Как заблокировать неудачные попытки входа в WordPress

Неудачный вход в систему может происходить по разным причинам. Часто это просто результат того, что пользователь действительно забыл свой пароль. Это случается с лучшими из нас, чтобы мы не судили слишком строго. Однако иногда может происходить что-то более серьезное — кто-то пытается взломать.

Искусство устранения неполадок при неудачном входе в систему

Как и все другие проблемы с WordPress, устранение неполадок (т. е. докопаться до сути) — это первый шаг, который нам нужно предпринять. Это поможет нам убедиться, что мы имеем дело с фактической проблемой, а не с ее симптомом. К счастью, есть простой способ начать этот процесс — посмотреть на данные. По сути, вы должны увидеть одну из двух вещей:

• Неправильная комбинация имени пользователя и пароля

Неправильная комбинация имени пользователя и пароля может произойти по одной из двух причин. Либо кто-то или что-то пытается угадать комбинацию имени пользователя и пароля для получения доступа, либо это целенаправленная атака. В случае с первым вариантом это довольно частое явление. В противном случае это может быть целенаправленная атака на ваш сайт либо для получения доступа, либо для перегрузки вашего сайта (DoS/DDoS).

• Правильные комбинации имени пользователя и неправильного пароля

Правильное сочетание имени пользователя и неправильного пароля может означать одно из двух. Либо это реальный случай, когда кто-то забыл свой пароль, либо кто-то обнаружил фактическое имя пользователя, зарегистрированное в вашем WordPress, и теперь пытается угадать пароль.

Еще одна вещь, на которую вы должны помнить, это частота. Большое количество попыток за короткий период обычно является признаком автоматизированной атаки. С другой стороны, медленная и неравномерная временная шкала — явный признак человека, который еще не пил кофе.

Опасности слишком большого количества неудачных попыток входа в систему

Атаки с подбором пароля довольно распространены. Слишком много неудачных попыток входа в WordPress обычно указывают на такие атаки. Не имея способа справиться с этим, вы можете оставить свой сайт открытым для атак и сбоев. К счастью, управлять этим риском очень просто и требует минимальных административных усилий.

WordPress не предлагает каких-либо функций для ограничения или выполнения обходных действий при неудачных попытках входа в систему. Пользователь может продолжать пробовать до тошноты, пока не добьется нужного результата. Хотя можно утверждать, что предоставление людям дополнительных шансов является этическим поступком, введение ограничений и контроля может иметь большое значение для обеспечения безопасности и целостности вашего веб-сайта WordPress.

Как предотвратить неудачные попытки входа в WordPress

Внедрить политику неудачного входа в WordPress проще, чем кажется. Есть в основном два варианта на выбор, которые мы сейчас обсудим.

Ограничьте неудачные попытки входа вручную

Если вы хотите ограничить количество неудачных входов в WordPress без плагина, вы можете изменить файл function.php активной темы и добавить соответствующий код. Есть несколько способов добавить пользовательский код на веб-сайты WordPress; однако это требует хорошего понимания PHP и того, как работает WordPress.

Установить плагин

Есть еще один и самый практичный вариант — использовать плагин. Плагины бывают всех форм и размеров, включая плагины, которые просто ограничивают количество попыток входа в систему, и плагины, которые позволяют вам применять политику безопасности паролей в WordPress для еще более жесткого контроля и безопасности.

WPassword — один из таких плагинов WordPress. Это дает администраторам больший контроль над тем, как используются и управляются пароли на их веб-сайтах WordPress. Он включает в себя возможность настроить политику, которая явно касается неудачных попыток входа в систему, среди многих других функций.

Другие вещи, которые следует учитывать

Еще один вариант, о котором стоит упомянуть, — это CAPTCHA. Такие плагины, как Advanced noCaptcha и invisible Captcha, отлично помогают остановить автоматизированные атаки. Поскольку CAPTCHA необходимо выполнить до того, как будет предпринята попытка входа в систему, боты, стоящие за такими атаками, не проходят тест и не предпринимают ни одной попытки входа в систему.

Еще один вариант, который часто всплывает в разговорах о неудачных политиках входа, — это блокировка IP-адресов. С помощью этой опции нарушающий IP-адрес заносится в черный список, что в первую очередь предотвращает его доступ к вашему веб-сайту. Хотя технически это правильно, настойчивый злоумышленник может просто использовать другой IP-адрес, что он может сделать с легкостью. Из-за этого стратегия блокировки IP-адресов часто заканчивается игрой в кошки-мышки.

Один из лучших вариантов — использовать CDN (сеть доставки контента) и позволить им заниматься блокировкой нарушающих IP-адресов. Это может сэкономить вам драгоценное время, которое вы можете потратить на продуктивные вещи.

Как разработать политику неудачного входа в WordPress

Прежде чем мы начнем применять политику неудачного входа в систему на веб-сайте WordPress, нам нужно подумать о нескольких вещах. Как и все другие проблемы, связанные с безопасностью, управление неудачными попытками входа в систему связано с парадоксом безопасности/удобства использования. Чем более безопасным является что-то, тем менее удобным оно становится. Верно и обратное. Не позволять никому входить в систему очень безопасно, но вряд ли можно использовать. Предоставление пользователям неограниченных возможностей для ведения журнала может поставить под угрозу безопасность, но повышает удобство использования.

Что вам нужно понять, так это то, сколько свободы действий вы готовы предоставить своим пользователям. Традиционно три попытки считаются адекватными и разумными. Некоторые не согласны с этим мнением и считают, что максимально допустимое количество попыток входа составляет десять. В любом случае, предложение неограниченного количества попыток входа в систему не является хорошей стратегией и может иметь негативные последствия.

Правда в том, что нет правильного или неправильного ответа. Три — безопасное число, но оно увеличивает административные издержки. Десять могут иметь меньшие административные накладные расходы, но сопряжены с большим риском.

Таким образом, вы можете начать с ограничения количества попыток входа в систему до трех, а затем оценить ситуацию. При использовании WPassword очень легко изменить этот номер. Таким образом, вы можете очень легко адаптировать политику к своим пользователям и обстоятельствам.

Было бы лучше, если бы вы также подумали о том, что происходит, когда учетная запись блокируется. Должна ли учетная запись разблокироваться автоматически по истечении предварительно настроенного временного окна или ее должен разблокировать администратор вручную? Этот вопрос уступает той же проблеме, что и раньше: вам нужно выбирать между удобством использования и безопасностью. Другим важным аспектом, который может повлиять на эту часть политики, является местоположение ваших пользователей. Если люди входят в систему с другого конца света, рады ли вы проснуться в два часа ночи, чтобы разблокировать учетную запись? И если нет, то как долго пользователь должен ждать, прежде чем сможет снова войти в систему? Повлияет ли это на их производительность или на вашу прибыль?

Выбор правильных плагинов (и политики) для управления неудачными входами в WordPress

Как только вы поймете, как должны выглядеть ваши пароли и политика неудачных входов в систему, вам нужно начать работать над реализацией. Ранее мы упоминали WPassword в качестве основного кандидата. Он предлагает множество параметров конфигурации, что дает вам значительную свободу действий при настройке и реализации вашей политики паролей.

После того, как вы включите политику неудачных входов в систему для WordPress, вы можете выбрать, сколько попыток у пользователей будет, прежде чем их учетная запись будет заблокирована. Вы также можете решить, как он будет разблокирован и хотите ли вы заставить пользователей менять свои пароли или нет, как описано ниже.

Шаг 1: Установите и активируйте WPassword

Установить WPassword очень просто. Вы можете загрузить плагин для защиты паролей прямо с веб-сайта WP White Security, а затем загрузить его на свой веб-сайт WordPress.

После установки плагина нажмите « Плагины » в боковом меню WordPress, найдите плагин и нажмите « Активировать ». Это добавит новый пункт меню под названием « Политики паролей », на который вам нужно нажать.

Шаг 2. Включите политику неудачных входов в систему

Установите флажок рядом с «Включить политики неудачных входов», чтобы ограничить неудачные попытки входа на ваш сайт WordPress. Введите количество неудачных попыток входа в систему до блокировки пользователя, при этом 3–5 обычно считаются хорошим началом.

Другие параметры конфигурации включают в себя то, что происходит после блокировки учетной записи, и требуется ли заблокированным пользователям сбрасывать свой пароль при разблокировке. Дополнительные сведения см. в статье базы знаний WordPress о политике неудачных входов в систему.

Шаг 3. Примите дополнительные меры безопасности

CAPTCHA

Мы также затронули CAPTCHA — вездесущий тест, присутствующий во многих логинах и формах, который предназначен для того, чтобы люди могли пройти, останавливая ботов и другие формы автоматических атак. Плагины, такие как Advanced no Captcha и invisible Captcha, упрощают реализацию таких тестов, предлагая универсальную совместимость и поддержку различных версий.

Двухфакторная аутентификация

Для повышения безопасности процессов входа в систему двухфакторная аутентификация является обязательной. В ходе этого процесса пользователям необходимо пройти аутентификацию во второй раз, введя одноразовый пароль, предоставленный через их смартфон. Используя 2FA, которую вы можете легко сделать с помощью плагинов, таких как WP 2FA, вы можете гарантировать, что даже если пароли будут скомпрометированы, если у человека нет телефона, привязанного к этой учетной записи пользователя, он не сможет войти в систему.

Шаг 4. Шаг вперед (необязательно)

С политиками пароля и неудачного входа в систему, CAPTCHA и двухфакторной аутентификацией вы должны быть хорошо защищены.

Однако, если на вашем веб-сайте по-прежнему происходит большое количество неудачных попыток входа в систему, вам следует рассмотреть возможность использования службы CDN. Возможно, вы захотите поговорить с вашим провайдером веб-хостинга, чтобы помочь вам внедрить решение, подходящее для крупномасштабных атак.

Безопасность паролей WordPress требует подхода 360

Как мы видели на протяжении всей статьи, при реализации политики паролей необходимо учитывать несколько факторов. Хотя блокировка неудачных входов в WordPress является хорошим первым шагом (и необходимым при этом), используя подход 360, вы можете быть намного безопаснее. Это не только поможет вам охватить все ваши базы, но также может помочь вам вызвать больше доверия и уверенности в своем веб-сайте WordPress.

Подход на 360 градусов учитывает несколько факторов, включая плагины и темы, хостинг, TLS, ядро ​​WordPress и другие. Таким образом, вы можете убедиться, что ваша безопасность WordPress находится в отличной форме.