, что может замедлить работу сайта или вывести его из строя.
Эффективные плагины для защиты от Brute Force атак
Для защиты WordPress от Brute Force существует множество плагинов. Рассмотрим наиболее популярные и проверенные решения.
1. Login LockDown
Плагин отслеживает количество неудачных попыток входа с одного IP-адреса и блокирует дальнейшие попытки на определённое время.
- Легко настраивается и не требует глубоких знаний.
- Позволяет ограничить попытки авторизации, что снижает риск перебора паролей.
- Показывает логи неудачных попыток.
Для установки Login LockDown воспользуйтесь официальным репозиторием WordPress или скачайте с https://wpshop.ru/plugin/login-lockdown.
2. Limit Login Attempts Reloaded
Этот плагин похож на Login LockDown, но имеет более гибкие настройки и поддерживает блокировку по IP, cookie и HTTP-авторизации.
- Можно настроить время блокировки и количество попыток.
- Отправляет уведомления администратору о блокировках.
- Поддерживает белые и черные списки IP.
Установка и настройка доступны в репозитории WordPress, подробнее на https://wpshop.ru/plugin/limit-login-attempts-reloaded.
3. WP Cerber Security
Комплексный плагин безопасности, который включает защиту от Brute Force атак, фильтрацию IP, двухфакторную аутентификацию и мониторинг активности.
- Позволяет настроить сложные правила блокировки.
- Поддерживает интеграцию с reCAPTCHA.
- Полезен для сайтов с высоким трафиком и множеством пользователей.
Подробнее о плагине и его установке можно узнать на странице https://wpshop.ru/plugin/wp-cerber-security.
Как самостоятельно ограничить попытки входа с помощью кода
Если вы предпочитаете не устанавливать дополнительные плагины, можно добавить защиту от Brute Force атак с помощью собственного кода. Ниже приведён пример простой реализации ограничения количества попыток входа.
Добавьте следующий код в файл functions.php вашей темы или в специализированный плагин:
function wpsystem_limit_login_attempts() {
$max_attempts = 5; // Максимальное число попыток
$lockout_time = 15 * 60; // Время блокировки в секундах (15 минут)
$ip = $_SERVER['REMOTE_ADDR'];
$attempts = get_transient('wpsystem_login_attempts_' . $ip);
if (!$attempts) {
$attempts = 0;
}
if (get_transient('wpsystem_lockout_' . $ip)) {
wp_die('Слишком много неудачных попыток входа. Попробуйте позже.');
}
if ($_SERVER['REQUEST_METHOD'] === 'POST' && isset($_POST['log']) && isset($_POST['pwd'])) {
add_action('wp_login_failed', function() use ($ip, $max_attempts, $lockout_time) {
$attempts = get_transient('wpsystem_login_attempts_' . $ip) ?: 0;
$attempts++;
set_transient('wpsystem_login_attempts_' . $ip, $attempts, $lockout_time);
if ($attempts >= $max_attempts) {
set_transient('wpsystem_lockout_' . $ip, true, $lockout_time);
}
});
}
}
add_action('init', 'wpsystem_limit_login_attempts');Этот код ограничит количество неудачных попыток входа с одного IP до 5, после чего IP будет заблокирован на 15 минут. Это базовое решение, которое можно доработать, добавив уведомления или белые списки IP.
Дополнительные методы защиты от Brute Force атак
Смена стандартного URL входа
Стандартный адрес входа (/wp-login.php) очень уязвим, так как все атаки направлены именно на него. Смена URL входа усложняет задачу злоумышленникам.
Для этого можно использовать плагин WPS Hide Login, который позволяет легко изменить адрес авторизации на любой.
Установка доступна через официальный репозиторий WordPress или по ссылке с wpshop.ru.
Двухфакторная аутентификация (2FA)
Добавление второго уровня проверки при входе значительно повышает безопасность. Даже если пароль будет скомпрометирован, злоумышленник не сможет войти без второго фактора.
Популярные плагины для 2FA: Google Authenticator, Two Factor, WP Cerber Security.
Использование сложных паролей и ограничение прав пользователей
Обязательно используйте сложные пароли, которые содержат буквы разных регистров, цифры и специальные символы. Можно применить плагин Clearfy Pro для принудительного контроля паролей и управления ролями пользователей.
Мониторинг и анализ попыток входа
Для своевременного обнаружения атак стоит регулярно просматривать логи попыток входа. Плагин WP Security Audit Log поможет отслеживать и анализировать активность пользователей, включая неудачные попытки входа.
Регулярный мониторинг позволит быстро реагировать на угрозы и предпринимать необходимые меры.